De organisatie van botnetbestrijding in Nederland

De organisatie van botnetbestrijding in Nederland Timo Schless TouW Informaticasymposium Amsterdam, 23 november 2013

At this moment, millions of people around the world are happily using their computers without realizing their system has been hijacked. While they are answering email or browsing Web sites, cybercriminals are surreptitiously using their computer to wreak havoc across the Internet—and beyond.

10 oktober 2013

De organisatie van botnetbestrijding in Nederland

2

De organisatie van botnetbestrijding in Nederland • Wat is een botnet? • Probleemstelling van het onderzoek • Theoretisch deel • Vraagstelling, onderzoeksopzet, conceptueel model • Uitkomsten literatuuronderzoek: eigenschappen, bestrijdingsmethoden, competenties, organisaties

• Empirisch deel • Vraagstelling en onderzoeksopzet • Uitkomsten interviews

• Conclusies • Aanbevelingen • Gelegenheid tot vragen 10 oktober 2013


3

Wat is een botnet? botmaster netwerk van geïnfecteerde computers

internet kent geen grenzen honderden tot duizenden bots

zelfverspreidend en zelforganiserend

10 oktober 2013

gecoördineerde aanvallen De organisatie van botnetbestrijding in Nederland

4

Probleemstelling: Doelstelling en vraagstelling Het doel van het onderzoek is vaststellen of de bestrijding van botnets in Nederland zodanig is georganiseerd dat daarmee de bestrijding van botnets effectief mogelijk is. •

Theoretisch deel: vaststellen • referentiemodel voor competenties en bevoegdheden

Empirisch deel: toetsing overeenkomst referentiemodel met de Nederlandse werkelijkheid

Is de bestrijding van botnets organisatorisch effectief ingericht in Nederland? 10 oktober 2013


5

Theoretisch deel: vraagstelling en onderzoeksopzet • Vier theoretische onderzoeksvragen: • • • •

T.1 Welke eigenschappen van botnets? T.2 Welke bestrijdingsmethoden? T.3 Welke competenties en bevoegdheden? T.4 Welke organisaties?

• Inductieve strategie: generalisatie van specifieke verschijningsvormen naar een algemeen model • Methode: literatuuronderzoek • 100 artikelen geselecteerd uit enkele duizenden resultaten van ACM, IEEE, Google Scholar • surveys en meta‐onderzoeken • antwoord op onderzoeksvraag, ouderdom, verwijzingen, tegenspraken 10 oktober 2013


6

Conceptueel model Botnet Botnet

Organisatie Organisatie Botnetbestrijding

Oogmerk(en) Botnet

Competentie is bepalend voor

Botnetbe‐ strijdings‐ methoden

vereist

Botnet‐ structuur

Bevoegdheid

• Het referentiemodel specificeert deze relaties voor de Nederlandse situatie. 10 oktober 2013


7

Referentiemodel Botnetbestrijdingsmethoden Botnet

Organisatie

Botnet‐ structuur Oogmerk Botnet

Oogmerk Botnet

Competentie Bevoegdheid

Competentie Bevoegdheid

10 oktober 2013


8

Eigenschappen van botnets T.1 Welke soorten botnets kunnen op basis van hun eigenschappen worden onderscheiden?

Oogmerk

Commandostructuur

•

Cybervandalisme

•

Centrale commandostructuur

•

Misdaad via internet

•

•

Cybercriminaliteit

Decentrale commandostructuur: peer‐to‐peer botnets

•

Hacktivisme

•

•

Cyberterrorisme

Hybride commandostructuren: clouddiensten, servant bots en client bots

•

Cyberoorlog

10 oktober 2013


9

Oogmerk van botnets Intention

Description

cyber vandalism undesirable activities (not necessarily criminal), such as insulting tweets or bullying on social media, by individuals for pleasure or recalcitrance crime over the internet

criminal activities supported by the internet, such as child pornography, racism, stalking or piracy, by individuals or criminals for profit or pleasure

cyber crime

criminal activities that primarily take place on/by the internet, such as phishing, denial‐of‐service attacks, sending spam, click fraud, digital burglary and stealing information, by criminal organizations for financial or other gain activities such as (threatening with) denial‐of‐service attacks or digital burglary, usually for publicity by groups with a political or ideological purpose

hacktivism cyber terrorism

activities such as (threatening with) sabotage of vital facilities by or on behalf of groups with a political or ideological purpose

cyber war

activities such as digital espionage, (threatening with) sabotage of vital or military facilities with cyber attacks on computer systems, supporting psychological warfare by spam or enforcing censorship, by or on behalf of national states

