Datalek: Universiteit Utrecht lekte gegevens tienduizenden studenten

Bredolab: Trojaans paradepaardje van het KLPD?

Een privacyvriendelijk alternatief voor Facebook?

Het Korps Landelijke Politiediensten (KLPD) haalde met een hoop bombarie vorig jaar oktober het crimineel computernetwerk Bredolab neer. Deze actie deed veel stof opwaaien. Om de slachtoffers van het netwerk te waarschuwen hackte het KLPD hun computers en liet hier een bericht achter. Merel Koning schreef bij Bits of Freedom op kantoor haar master scriptie Informatierecht over deze ontmanteling. Zij concludeert dat het hacken van cybercrime slachtoffers een onacceptabele schending van de privacy is. Het resultaat van dit onderzoek wijkt dan ook behoorlijk af van het beeld dat na afloop door de opsporingsdiensten via de media is verspreid.

Bredolab als experiment
Het Bredolab-botnet bestond uit een groeiend netwerk van zombiecomputers die criminelen konden inzetten voor bijvoorbeeld het versturen van spam of het stelen van creditcard-gegevens. De gebruiker merkte niet dat de computer op afstand ook door een ander werd bestuurd. Het Openbaar Ministerie (OM) startte begin 2010 een samenwerkingsverband tussen de overheid en private bedrijven om een effectieve bestrijdingsmethode voor dit soort cybercriminaliteit te ontwikkelen. In augustus 2010 deed het Bredolab-botnet zich aan als ideale proef omdat alle besturingsservers van de criminelen in Nederland stonden.

De bestrijdingsmethode bestond uit het aanhouden van de verdachten, het verbreken van de communicatie met de besturingsservers en het waarschuwen van de slachtoffers. Samenwerkend met o.a. Fox IT en Kaspersky hoopte Justitie het signaal af te kunnen geven dat “cybercriminelen Nederland in de toekomst beter links kunnen laten liggen” zegt Ronald Prins van Fox IT.

De ontmanteling
In voorbereiding op de ontmanteling zijn de verdachte servers formeel in beslag genomen en afgetapt. Een onversleutelde cookie met het wachtwoord voor het beveiligde communicatiekanaal tussen de crimineel en de besturingsservers maakte het mogelijk om alle toegangs- en decryptiesleutels te achterhalen. Uit het onderzoek van Merel Koning blijkt dat met deze sleutels ongeveer tien weken over de schouder van de verdachte is meegekeken op de servers. Zijn handelingen werden onderzocht en gemonitord en zijn identiteit kwam boven. Ook werd de infrastructuur van de servers en het botnet uitvoerig onderzocht.

Het OM koos om via het botnet zelf de slachtoffers te waarschuwen. In plaats van de stekker uit de servers te trekken en zo de communicatie tussen de servers en de crimineel te verbreken, kaapte zij het botnet van binnen uit. Uit het onderzoek blijkt dat door de servers te hacken de gehele controle over het botnet in handen van het KLPD kwam te liggen. Zij hadden volledige toegang tot en controle over de computers van de slachtoffers. Deze controle en toegang heeft het KLPD gebruikt om een bestand op de computers te zetten dat de slachtoffers moest waarschuwen voor Bredolab.

Hacken door Justitie en privacy
Merel Koning stelt vast dat bij de Bredolab-ontmanteling twee keer is gehackt door de politie. Ten eerste richting de verdachte door op zijn servers binnen te dringen en het botnet te kapen. Ten tweede richting de slachtoffers door via het overgenomen botnet een bestand aan hun computer toe te voegen en opdracht te geven dit bestand uit te voeren.

