De organisatie van botnetbestrijding in Nederland Timo Schless TouW Informaticasymposium Amsterdam, 23 november 2013
At this moment, millions of people around the world are happily using their computers without realizing their system has been hijacked. While they are answering email or browsing Web sites, cybercriminals are surreptitiously using their computer to wreak havoc across the Internet—and beyond.
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
2
De organisatie van botnetbestrijding in Nederland • Wat is een botnet? • Probleemstelling van het onderzoek • Theoretisch deel • Vraagstelling, onderzoeksopzet, conceptueel model • Uitkomsten literatuuronderzoek: eigenschappen, bestrijdingsmethoden, competenties, organisaties
• Empirisch deel • Vraagstelling en onderzoeksopzet • Uitkomsten interviews
• Conclusies • Aanbevelingen • Gelegenheid tot vragen 10 oktober 2013
De organisatie van botnetbestrijding in Nederland
3
Wat is een botnet? botmaster netwerk van geïnfecteerde computers
internet kent geen grenzen honderden tot duizenden bots
zelfverspreidend en zelforganiserend
10 oktober 2013
gecoördineerde aanvallen De organisatie van botnetbestrijding in Nederland
4
Probleemstelling: Doelstelling en vraagstelling Het doel van het onderzoek is vaststellen of de bestrijding van botnets in Nederland zodanig is georganiseerd dat daarmee de bestrijding van botnets effectief mogelijk is. •
Theoretisch deel: vaststellen • referentiemodel voor competenties en bevoegdheden
Empirisch deel: toetsing overeenkomst referentiemodel met de Nederlandse werkelijkheid
Is de bestrijding van botnets organisatorisch effectief ingericht in Nederland? 10 oktober 2013
De organisatie van botnetbestrijding in Nederland
5
Theoretisch deel: vraagstelling en onderzoeksopzet • Vier theoretische onderzoeksvragen: • • • •
T.1 Welke eigenschappen van botnets? T.2 Welke bestrijdingsmethoden? T.3 Welke competenties en bevoegdheden? T.4 Welke organisaties?
• Inductieve strategie: generalisatie van specifieke verschijningsvormen naar een algemeen model • Methode: literatuuronderzoek • 100 artikelen geselecteerd uit enkele duizenden resultaten van ACM, IEEE, Google Scholar • surveys en meta‐onderzoeken • antwoord op onderzoeksvraag, ouderdom, verwijzingen, tegenspraken 10 oktober 2013
De organisatie van botnetbestrijding in Nederland
6
Conceptueel model Botnet Botnet
Organisatie Organisatie Botnetbestrijding
Oogmerk(en) Botnet
Competentie is bepalend voor
Botnetbe‐ strijdings‐ methoden
vereist
Botnet‐ structuur
Bevoegdheid
• Het referentiemodel specificeert deze relaties voor de Nederlandse situatie. 10 oktober 2013
De organisatie van botnetbestrijding in Nederland
7
Referentiemodel Botnetbestrijdingsmethoden Botnet
Organisatie
Botnet‐ structuur Oogmerk Botnet
Oogmerk Botnet
Competentie Bevoegdheid
Competentie Bevoegdheid
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
8
Eigenschappen van botnets T.1 Welke soorten botnets kunnen op basis van hun eigenschappen worden onderscheiden?