10 oktober 2013


10

Centrale commandostructuur botmaster centrale server

bots

target

10 oktober 2013


11

Decentrale commandostructuur botmaster

bots

target

10 oktober 2013


12

Hybride commandostructuur botmaster

clouddienst social media

flux proxy’s

Servant bots

flux proxy’s

Client bots

target

10 oktober 2013


13

Aanvalsvormen (extern) Aanvalsvorm

Beschrijving

Mogelijk oogmerk Kenmerkend voor alle botnets, dus past bij elk mogelijk oogmerk

Verspreiding van het botnet Distributed denial‐of‐ service attack

Het onbruikbaar of onbereikbaar maken van computers, netwerken en daarvan afhankelijke apparatuur door het sturen van een overvloed aan netwerkverkeer

Cybervandalisme Cybercriminaliteit Hacktivisme, Cyberterrorisme en Cyberoorlog

Spam

Verzenden van (massale) e‐mails voor commerciële doeleinden, om schadelijke software te verspreiden, of mogelijk misleidende informatie en propaganda in het kader van hacktivisme, cyberterrorisme en cyberoorlog

Cybercriminaliteit mogelijk ook (gerichter) in het kader van Hacktivisme, Cyberterrorisme en Cyberoorlog

Phishing / Identity Fraud

Verzenden van (massale) e‐mails voor oplichting of het ontfutselen van informatie

Cybercriminaliteit, mogelijk ook (gerichter) in het kader van Hacktivisme, Cyberterrorisme en Cyberoorlog

Click fraud

beïnvloeden enquêtes, verkiezingen en advertentieverwijzingen (zgn. click through rates).

Cybercriminaliteit, mogelijk ook Cybervandalisme of Hacktivisme

10 oktober 2013


14

Aanvalsvormen (intern) Aanvalsvorm Downloaden en installeren van schadelijke software Sniffing

Spyware / Key Logging

Adware Nuisance Attacks Logic Bombs / Ransomware Opslaan van Verboden Gegevens 10 oktober 2013

Beschrijving Het installeren van aanvullende of bijgewerkte schadelijke software door de bot agent voor aanvullende of verbeterde functionaliteit. Het bekijken van netwerkverkeer om informatie zoals wachtwoorden, identiteitsgegevens of andere gevoelige informatie te achterhalen. Het registreren van toetsaanslagen om informatie zoals wachtwoorden, identiteitsgegevens of andere gevoelige informatie te achterhalen. Het weergeven van ongewenste advertenties Het uitvoeren van hinderlijke activiteiten op computersystemen Het (dreigen met) uitschakelen van computersystemen of wissen van gegevens als niet aan bepaalde voorwaarden wordt voldaan. De geïnfecteerde computer wordt gebruikt om verboden gegevens op te slaan

Mogelijk oogmerk Cybervandalisme, Cybercriminaliteit, Hacktivisme, Cyberterrorisme en Cyberoorlog Cybercriminaliteit, Cyberterrorisme en Cyberoorlog Cybercriminaliteit, Cyberterrorisme en Cyberoorlog Cybercriminaliteit Cybervandalisme, Hacktivisme en Cyberoorlog Cybercriminaliteit Cyberterrorisme en Cyberoorlog Misdaad over Internet, Cybercriminaliteit


15

Bestrijdingsmethoden T.2 Welke methoden kunnen worden onderscheiden voor de bestrijding van botnets?

• Individuele bots • Verwijderen bot / bot agent

• Botnetstructuur • Overname of uitschakelen commandoserver(s) • Verstoring van het botnet met gemanipuleerde bots • Overname of verstoring van het botnet door manipulatie van de communicatie

• Botmaster • Arresteren en vervolgen van de botmaster(s) • Botmaster(s) en/of opdrachtgevers en/of infrastructuur fysiek uitschakelen 10 oktober 2013


16

Bestrijdingsmethoden Individuele Bots • Verwijderen bot / bot agent • in zichzelf niet effectief voor de bestrijding van een botnet • vooral preventief middel • signatuur van de botagent is bekend zodat deze wordt ontdekt door antivirussoftware

10 oktober 2013


17

Bestrijdingsmethoden Botnetstructuur (1) • Overname of uitschakelen commandoserver(s) • (Eenvoudige) botnets met een centrale commandostruct. • Werking van het botnet en (locatie van) commandoserver(s) zijn in voldoende mate bekend • Hostingproviders werken mee