In haar scriptie onderzoekt zij de juridische legitimatie voor de ontmanteling van het OM. Zij komt tot de conclusie dat voor zowel het hacken van de verdachte als het hacken van de slachtoffers geen bevoegdheid bestaat en dit een schending van de privacy oplevert. “Vanwege de belangrijke rol van ICT-systemen in het dagelijks leven en de toegang tot een potentieel uiterst groot en veelzeggend databestand, vormt hacken een inmenging op het privacyrecht ex. art. 8 EVRM. Daarom is een expliciete bevoegdheid nodig uit het Wetboek van strafrecht. Momenteel ontbreekt deze.“, aldus Merel Koning. Zij concludeert dat de opsporingsdiensten in strijd met artikel 138ab en 350a Wetboek van strafrecht hebben gehandeld en geen beroep kunnen doen op een bijzondere strafuitsluitingsgrond of de algemene taakstelling van de politie. Daarnaast zet zij grote vraagtekens bij de noodzakelijkheid van het hacken van de slachtoffers. In de interviews voor haar scriptie gaven meerdere stakeholders aan dat voor het handhaven van de nationale rechtsorde de slachtoffers ook op een minder ingrijpende manier effectief gewaarschuwd konden worden. De schrijfster concludeert dat Justitie in de kennelijke veronderstelling is wereldwijd cybercriminaliteit te moeten bestrijden en vergeet daarbij de privacy van haar eigen burgers te waarborgen.

Dreigingsbeeld
Het persbericht van het OM over Bredolab geeft melding van 30 miljoen computerinfecties en 143 besturingsservers en wordt ook in het Nationaal Trendrapport Cybercrime 2010 en in de Nationale Cyber Security Strategie (PDF) genoemd. Opvallend is dat het wetenschappelijk onderzoek dat voor de scriptie werd uitgevoerd, een geheel ander beeld van Bredolab geeft. Het ging niet om 143 besturingsservers maar om 6 stuks en de berekeningen die zijn gemaakt om tot 30 miljoen infecties te komen zijn zeer dubieus. Het ware aantal slachtoffers is onbekend gebleven en ligt in ieder geval een stuk lager.

Bits of Freedom pleit al langer voor een onafhankelijke wetenschappelijke onderzoek naar de aard en omvang van cybersecurity problematiek. Het onderzoek van Merel Koning bevestigt de noodzaak hiervan nogmaals. Op 10 november wordt het Dreigingsbeeld Cybercrime verwacht. Bits of Freedom hoopt dat de Nationale Cyber Security Raad rekening houd met eventuele opgepoetste feiten door de opsporingsdiensten en een realistisch beeld naar buiten brengt.

  1. Willem

    Toppertje: citaat van senior van Dienst Nationale Recherche dat hij het niet zo nauw neemt met de rechtstaat (we doen X ook al mag dat misschien niet van de rechter). Pagina 39.

    Laatst stond hier ook al een dubieus project van de politie waarin het juridische kader ontbrak. Laten ze wellicht express de juridische kaders niet onderzoeken? Dan komt de verantwoordelijkheid tenminste altijd bij de politiek terecht.

  2. Johan Dam

    Toont de politie eindelijk aan dat ze toch wel verstand hebben van beveiliging.. is het weer niet goed :/

    De slachtoffers waarschuwen d.m.v. hun eigen computer is het meest efficient en bespaard ook nog het meeste belasting geld. Mensen luisteren veel beter als het gevaar opeens heel dichtbij staat.
    Als het word omgeroepen in het journaal denken mensen vaak ‘dat gebeurd mij toch niet’.

  3. Jan-Jaap Oerlemans

    Het is goed dat in de media en vanuit juridische hoek aandacht wordt besteed aan de actie en hacken als opsporingsbevoegdheid in het algemeen. Wel vind ik het belangrijk bij dit enigszins tendentieuze bericht nog op te merken dat er ook anders over gedacht kan worden. Dit wordt in de scriptie op p. 30 e.v. uiteen gezet.

