De manier waarop het KLPD het Bredolab-botnet uitschakelde blijft grotendeels geheim. Dat blijkt uit een evaluatie die privacyonderzoeker Rejo Zenger ontving. Het Bredolab-botnet werd eind 2010 door de Nationale Recherche uitgeschakeld. Het botnet werd gebruikt om op grote schaal andere virussen en spam te verspreiden en nieuwe botnets aan te maken.
143 van de botnetservers waren bij de Nederlandse hostingprovider Leaseweb ondergebracht. Uit de evaluatie komt naar voren dat Leaseweb op 27 juli 2010 het Team High Tech Crime (THTC) inlichtte en drie dagen de tijd gaf om te reageren. Anders zou de provider het botnet uit de lucht halen, om zo verdere schade te voorkomen. Uiteindelijk werd een onderzoek gestart om de werking van het botnet in kaart te brengen, de verdachte aan te houden en zich op afnemers van het botnet te krijgen.
Aandacht
Een ander belangrijk punt tijdens de operatie was het generen van media-aandacht, mede bedoeld om aandacht te vragen voor de risico's van botnets en slachtoffers te waarschuwen. "De mediastrategie was al voordat het onderzoek begon, uitgestippeld: het was een doelstelling van het proeftuinproject Taurus om aan het einde van de looptijd met een wereldwijde actie random botnets te komen om aandacht voor de risico's te genereren."
Verder wordt duidelijk dat op de actiedag het botnet niet werd ontmanteld, maar overgenomen. "In tegenstelling tot wat velen dachten." Hierdoor kon het THTC de slachtoffers via een pop-up op de computer waarschuwen dat de machine geïnfecteerd was. "Het was niet de eerste keer dat THTC deze techniek gebruikte, maar ditmaal heeft het wel voor enige kritiek gezorgd", aldus de evaluatie.
Knoppen
Veel details en passages in de verstrekte evaluatie zijn onherkenbaar gemaakt. Wel wordt duidelijk dat de publiek-private partijen met wie werd samengewerkt duidelijkere werkafspraken willen. "Vooraf dient beter nagedacht en vastgelegd te worden 'wie strafvorderlijk gezien op welke knoppen mag drukken'. Daarnaast is een terugkoppeling op de door hen verrichte werkzaamheden gewenst."
Tevens noemen de opstellers van het rapport dat het THTC, gezien cybercrime een grensoverschrijdende misdaad is, zich meer dient te verdiepen in de landen waarmee het te maken heeft zodat hier beter op geanticipeerd kan worden. "Rusland en Armenië kennen bijvoorbeeld een formalistische en bureaucratische structuur. Deze landen vragen om een specifieke benadering."
Deze posting is gelocked. Reageren is niet meer mogelijk.