Oogmerk
Commandostructuur
•
Cybervandalisme
•
Centrale commandostructuur
•
Misdaad via internet
•
•
Cybercriminaliteit
Decentrale commandostructuur: peer‐to‐peer botnets
•
Hacktivisme
•
•
Cyberterrorisme
Hybride commandostructuren: clouddiensten, servant bots en client bots
•
Cyberoorlog
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
9
Oogmerk van botnets Intention
Description
cyber vandalism undesirable activities (not necessarily criminal), such as insulting tweets or bullying on social media, by individuals for pleasure or recalcitrance crime over the internet
criminal activities supported by the internet, such as child pornography, racism, stalking or piracy, by individuals or criminals for profit or pleasure
cyber crime
criminal activities that primarily take place on/by the internet, such as phishing, denial‐of‐service attacks, sending spam, click fraud, digital burglary and stealing information, by criminal organizations for financial or other gain activities such as (threatening with) denial‐of‐service attacks or digital burglary, usually for publicity by groups with a political or ideological purpose
hacktivism cyber terrorism
activities such as (threatening with) sabotage of vital facilities by or on behalf of groups with a political or ideological purpose
cyber war
activities such as digital espionage, (threatening with) sabotage of vital or military facilities with cyber attacks on computer systems, supporting psychological warfare by spam or enforcing censorship, by or on behalf of national states
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
10
Centrale commandostructuur botmaster centrale server
bots
target
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
11
Decentrale commandostructuur botmaster
bots
target
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
12
Hybride commandostructuur botmaster
clouddienst social media
flux proxy’s
Servant bots
flux proxy’s
Client bots
target
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
13
Aanvalsvormen (extern) Aanvalsvorm
Beschrijving
Mogelijk oogmerk Kenmerkend voor alle botnets, dus past bij elk mogelijk oogmerk
Verspreiding van het botnet Distributed denial‐of‐ service attack
Het onbruikbaar of onbereikbaar maken van computers, netwerken en daarvan afhankelijke apparatuur door het sturen van een overvloed aan netwerkverkeer
Cybervandalisme Cybercriminaliteit Hacktivisme, Cyberterrorisme en Cyberoorlog
Spam
Verzenden van (massale) e‐mails voor commerciële doeleinden, om schadelijke software te verspreiden, of mogelijk misleidende informatie en propaganda in het kader van hacktivisme, cyberterrorisme en cyberoorlog
Cybercriminaliteit mogelijk ook (gerichter) in het kader van Hacktivisme, Cyberterrorisme en Cyberoorlog
Phishing / Identity Fraud
Verzenden van (massale) e‐mails voor oplichting of het ontfutselen van informatie
Cybercriminaliteit, mogelijk ook (gerichter) in het kader van Hacktivisme, Cyberterrorisme en Cyberoorlog
Click fraud
beïnvloeden enquêtes, verkiezingen en advertentieverwijzingen (zgn. click through rates).
Cybercriminaliteit, mogelijk ook Cybervandalisme of Hacktivisme
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
14
Aanvalsvormen (intern) Aanvalsvorm Downloaden en installeren van schadelijke software Sniffing
Spyware / Key Logging
Adware Nuisance Attacks Logic Bombs / Ransomware Opslaan van Verboden Gegevens 10 oktober 2013
Beschrijving Het installeren van aanvullende of bijgewerkte schadelijke software door de bot agent voor aanvullende of verbeterde functionaliteit. Het bekijken van netwerkverkeer om informatie zoals wachtwoorden, identiteitsgegevens of andere gevoelige informatie te achterhalen. Het registreren van toetsaanslagen om informatie zoals wachtwoorden, identiteitsgegevens of andere gevoelige informatie te achterhalen. Het weergeven van ongewenste advertenties Het uitvoeren van hinderlijke activiteiten op computersystemen Het (dreigen met) uitschakelen van computersystemen of wissen van gegevens als niet aan bepaalde voorwaarden wordt voldaan. De geïnfecteerde computer wordt gebruikt om verboden gegevens op te slaan
Mogelijk oogmerk Cybervandalisme, Cybercriminaliteit, Hacktivisme, Cyberterrorisme en Cyberoorlog Cybercriminaliteit, Cyberterrorisme en Cyberoorlog Cybercriminaliteit, Cyberterrorisme en Cyberoorlog Cybercriminaliteit Cybervandalisme, Hacktivisme en Cyberoorlog Cybercriminaliteit Cyberterrorisme en Cyberoorlog Misdaad over Internet, Cybercriminaliteit
De organisatie van botnetbestrijding in Nederland
15
Bestrijdingsmethoden T.2 Welke methoden kunnen worden onderscheiden voor de bestrijding van botnets?