    Dat iets materieel-rechtelijk als hacken gekwalificeerd kan worden, betekent nog niet persé dat de handeling in het kader van een opsporingsonderzoek een expliciete grondslag in het Wetboek van Strafvordering moet hebben. Er is veel te zeggen voor de redenatie dat de actie plaatsvond in het kader van het handhaven van de openbare orde/rechtsorde en slechts een beperkte inbreuk op de persoonlijke levenssfeer van betrokkenen met zich meebracht. Daarom kan de actie wellicht worden gebaseerd op de algemene opsporingsbevoegdheid van artikel 2 Politiewet 1993 en 141 Sv. Dat Merel het geen beperkte inbreuk op de persoonlijke levenssfeer vindt is prima, maar daar kan ook anders over worden gedacht.

    In het geval dat er echt een online doorzoeking of ‘inkijkoperatie’ wordt gedaan op een persoonlijk geautomatiseerd werk (meestal van de verdachte) vind ik wél dat er een ernstige inbreuk op de persoonlijke levenssfeer wordt geleverd en de opsporingshandeling een expliciete grondslag moet krijgen. In Duitsland wordt daar ook zo over gedacht. Zie in dat kader ook mijn artikel over hacken als opsporingsbevoegdheid in het tijdschrift ‘Delikt en Delikwent’.

    Wat mij betreft is het dus goed dat hier aandacht aan wordt gegeven en gediscussieerd wordt over de wenselijkheid van een dergelijke actie en hacken als opsporingsmethode. Hopelijk wordt er ook binnenkort buiten Bits of Freedom in de politieke arena over gediscussieerd! Wellicht in het kader van de nieuwe Wet computercriminaliteit die er aan zit te komen!

  4. Merel Koning

    @Jan-Jaap Oerlemans Inderdaad er kan anders over gedacht worden. Ik heb voor mijn onderzoek de Bredolab-ontmanteling onderzocht en ook al zou je stellen dat hacken ‘een niet meer dan geringe inbreuk op de privacy zou opleveren’ is aan het criterium van noodzakelijkheid niet voldaan. Het KLPD is geïnstrueerd de Nederlandse openbare orde en rechtsorde te handhaven. De slachtoffers konden effectief via minder ingrijpende methoden gewaarschuwd worden.
    Daarnaast ben ik van mening dat het nemen van controle over en toegang tot iemands computer een meer dan geringe inbreuk op de privacy is. In de discussie over hacken als opsporingsmethode lijkt het mij zinvol om de technische betekenis van de handelingen centraal te stellen en niet het doel.
    Ik ben het absoluut met je eens dat de discussie binnen de politieke arena gevoerd mag worden. Parlementaire controle op opsporing is een kernvoorwaarde van een democratische rechtsstaat.

  5. Jacob Boersma

    @Merel Koning, Ik weet niet of het in eerste instantie nodig is om dit in de politieke arena te bespreken, de afhandeling van de Diginotar zaak heeft mij weinig vertrouwen gegeven in de IT-knowhow van een aantal kamerleden. Wel vind ik het goed dat dit soort acties van de opsporingsdiensten ook eens van de andere kant belicht worden. Maar als er een expliciet kader in de Wet ontbreekt, en er zijn verschillen van mening over rechtmatigheid, dan zou hier in eerste instantie een rechter over moeten oordelen, toch? Die kan dan vaststellen of in dit geval de acties van de politie proportioneel waren en/of een ontoelaatbare inbreuk waren op de levenssfeer van betrokkenen.
    Ronald Prins (Fox IT) vroeg zich op Twitter af of de slachtoffers zelf het eigenlijk wel een inbreuk op hun privacy vinden. Hoewel dat een interessante vraag is, is ‘t niet doorslaggevend voor de rechtmatigheid. Wetten (zeker privacywetten) zijn er ook om burgers tegen zichzelf te beschermen, daarom ben ik juist benieuwd naar de mening van een onafhankelijke rechter, die met het rapport van Merel in de hand alvast een basis heeft voor hoor en wederhoor.

