Het Korps Landelijke Politiediensten (KLPD) haalde met een hoop bombarie vorig jaar oktober het crimineel computernetwerk Bredolab neer. Deze actie deed veel stof opwaaien. Om de slachtoffers van het netwerk te waarschuwen hackte het KLPD hun computers en liet hier een bericht achter. Merel Koning schreef bij Bits of Freedom op kantoor haar master scriptie Informatierecht over deze ontmanteling. Zij concludeert dat het hacken van cybercrime slachtoffers een onacceptabele schending van de privacy is. Het resultaat van dit onderzoek wijkt dan ook behoorlijk af van het beeld dat na afloop door de opsporingsdiensten via de media is verspreid.

Bredolab als experiment
Het Bredolab-botnet bestond uit een groeiend netwerk van zombiecomputers die criminelen konden inzetten voor bijvoorbeeld het versturen van spam of het stelen van creditcard-gegevens. De gebruiker merkte niet dat de computer op afstand ook door een ander werd bestuurd. Het Openbaar Ministerie (OM) startte begin 2010 een samenwerkingsverband tussen de overheid en private bedrijven om een effectieve bestrijdingsmethode voor dit soort cybercriminaliteit te ontwikkelen. In augustus 2010 deed het Bredolab-botnet zich aan als ideale proef omdat alle besturingsservers van de criminelen in Nederland stonden.

De bestrijdingsmethode bestond uit het aanhouden van de verdachten, het verbreken van de communicatie met de besturingsservers en het waarschuwen van de slachtoffers. Samenwerkend met o.a. Fox IT en Kaspersky hoopte Justitie het signaal af te kunnen geven dat “cybercriminelen Nederland in de toekomst beter links kunnen laten liggen” zegt Ronald Prins van Fox IT.

De ontmanteling
In voorbereiding op de ontmanteling zijn de verdachte servers formeel in beslag genomen en afgetapt. Een onversleutelde cookie met het wachtwoord voor het beveiligde communicatiekanaal tussen de crimineel en de besturingsservers maakte het mogelijk om alle toegangs- en decryptiesleutels te achterhalen. Uit het onderzoek van Merel Koning blijkt dat met deze sleutels ongeveer tien weken over de schouder van de verdachte is meegekeken op de servers. Zijn handelingen werden onderzocht en gemonitord en zijn identiteit kwam boven. Ook werd de infrastructuur van de servers en het botnet uitvoerig onderzocht.

Het OM koos om via het botnet zelf de slachtoffers te waarschuwen. In plaats van de stekker uit de servers te trekken en zo de communicatie tussen de servers en de crimineel te verbreken, kaapte zij het botnet van binnen uit. Uit het onderzoek blijkt dat door de servers te hacken de gehele controle over het botnet in handen van het KLPD kwam te liggen. Zij hadden volledige toegang tot en controle over de computers van de slachtoffers. Deze controle en toegang heeft het KLPD gebruikt om een bestand op de computers te zetten dat de slachtoffers moest waarschuwen voor Bredolab.

Hacken door Justitie en privacy
Merel Koning stelt vast dat bij de Bredolab-ontmanteling twee keer is gehackt door de politie. Ten eerste richting de verdachte door op zijn servers binnen te dringen en het botnet te kapen. Ten tweede richting de slachtoffers door via het overgenomen botnet een bestand aan hun computer toe te voegen en opdracht te geven dit bestand uit te voeren.

In haar scriptie onderzoekt zij de juridische legitimatie voor de ontmanteling van het OM. Zij komt tot de conclusie dat voor zowel het hacken van de verdachte als het hacken van de slachtoffers geen bevoegdheid bestaat en dit een schending van de privacy oplevert. “Vanwege de belangrijke rol van ICT-systemen in het dagelijks leven en de toegang tot een potentieel uiterst groot en veelzeggend databestand, vormt hacken een inmenging op het privacyrecht ex. art. 8 EVRM. Daarom is een expliciete bevoegdheid nodig uit het Wetboek van strafrecht. Momenteel ontbreekt deze.“, aldus Merel Koning. Zij concludeert dat de opsporingsdiensten in strijd met artikel 138ab en 350a Wetboek van strafrecht hebben gehandeld en geen beroep kunnen doen op een bijzondere strafuitsluitingsgrond of de algemene taakstelling van de politie. Daarnaast zet zij grote vraagtekens bij de noodzakelijkheid van het hacken van de slachtoffers. In de interviews voor haar scriptie gaven meerdere stakeholders aan dat voor het handhaven van de nationale rechtsorde de slachtoffers ook op een minder ingrijpende manier effectief gewaarschuwd konden worden. De schrijfster concludeert dat Justitie in de kennelijke veronderstelling is wereldwijd cybercriminaliteit te moeten bestrijden en vergeet daarbij de privacy van haar eigen burgers te waarborgen.

Dreigingsbeeld
Het persbericht van het OM over Bredolab geeft melding van 30 miljoen computerinfecties en 143 besturingsservers en wordt ook in het Nationaal Trendrapport Cybercrime 2010 en in de Nationale Cyber Security Strategie (PDF) genoemd. Opvallend is dat het wetenschappelijk onderzoek dat voor de scriptie werd uitgevoerd, een geheel ander beeld van Bredolab geeft. Het ging niet om 143 besturingsservers maar om 6 stuks en de berekeningen die zijn gemaakt om tot 30 miljoen infecties te komen zijn zeer dubieus. Het ware aantal slachtoffers is onbekend gebleven en ligt in ieder geval een stuk lager.

Bits of Freedom pleit al langer voor een onafhankelijke wetenschappelijke onderzoek naar de aard en omvang van cybersecurity problematiek. Het onderzoek van Merel Koning bevestigt de noodzaak hiervan nogmaals. Op 10 november wordt het Dreigingsbeeld Cybercrime verwacht. Bits of Freedom hoopt dat de Nationale Cyber Security Raad rekening houd met eventuele opgepoetste feiten door de opsporingsdiensten en een realistisch beeld naar buiten brengt.