Het succes dat de Nationale Recherche tegen het Bredolab-botnet zou hebben geboekt is enorm opgeblazen, dat zegt Michel van Eeten, wetenschapper, weblogger en schrijver. Van Eeten werkt als hoogleraar Technische Bestuurskunde aan de TU Delft. Hij hekelt vooral het mediaoptreden, waarin werd voorgedaan alsof het botnet volledig was verslagen. Een aantal dagen later werd echter duidelijk dat sommige command & control (C&C) servers nog operationeel zijn, omdat ze bij niet-Nederlandse hostingproviders waren ondergebracht.

"Een aantal dagen later, toen politie nog van alle lof over hun succes aan het genieten was, herrees het botnet. Gênant? Ja. Verrassend? Niet echt. Het onderstreept een fundamenteel misverstand over de strijd tegen botnets", schrijft Van Eeten. "In tegenstelling tot wat de Nederlandse politie beweert en veel mensen denken, kan justitie geen botnets uitschakelen."

Voorheen werd er altijd gezegd dat de strijd tegen botnets zeer lastig is, maar de afgelopen maanden werd het Waledac-botnet aangepakt en werden tientallen Zeus-criminelen aangehouden. "Waarom is justitie opeens veel succesvoller dan in het verleden?" vraagt Van Eeten zich af.

Het antwoord is volgens hem tweeledig. Ten eerste heeft justitie meer kennis opgebouwd en werkt men beter samen. Het tweede gedeelte is dat men het botnet niet echt uitschakelt, maar een specifiek onderdeel ervan, namelijk de C&C-server. Tijdens de ontmanteling van het botnet bij hostingprovider LeaseWeb en arrestatie van de vermoedelijk Armeense botnetbeheerder, draaide de PR-machine op volle toeren. De uitschakeling werd daarbij zelf opgenomen, waarbij een cameraman een medewerker van het hostingbedrijf filmde die de servers uitschakelde. "Tenminste, dat is wat ze de kijkers wilden laten geloven. In werkelijkheid stonden de servers die Bredolab gebruiken verspreid over het datacentra. Dus lieten ze de werknemer een rack met servers uitschakelen dat al niet meer werd gebruikt en niets met Bredolab te maken had."

Opgeblazen
Volgens Van Eeten stopte het mediaoptreden daar niet en heeft het OM op verschillende manier het succes van hun actie opgeblazen. Zo is niet het hele botnet, maar alleen de C&C-servers uitgeschakeld. Alle besmette machines zijn nog steeds met de Bredolab bot besmet. De aanname dat door het ontbreken van de C&C-servers dit geen risico meer vormt, is volgens Van Eeten een foute conclusie. "Het is begrijpelijk en zeker niet uniek voor de Nederlandse politie om eigen succes op te blazen. Maar het probleem is dat het de rol die justitie in de strijd tegen botnets speelt miskent. Het is één ding om een C&C-server uit te schakelen, maar een ander om een heel botnet uit de lucht te halen." Het uitschakelen van de C&C-servers heeft dan ook alleen op de korte termijn een impact, waarna de oude situatie zich weer snel herstelt. "Het is als het arresteren van een drugsdealer. Als je niet succesvol de infrastructuur ontregelt, wordt hij gewoon door een ander vervangen."

Van Eeten zet ook vraagtekens bij het door politie genoemde aantal infecties van 30 miljoen. Tijdens een periode van maand zegt men drie miljoen besmette machines te hebben gezien, waarna dit naar dertig miljoen werd geëxtrapoleerd. hier zitten echter nog wat haken en ogen aan. Het tellen van unieke IP-adressen kan ervoor zorgen dat machines met dynamische IP-adressen meerdere keren worden geteld. Daardoor wordt de omvang van het botnet met een factor 10 overdreven stelt Van Eeten aan de hand van een eerder uitgevoerd onderzoek.

Aandacht
"Waarom is deze overdrijving relevant? Omdat het wederom het gevecht tegen botnets miskent. In dit gevecht belooft het uitschakelen van C&C-servers een snelle, zichtbare, maar kortstondige overwinning. Snel en zichtbaar betekent dat het politieke aandacht en subsidie trekt." Inmiddels zou het Ministerie van Binnenlandse Zaken een voorstel van de private sector ondersteunen om al het C&C-verkeer te 'blackholen'. Volgens Van Eeten is dit voor verschillende redenen geen goed plan, omdat het de botnets in kwestie niet uitschakelt. "Hoe succesvoller de aanvallen tegen gecentraliseerde C&C-servers, des te meer zullen criminelen andere technieken gebruiken, zoals peer-to-peer C&C. Iets wat al geruime tijd aanwezig is. "Het is dus niet lastig om over te schakelen en de kostbare Nederlandse plannen onbruikbaar te maken."

Van Eeten merkt op dat het echte gevecht het schoonmaken van alle besmette machines is. "Dit is geen heroïsch gevecht met criminelen, maar een arbeidsintensief proces waarbij internetproviders hun eigen klanten waarschuwen." Daarbij maakt het een groot verschil of het om drie of dertig miljoen machines gaat. "Succes in de strijd tegen botnets begint met het begrijp waar het gevecht uit bestaat. De Nederlandse politie is in dit opzicht niet behulpzaam, maar misschien is dat teveel gevraagd. Het is veel erger dat bijna iedereen die over dit incident rapporteert hun overdreven claims napraat."