  6. Merel Koning

    @ Jacob Boersma, Ik ben ook heel benieuwd naar het oordeel van de
    rechter over de Bredolab ontmanteling. Echter, de verdachte wordt niet
    in Nederland maar in Armenië vervolgd.
    Dat cybercriminaliteit tegen gegaan moet worden staat buiten kijf en
    juist wanneer de politie hier succesvol in wil zijn en de criminelen wil
    vervolgen, is het van belang dat de wet gevolgd wordt. Hierdoor kan een
    zaak ook voor de rechter overeind blijven.
    Op pagina 16-19 van de scriptie ga ik in op de inmenging op het privacyrecht van de slachtoffers.

  7. Anonymous

    Het is een vast patroon aan het worden:
    De politie liegt over de feiten en klopt danzij leugens zichzelf op de borst. Diverse agenten zouden strafrechtelijk vervolgd moeten worden. Het lijkt alsof onze politie steeds crimineler wordt en ook nog meent volledig boven de wet te staan. Als gewone burger heb je inmiddels meer kans dat een agent een strafbaar feit tegen jou begaat dan een ander. Het begint met illegaal telefoon en email afluisteren, aangiftes weigeren op te nemen (zoals met KPN), …

  8. Ruud

    Hoewel het stuk juridisch vast correct is, is enige nuancering van de problematiek naar mijn mening op de plaats.

    De afweging om een C&C direct down te brengen of enige tijd te observeren valt vaak naar de kant van direct down brengen. Hierbij zal vaak onbekend blijven wie de dader is en een nieuwe C&C server inrichten zal deze dader niet veel tijd kosten. Dat gedurende deze observatietijd extra slachtoffers vallen is een feit, maar een vergelijkbaar of zelfs groter aantal slachtoffers zou gemaakt worden op de nieuwe C&C server. Het langer observeren van een C&C of in dit geval een compleet serverpark is een kans daders te identificeren en het probleem bij de wortel aan te pakken.

    Ik vraag me overigens af of het programma dat tijdens het ‘hacken’ bij de slachtoffers is gestart aan de eisen van art 350sr voldoet. Lid 1 heeft het over veranderen, wissen en ontoegangkelijk maken van gegevens wat niet het doel (en waarschijnlijk ook geen mogelijkheid) van het programma is. De aanvulling in dit lid over het toevoegen van gegevens lijkt mij te algemeen en zou zelfs op een gewone email kunnen slaan of een applet in een webpagina. Lid 2 en 3 hebben het over schade wat zeer waarschijnlijk geen mogelijkheid van het programma is. Mijn begrip is dat het programma ALLEEN een url kan openen in de webbrowser. Als dit de enige capaciteit van het programma is, dan lijkt mij dat niet “de volledige controle over de computer en toegang tot een potentieel uiterst groot en veelzeggend databestand van het
    slachtoffer verwerven”. Het verschil tussen een vriendelijk tikje op de schouder of een stomp in de maag. Of deze vorm van informatie verschaffen aan de slachtoffers wenselijk is staat open ter discussie. Ik zou na zo’n popup mijn computer wel herinstalleren… en zonder de popup is het hopen dat mijn ISP een beetje snel reageert om mij op de hun gepaste wijze af te sluiten van het internet (Ziggo).

  9. Paul

    Wat ik mis in de discussie over de noodzaak van de actie en de mate waarin deze als inbreuk op de privacy moet worden gezien is het feit dat het hier gaat om een relatief kleine inbreuk (door een betrouwbare partij) waarmee een relatief grote inbreuk (door een kwaadwillende) ongedaan wordt gemaakt. Uiteindelijk is de ratio van de wet en van een organisatie als BoF toch om de inbreuk op de privacy van burgers te minimaliseren?

  10. Merel Koning

    @ Paul Je hebt gelijk, de inbreuk van de criminelen was erg groot. Echter bij het bestrijden van kwaden hoort de politie de minst privacyschendende methode te gebruiken. In het geval van Bredolab bestond er een goed alternatief. Dit heb ik in mijn scriptie in hoofdstuk twee uitgewerkt. Dit is ook de reden waarom ik tot mijn conclusie ben gekomen.

