We proudly present BitLabs: ons samenwerkingsplatform

De broncode van het KLPD Bredolab programma

Ook onversleutelde teksten worden slecht gelezen

Bij het neerhalen van het criminele computernetwerk Bredolab in 2010 heeft het KLPD het netwerk zelf ingezet om een eigen computerprogramma te verspreiden. Op die manier wilde het KLPD de besmette gebruikers waarschuwen. Eindelijk weten we nu wat het programma precies deed: we hebben de broncode!

Dat de politie alles uit de kast haalt om een crimineel computernetwerk onschadelijk te maken en de criminelen erachter op te sporen is natuurlijk lovenswaardig. Maar toen in 2010 bleek dat de politie daarvoor had ingebroken op de computers van slachtoffers, was er direct ontzettend veel kritiek. Mag de politie bij zo’n actie eigenlijk wel inbreken op de computers van besmette gebruikers? Mag de politie wel zomaar een eigen programma op iemands computer installeren en uitvoeren? En wat als die computer in het buitenland staat?

Die discussie is ook op dit moment minstens zo actueel, nu minister Opstelten heeft aangekondigd een wetsvoorstel voor te bereiden om dat soort acties alleen maar nog makkelijker te maken.

In het TV-programma Nieuwsuur vertelde Ronald Prins van het beveiligingsbedrijf Fox-IT destijds hoe de besmette gebruikers werden gewaarschuwd:

“Wat [de verdachte] dus zelf deed is kwaadaardige software verspreiden. Daar heeft hij een infrastructuur voor gebouwd. In die infrastructuur hebben we nu ingebroken en we gebruiken dat om onze eigen kwaadaardige software te verspreiden. Wat eigenlijk niet zo kwaadaardig is, wat alleen maar aan de gebruiker vertelt dat zijn computer onderdeel was van dit botnet.”

Wim de Bruin van het Landelijk Parket zag dat anders en zei dat de politie helemaal geen eigen software had ge-upload. Natuurlijk hebben wij ook hierover een Wob-verzoek gestuurd. Het vorige verzoek, in 2011, werd geweigerd omdat het opsporingsonderzoek nog liep. Recent werd al een evaluatie openbaar gemaakt. Nu heeft het ministerie van Veiligheid en Justitie ons ook de broncode van het programma verstrekt. En dat ziet er zo uit:

program OpenTHTCPage;
uses
  Window,
  ShellApi;
begin
   try
   ShellExecute(0, 'open', 'http://teamhightechcrime.nationale-
     recherche.nl/nl_infected.php', nil, nil, SW_SHOWNORMAL);
   except
     // ignore
   end
end

Niet meer dan een klein stukje code in de programmeertaal Delphi 6. Bredolab was overigens niet het eerste criminele computernetwerk waarbij het KLPD zelf een programma verspreide om slachtoffers te waarschuwen. Ze deed dat eerder bij het ShadowBot netwerk. Ook daarvan is de broncode nu openbaar:

int main(int argc, char* argv[]) {
        ShellExecuteW(0, L"open", L"http://www.nationale-
          recherche.nl/", 0, 0, SW_SHOWNORMAL);
        return 0;
}

Het resultaat van onze aanhoudende Wob-verzoeken laat zien dat de beide programma’s gelukkig niet meer doen dan slechts het openen van een pagina op de website van het KLPD. Maar dat neemt niet weg dat alleen al dit beetje code ook door criminelen gemakkelijk misbruikt kan worden. Los van alle andere vragen die deze tactiek opwerpt onderstreept dit maar weer eens hoe kritisch het KLPD, het ministerie van Veiligheid en Justitie én wij moeten zijn.

  1. Alex

    Het openbaar maken van dergelijke dingen maakt het al gewoon een stuk betrouwbaarder. Nu weten we tenminste wat er gedaan word, als er schimmig over word gedaan dan doet dat gelijk alle alarmbellen rinkelen.
    Beetje meer transparantie in de overheid mag wel imho, zou een stuk meer vertrouwen opwekken dan alles maar in de doofpot stoppen, want dat werkt niet omdat mensen er toch wel achter komen.

  2. JB

    “Maar dat neemt niet weg dat alleen al dit beetje code ook door criminelen gemakkelijk misbruikt kan worden.”

    Lijkt me sterk. Het laat zien dat ALS je eenmaal binnen bent, je shell commando’s kunt uitvoeren, zoals bijvoorbeeld het tonen van een webpagina. Maar HOE je binnen moet komen. Dat staat niet in deze code.

    Dat je een webpagina kunt openen door in W7 op de startknop te klikken en dan in de “search programs and files” een url op te geven, is nou ook weer geen groot geheim. Dus ALS criminelen hier al iets van kunnen leren, hebben ze nog HEEL veel te leren voordat ze hun eigen botnet gemaakt hebben.