10 oktober 2013


18

Bestrijdingsmethoden Botnetstructuur (2) • Verstoring van het botnet met gemanipuleerde bots • (Complexere) botnets met een decentrale of hybride commandostructuur • Zelfvernietigingsopdracht, vervuiling van gegevens, etc. • Werking van het botnet is goed bekend, incl. encryptie • Eventuele encryptiesleutels kunnen worden gekraakt. • Infecteren met gemanipuleerde botagents, al dan niet gebruik makend van het oorspronkelijke botnet

10 oktober 2013


19

Bestrijdingsmethoden Botnetstructuur (3) • Overname of verstoring van het botnet door manipulatie van de communicatie • (Complexere) botnets met een decentrale of hybride commandostructuur. • Werking van het botnet is goed bekend, incl. encryptie • Internet/DNS‐aanbieders werken mee.

10 oktober 2013


20

Bestrijdingsmethoden Botmaster • Arresteren en vervolgen van de botmaster(s) • Botnets met als oogmerk: cybervandalisme, misdaad over internet, cybercriminaliteit en hacktivisme en cyberterrorisme • De botmaster kan worden opgespoord met medewerking van autoriteiten en internetaanbieders in betrokken landen. • Er kan voldoende bewijslast worden veiliggesteld.

• Botmaster(s) en/of opdrachtgevers en/of infrastructuur fysiek uitschakelen • Botnets met cyberterrorisme en cyberoorlog (F) als oogmerk. • Fysieke locatie van de botmaster kan worden achterhaald met beperkte of zonder medewerking van autoriteiten en internetaanbieders in andere landen door middel van reguliere en bijzondere inlichtingenmethoden. • De (militaire) capaciteit is beschikbaar, proportioneel en toereikend voor fysieke uitschakeling. 10 oktober 2013


21

Competenties en bevoegdheden T.3 Welke competenties en bevoegdheden zijn nodig voor de toepassing van de geïdentificeerde bestrijdingsmethoden [T.2]? Detectie & analyse

Bestrijding (technisch)

1.actieve detectie: honeynet 2.passieve detectie 3.malware onderzoek 4.onderzoek van het gedrag 5.ontcijferen Bestrijding (juridisch)

6.verwijderen botagents 7.overnemen commandoserver 8.verstoren met gemanipuleerde bots 9.manipulatie van de communicatie 10.overnemen communicatie Bestrijding (fysiek)

11.traceren op internet 12.regulier opsporen botmaster 13.arresteren en vervolgen 14.beslag commandoserver 15.veiligstellen bewijsmateriaal.

16.bijzondere wijze opsporen in het buitenland 17.fysiek uitschakelen

Algemeen 18.samenwerking 10 oktober 2013

19.onderzoek De organisatie van botnetbestrijding in Nederland

22

Organisaties T.4 Welke soorten organisaties zouden betrokken moeten zijn bij een effectieve bestrijding van botnets, gegeven de geïdentificeerde benodigde competenties en bevoegdheden [T.3]?

• Publieke organisaties •

Nationale Coördinator Terrorismebestrijding en Veiligheid

•

Inlichtingen‐ en Veiligheidsdiensten

•

Openbaar Ministerie

•

Politie

•

Krijgsmacht

• Private organisaties •

IT‐bedrijven (internetaanbieders, computerbeveiligingsbedrijven)

•

Vitale bedrijven (banken, energiesector, etc.)

•

Niet‐vitale bedrijven en particulieren

10 oktober 2013


23

Uitkomsten literatuuronderzoek • Effectieve analyse en bestrijding alleen mogelijk met competenties waarbij moet worden ‘teruggehackt’: • Analyse: • 4.onderzoek van het gedrag; 5.ontcijferen • Bestrijding • 7.overnemen commandoserver; 8.verstoren met gemanipuleerde bots; 9.manipulatie van de communicatie; 10.overnemen communicatie.