    Daarnaast vraag ik mij af in hoeverre een buitenlandse opsporingsdient een betrouwbare partij op jouw computer is? Veel van de slachtoffers waren niet Nederlands. Het programma dat het KLPD plaatste was niet ondertekend of beveiligd.

  11. Stefan

    De politie heeft zicht toegang verschaft tot het ‘werktuig’ tijdens haar werkzaamheden. Dat kan je hacken noemen.
    Inbreker in huis, raam ingeslagen/voordeur ingebroken. Moet de politie naar binnen om hem te arresteren of buiten blijven staan?
    Pedofiel gepakt, Politie controleert de filmpjes. Moet zij maar beter de ouders niet informeren of moet ze dat toch wel doen?

    Heel droog gezien heeft in mijn optiek de politie juist gehandeld door de slachtoffers te informeren.
    Dus een proefschrift schrijven en dit niet in het ‘algehele’ verband brengen met de uitvoerende taken van de politie is wel erg krom.

  12. THD

    Zeer interessante scriptie Merel!

    Het is misschien grijs gebied, maar ik zou persoonlijk graag de waarschuwing krijgen dat mijn computer besmet was om zo stappen te ondernemen om (mogelijk nog niet misbruikte) inloggegevens te wijzigen.

    Ik zie het botnet als een ongewild geïnstalleerde programma wat als een van de ‘features’ de mogelijkheid heeft berichten weer te geven… de vraag is of het gebruiken van deze feature een echte hack betreft. Het argument wat betreft privacy in de scriptie lijkt erop neer te komen dat mensen het recht hebben om ‘onbevangen’ in het ongewisse te blijven… beetje ‘wat niet weet wat niet deert’. Dan was het dus wel goed geweest als ze stilletjes een EXE hadden gestuurd die het botnet uitschakelde zonder bericht? Volgens die uitzondering in artikel 350a kennelijk wel…

    Het bezwaar dat een geciteerd slachtoffer ook noemde was niet de waarschuwing maar het feit dat privacygevoelige informatie nu in handen van de politie was, maar hiervoor was het in handen van criminelen… de politie moet bij vernietiging inderdaad de juiste procedures volgen, dit lijkt me nuttig om richtlijnen voor te hebben. Maar daarvoor moet de politie hier mee omgaan zoals ieder privacygevoelig bewijsmateriaal. En het bericht veranderde niets aan het feit dat ze de servers in handen hadden.

    Ik vermoed dat de hele discussie over wetgeving vooral tot theorie beperkt zal blijven maar niet in de praktijk gebruikt kan worden om botnets uit te schakelen. Deze vangst was een toevalstreffer… de cookie met de sleutel was een mazzeltje. Hackers zullen hier lering uit trekken en de toekomstige systemen zullen zo goed gecodeerd zijn dat er niets mee te beginnen is (dat was dit botnet op de cookie na ook kennelijk). Waarschijnlijk is het enige dat dan rest IPs loggen van besmette computers en de stekker van de servers eruit trekken. Een goede oplossing voor het waarschuwen zou een site zijn waar je via je IP kunt checken of je in een botnet hebt gezeten, dan niet vanuit de politie maar een wereldwijd meldpunt. Als er meer acties komen waarbij de command and control servers uit de lucht worden gehaald zullen de hackers waarschijnlijk vaker failovers gaan inzetten in andere landen of zelfs geheel overstappen op P2P voor de commandostructuur. Het uitschakelen van de centrale servers zal dan geen effect meer hebben, in dit geval zal de voorlichting aan de mensen met besmette computers steeds belangrijker worden…

  13. Mark van Dijk

    De reacties die stellen dat deze vorm van opsporing “moet kunnen” zelfs al is er geen wettelijke ondergrond voor tonen impliciet aan dat er wel degelijk sprake is van een hellend vlak, in het bijzonder voro wat betreft de houding van zowel overheid als burger jegens de “rechtmatigheid om de wet te overtreden” en het recht op individuele privacy.