  3. flupzor

    De o in dit stukje moet een 0 zijn. Is dit een fout bij het overnemen of hebben jullie het zo gekregen?

    “ShellExecuteW(o, ”

    Mooi werk trouwens 🙂

  4. Bert

    De overheid is een crimineel aan het worden. Spionagediensten van landen en bedrijven en criminelen wordt ook nog de weg gewezen.

    Overheid en betrouwbaarheid? Kijk naar het pikmeer arrest en hoe manipulerende rechters Kalbfleisch en Westenberg via trucs vrijgesproken worden.

  5. Ben

    @JB: Je wilt niet weten hoeveel scriptkiddies kant&klare botnet-programma’s gewoon van crackers kopen, en eigenlijk geen flauw idee van scripten hebben.

  6. Hawick

    Tegen m’n gewoonte in geen harde kritiek op KLPD.
    Ik denk dat dit ‘proportioneel handelen’ genoemd mag worden.

    Het is inderdaad een serieus dilemma, of je hiermee niet al te veel prijs geeft.

    Mijn voorstel: een onafhankelijke 3e partij die algemeen als integer en competent wordt gezien wel de code opsturen, maar met het verzoek de code niet te publiceren, maar te volstaan met een mededeling:
    “We hebben van de KLPD de broncode ontvangen. E.e.a. lijkt
    ons plausibel en proportioneel en maakt gebruik van al geinstalleerde malware, zonder daar zelf iets aan toe te voegen. De KLPD verzocht ons deze code niet verder te verspreiden. De code verwees alleen naar de volgende pagina op het internet .”

    Theoretisch zou de Tweede Kamer dat moeten doen, maar die missen competentie / visie / capaciteit en zijn te veel bezig met hun eigen marktpositie. De politieke partijen zijn momenteel namelijk een kleine minderheid en allerminst reprresentatief voor de maatschappij. Ook over integriteit is best wel een discussie mogelijk.

    Ik denk dat een dergelijke benadering [onafhankelijke trusted third party] ook wat rust brengt bij het privacy versus Justitie/Politie debat.

    Zij en de verdere overheid moeten ook een groeiproces doormaken
    en accepteren dat de politiek en de burgers steeds minder vertrouwen hebben in topambtenaren.

    We praten wel crisis door over falend toezicht: Tegenover elke grootgraaier staan minstens 25 ambtenaren die hun mond hebben gehouden of onvoldoende invulling aan hun toezicht hebben gegeven.

    We hebben op alle niveau’s veel meer toezicht te houden op onze topambtenaren. Als sector hebben ze stelselmatig en over volle breedte gefaald en geen maat gehouden.
    Nu is het tijd voor een geleidelijke normalisatie.
    En laat in godsnaam de slinger niet doorslaan naar de andere kant.

    Politici / Top-ambtenaren en iedere leidinggevende in semi-overheid of bij belastingpachters [energie en telecom bedrijven] MOETEN zich toetsbaar opstellen. Zo niet: opduvelen. Zo ja: krijgen ze van mij best een hoop ruimte en netjes en royaal de gelegenheid voor een open discussie en/of een verbetertraject.

    De arrogantie van regenten, waardoor ook andere ambtenaren niet durven te rapporteren, moet doorbroken worden. Niet het bestel of zo.

    Door deze actie heeft men bij het KLPD laten zien dat men daar een stap verder is gekomen. Niet alles hoeft op straat, hun werk brengt met zich mee dat er dingen geheim moeten blijven. We [of in ieder geval ik] worden argwanend als de normale democratische processen ter controle hierop worden gefrustreerd.

    Daarom vond en vind ik het zo ontzettend belangrijk dat duideljik wordt wat het rendement is van telefoontaps. De quantitatieve gegevens wijzen op grof dysproportioneel gebruik.

    Zo ook de recente discussie over inkijk-operaties in PC’s.

    Voor het landelijk patientendossier is dit ongewenst.

    Volgens de Patriot-act zijn zowel Microsoft als CISCO
    verplichtmeetewerken aan inzage OOK IN HET PATIENTENDOSSIER.

    Dat betekent dat de beveiliging volledig staat of valt bij
    contracten en verdragen. Volgens diezelfde Patriot Act gaat de Patriot Act voor dergelijke verdragen en voor overeenkomsten
    tussen leveranciers en het nationaal schakelpunt.

    Dat betekent dat het schakelpunt zelf w.s.veilig [genoeg] is, maar
    dat de verbindingen en de tienduizenden PC’s in de zorg dat niet zijn.

    Beveiliging middels certificaten is al een gebleken fragiel systeem. Wie het daarover met mij oneens is, moet maar een studie maken van hoe de Chinese overheid / Israel / Iran en de VS hier al gebruik van hebben gemaakt. Het probleem met DigID is daarmee vergeleken volslagen kinderspel.