• Hiaat in de effectieve bestrijding vanwege verbod op ‘terughacken’

10 oktober 2013


24

Empirisch deel: vraagstelling en onderzoeksopzet • 10 empirische onderzoeksvragen die systematisch de relaties van referentiemodel vergelijken met de Nederlandse situatie • Deductieve strategie: toetsing van het referentiemodel met de werkelijkheid • Methode: semigestructureerd interview • Operationalisering door afleiden interviewvragen uit conceptueel model en empirische onderzoeksvragen

10 oktober 2013


25

Empirisch deel: vraagstelling en onderzoeksopzet • Onderzoek bij 6 organisaties: • Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en Nationaal Cyber Security Centrum (NCSC) • Defensie Computer Emergency Response Team (DefCERT) • Openbaar Ministerie (OM) • Politie: Team High Tech Crime (THTC) van de Nationale Recherche • Computerbeveiligingsbedrijf Fox‐IT

• Focus op civiele overheidsorganisaties • Niet verder onderzocht: • Krijgsmacht en inlichtingendiensten (gezien hun specifieke taakstelling) • Botnetintentie cyberoorlog • Bestrijdingsmethoden gericht op de fysieke uitschakeling 10 oktober 2013


26

Validiteit en betrouwbaarheid • Validiteit: is daadwerkelijk gemeten wat beoogd werd te meten? • Duidelijke concepten op basis van theoretisch onderzoek • Interviewmethode stelt wederzijds begrip met geïnterviewde zeker • Geen beïnvloeding of verandering van het onderzoeksobject

• Betrouwbaarheid: mate van onafhankelijkheid van het toeval. • Structuur en samenhang tussen referentiemodel, empirische onderzoeksvragen en interviewvragen • Kritisch interview en doorvragen voorkomt deelnemersfouten, vertekening en subjectieve antwoorden • Beperkt aantal organisaties, maar consistentie tussen interviews

10 oktober 2013


27

Uitkomsten interviews • Brede, multilaterale samenwerking • Fora en werkgroepen • Liaisonfunctionarissen

• Wederzijdse belangen en wederzijds vertrouwen • Geen competenties voor bestrijding complexe botnets: • Verstoring met gemanipuleerde bots • Overname of verstoring door manipulatie van de communicatie, m.u.v. ‘sinkholes’

10 oktober 2013


28

Conclusies t.a.v. referentiemodel • Meer betrokken organisaties: • • • •

Nederlands Forensisch Instituut (NFI) Stichting Internet Domeinnaamregistratie Nederland (SIDN) Ministerie van Economische Zaken Autoriteit Consument en Markt (ACM)

• Geen indeling of taxonomie van botnets • Relatie tussen oogmerk, structuur en bestrijdingsmethode onvoldoende duidelijk

10 oktober 2013


29

Conclusies (1) • Relatief eenvoudige botnets in Nederland kunnen effectief worden bestreden • Notice‐and‐take‐down procedure • Klassieke opsporingsmethoden • Terughacken door politie in bepaalde gevallen toegestaan door OM

• Maar…. • Geen van de partijen beschikt over benodigde competenties om complexe botnets te bestrijden • Aantal essentiële competenties voor de bestrijding van botnets alleen door de overheid worden aangewend • Overheid heeft alleen rechtsmacht binnen Nederland • Afhankelijkheid van samenwerking met veel private partijen: vitale bedrijven, internetaanbieders, computerbeveiliginsgbedrijven

• Dus de organisatie voor botnetbestrijding is nog niet volledig effectief ingericht 10 oktober 2013


30

Conclusies (2) • Wederzijdse belangen en vertrouwen • Houdbaarheid van samenwerking op de lange termijn • Mate van gestructureerdheid • Monopolie vs. kennis & resources bij de overheid • Metcalf’s Law: n2 – n (waardevermeerdering netwerk vs. aantal koppelvlakken)

10 oktober 2013


31

Aanbevelingen • Onderzoeken onder welke omstandigheden ‘digitale zelfverdediging’ mogelijk zou moeten zijn • Raamwerk voor ‘cyber defence’ • Multilaterale structuur • Waarborg voor wederzijdse belangen op langere termijn

10 oktober 2013


32

Aanbevelingen Nieuwe onderzoeksvragen: 1.

Relatie tussen complexiteit en zwaarder oogmerk?

2.

Onder welke voorwaarden is digitale zelfverdediging mogelijk dan wel gewenst?

3.

Hoeveel botnets zijn er in Nederland actief (geweest) en effectief bestreden?

4.

Welke belangen prevaleren bij botnetbestrijding? Bijv.: opsporing, contingency, herstel?

5.

Kan de overheid in de toekomst beschikken over voldoende kennis en middelen om het monopolie op terughacken te behouden?

6.

Vertaling van referentiemodel naar operationele richtlijn?

7.

Samenwerkingsstructuur voor beleidsafstemming, strategische kennisdeling, signalering en operationele informatie‐uitwisseling?

10 oktober 2013


33

De organisatie van botnetbestrijding in Nederland Vragen?

De organisatie van botnetbestrijding in Nederland

Recommend Documents