    Stefan, wat jij stelt snijdt geen hout. De politie mag dan wel slachtoffers informeren, dat hoort dan wel via de normale weg te gebeuren. Want als we jouw redenatie volgen dan mocht de politie ook de huizen van inwoners binnentreden terwijl de bewoners niet thuis waren, om een brief op de tafel te leggen waarin de ouders geïnformeerd worden. Wake up man.

    Merel, goed proefschrift, die moeten er meer komen. Goed gedaan.

  14. X

    In hoeverre verschilt dit met de agent die je tuinpad op loopt, om je te vertellen dat je voordeur is opengebroken?

  15. erick

    Nederland is topper in het schenden van mensenrechten
    Dus ook het recht op privacy.
    We hebben niet voor niets de hoogste aftapgehalte ter wereld (mobiel,vast tel.,mail,internet,mobiel internet).
    En we hebben niet voor niks zoveel controle middelen om onschuldigen te volgen in hun dagelijks leven (ov chip,chip in id en pas,dossiers voor alles, komende chips voor….).
    Aangesloten op deze controlemiddelen zijn de maatregelen en middelen die het mogelijk maken voor overheid om mensen zomaar op te pakken. Heel snel zijn die wetten ingevoerd en tegenwoordig nog vooral slapend al worden ze steeds vaker toegepast zoals op sociale media en bij zogenaamde “dreigende situaties” (fotograaf op roltrap,twitteraars, Overheidsbezoek,e.d.)

    Nederland heeft sc*&t aan zijn burgers.
    Je kan dit prima zien in huidig kabinet die bepaalde dingen gedaan willen hebben .
    Ze maken hierbij handig gebruik van de o zo makkelijk te sturen media (heeft geen ruggegraat hier in nl).
    Vind je het gek als de grote mediaheren om de zelfde tafel zitten als het staatshoofd en landsbestuur?!

    Moet tegenwoordig gewoon lachen als ik bijv. weer eens nos kijk.
    Ze maken tegenwoordig al statements en one liners als nieuwstopic zonder maar een bronvermelding op te geven.
    En ik moet huilen als ik dan naar nieuws kijk vanuit allerlei hoeken van de wereld, beseffende dat dit nooit in de nederlandse huiskamer komt (misschien in late docu-programma’s).

    Hoeveel tieners moeten er nog komen die opgepakt worden omdat ze stoere tiener-taal bezigen op sociale media?

    Kortom goed werk BOF !!!

  16. erick

    Aan X

    Het verschilt in zoverre dat die agent niet binnen komt
    alleen met toestemming
    of om te helpen.

    Daarnaast is het zijn taak om op een inbraak te reageren als ware het een kaping van een pc.
    In beide gevallen is het dus niet de bedoeling dat de agent in je pc zit je instellingen veranderd en een programma installeerd dat zichzelf start!
    Zoals het niet de bedoeling is da de agent de kamer binnenloopt je meubels verzet ,rondsnuffeld,koffie zet en je sloten op de deur veranderd.

  17. Lucien

    Beste Merel,

    Laat ik mij eerst even voorstellen. Ik ben Lucien Hordijk en ik studeer Sociologie en ik studeer af op een scriptie naar de verscheidenheid onder hacking en wat daaraan verbonden is. Het lijkt mij uitermate interessant om iemand/ een paar leden van BOF te interviewen om zo een extra dimensie te kunnen geven aan mijn studie. Veel van mijn respondenten dusver geven aan zich in te zetten voor Bits of Freedom en vandaar dat ik interesse heb om iemand te interviewen, zei het via een chat of in real life.

    Daphne heeft mij doorverwezen naar jou omdat je net klaar was met een onderzoek.

    Mvg

    Lucien

    email:ll_lucienhordijk@hotmail.com

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.