    In het recente verleden zijn telefoontaps van gesprekken tussen advocaten en clienten gepleegd en is de inhoud zowel gebruikt bij opsporing, als beland in dossiers die het OM in rechtzaken heeft gebruikt. Dat is bewezen. Dat is geen eenmalig incident. Dit is meermalen door de onafhankelijke rechter vastgesteld.

    De info in het nationaal patientendossier geniet een vergelijkbare vertrouwelijkheid. Dus als dan in de media verschijnt dat het OM en de politie vinden dat inkijk-operaties in computers mogen, dan is enige kritiek toch wel gerechtvaardigd. Anders vrees ik dat het vroeg of laat door een of andere hacker wordt geinterpreteerd als een uitdaging om een lijst te publiceren van alle justitiemedewerkers die ooit zijn behandeld voor schaamluis.

    Want nog steeds is niet duidelijk hoe het OM denkt te kunnen voorkomen dat PC’s van mensen die legitiem aanspraak maken op vertrouwelijkheid van hetgeen op/met hun PC wordt gedaan, niet doelwit worden van gehack. En met de telefoontaps hebben ze zich niet van hun beste kant laten zien.

    En wat ze denken te doen om de extra-territoriale effecten van de Patriot Act te beperken is nog helemaal een raadsel.

    De bestuurders hebben zich trouwens evenmin van hun goede kant laten zien: die wisten dondersgoed van de Patriot Act en het feit dat behalve de schakelpunten ook tienduizenden PC’s duidenden CISCO switches te hacken zijn.

    Het landelijk electronisch patientendossier is veel kwetsbaarder dan de politiek bluft.

    Maar om terug te komen op de lovenswaardige stap van het KLPD:
    Het voorbeeld van het electronisch patientendossier in samenhang met de Patriot Act laat zien dat we [bevolking en overheid]
    nog lang niet volwassen met deze materie omgaan.

    Het eerdere gestuntel met taps van advocaten doet vrezen
    dat ook het EPD gecompromitteerd zal worden.

    Tegelijk draait > 90% van alle PC’s windows en zijn Microsoft
    EN leveranciers zoals CISCO staat ook onder de invloed van amerikaanse rechters.

    Nu het KLPD een voorzichtige eerste stap heeft gezet de publieke vraag: hoe zorgen we dat enerzijds opsporing mogelijk blijft waar dit redelijk en proportioneel is en anderzijds dat de integriteit van het patientendossier kan worden geborgd ?

    Wie heeft er een slim idee ?

  7. Hawick

    Sinds 14 december geen slim idee. Jammer, want deze kwestie is best belangrijk en alle partijen hebben er belang bij, dat we dit netjes oplossen.

    Misschien moet een ieder ook maar eens kennis nemen van de argumenten die in Engeland zijn gebruikt om centrale databases
    met patientengegevens en met vingerafdruk data te ontmantelen.
    Leerzame stof !

    Hoe ver zijn de gemeentes nu met het verwijderen van vingerafdruk data uit hun bestanden? Want op gemeenteljik niveau zijn er veel punten waar het toezicht faalt.

    De overheid houdt zich slecht aan eigen wetten en regels.

    Ik ken zelfs een rechtzaak waarbij een bestuursrechter ONGEVRAAGD een gemeente een direct opeisbare dwangsom
    oplegde, omdat die gemeente bij hem bekend stond als dat ze
    vrijwel systematisch gerechtelijke uitspraken weigerden uit te voeren.

    Over dergelijke wantoestanden vind geen publiek debat plaats,
    helaas. Jarenlang heeft ook het Min BiZa hier niet bij ingegrepen. Ook dat is een missstand. De politiek heeft niet ingegrepen op het niet-ingrijpen van BiZa en dat is de derde misstand.

    Veel van mijn kritiek op de overheid gaat in feite over ontsporingen
    door ernstig te kortschietende zelfreinigende capaciteit van overheden en diensten.

    Politiek: U moet toezicht houden en minder aan de eigen
    persoonlijke PR denken !!!!

    Als de politiek en de ambtelijke top blijk geven van voldoende zelfreinigend vermogen, dan zijn de zaken waar Bits for Freedom vecht voor een groot deel beschaafde discussie onderwerpen
    en is de hele wet openbaarheid van bestuur niet nodig.

    De overheid moet ELKE WOB aanvraag beschouwen als dat
    de bevolking ernstige twijfels heeft over het zelfreinigend vermogen van de overheid.

    Elke politicus / ambtenaar is primair DIENAAR van het volk en dient zich als zodanig te gedragen. Degene die dat niet doet moet er uit, is een rotte appel. Het volk is er niet voor de overheid, maar de overheid is er voor het volk.

Laat een antwoord achter aan Hawick Antwoord annuleren

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.