• Individuele bots • Verwijderen bot / bot agent
• Botnetstructuur • Overname of uitschakelen commandoserver(s) • Verstoring van het botnet met gemanipuleerde bots • Overname of verstoring van het botnet door manipulatie van de communicatie
• Botmaster • Arresteren en vervolgen van de botmaster(s) • Botmaster(s) en/of opdrachtgevers en/of infrastructuur fysiek uitschakelen 10 oktober 2013
De organisatie van botnetbestrijding in Nederland
16
Bestrijdingsmethoden Individuele Bots • Verwijderen bot / bot agent • in zichzelf niet effectief voor de bestrijding van een botnet • vooral preventief middel • signatuur van de botagent is bekend zodat deze wordt ontdekt door antivirussoftware
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
17
Bestrijdingsmethoden Botnetstructuur (1) • Overname of uitschakelen commandoserver(s) • (Eenvoudige) botnets met een centrale commandostruct. • Werking van het botnet en (locatie van) commandoserver(s) zijn in voldoende mate bekend • Hostingproviders werken mee
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
18
Bestrijdingsmethoden Botnetstructuur (2) • Verstoring van het botnet met gemanipuleerde bots • (Complexere) botnets met een decentrale of hybride commandostructuur • Zelfvernietigingsopdracht, vervuiling van gegevens, etc. • Werking van het botnet is goed bekend, incl. encryptie • Eventuele encryptiesleutels kunnen worden gekraakt. • Infecteren met gemanipuleerde botagents, al dan niet gebruik makend van het oorspronkelijke botnet
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
19
Bestrijdingsmethoden Botnetstructuur (3) • Overname of verstoring van het botnet door manipulatie van de communicatie • (Complexere) botnets met een decentrale of hybride commandostructuur. • Werking van het botnet is goed bekend, incl. encryptie • Internet/DNS‐aanbieders werken mee.
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
20
Bestrijdingsmethoden Botmaster • Arresteren en vervolgen van de botmaster(s) • Botnets met als oogmerk: cybervandalisme, misdaad over internet, cybercriminaliteit en hacktivisme en cyberterrorisme • De botmaster kan worden opgespoord met medewerking van autoriteiten en internetaanbieders in betrokken landen. • Er kan voldoende bewijslast worden veiliggesteld.
• Botmaster(s) en/of opdrachtgevers en/of infrastructuur fysiek uitschakelen • Botnets met cyberterrorisme en cyberoorlog (F) als oogmerk. • Fysieke locatie van de botmaster kan worden achterhaald met beperkte of zonder medewerking van autoriteiten en internetaanbieders in andere landen door middel van reguliere en bijzondere inlichtingenmethoden. • De (militaire) capaciteit is beschikbaar, proportioneel en toereikend voor fysieke uitschakeling. 10 oktober 2013
De organisatie van botnetbestrijding in Nederland
21
Competenties en bevoegdheden T.3 Welke competenties en bevoegdheden zijn nodig voor de toepassing van de geïdentificeerde bestrijdingsmethoden [T.2]? Detectie & analyse
Bestrijding (technisch)
1.actieve detectie: honeynet 2.passieve detectie 3.malware onderzoek 4.onderzoek van het gedrag 5.ontcijferen Bestrijding (juridisch)
6.verwijderen botagents 7.overnemen commandoserver 8.verstoren met gemanipuleerde bots 9.manipulatie van de communicatie 10.overnemen communicatie Bestrijding (fysiek)
11.traceren op internet 12.regulier opsporen botmaster 13.arresteren en vervolgen 14.beslag commandoserver 15.veiligstellen bewijsmateriaal.
16.bijzondere wijze opsporen in het buitenland 17.fysiek uitschakelen
Algemeen 18.samenwerking 10 oktober 2013
19.onderzoek De organisatie van botnetbestrijding in Nederland
22
Organisaties T.4 Welke soorten organisaties zouden betrokken moeten zijn bij een effectieve bestrijding van botnets, gegeven de geïdentificeerde benodigde competenties en bevoegdheden [T.3]?
• Publieke organisaties •
Nationale Coördinator Terrorismebestrijding en Veiligheid
•
Inlichtingen‐ en Veiligheidsdiensten
•
Openbaar Ministerie
•
Politie
•
Krijgsmacht
• Private organisaties •
IT‐bedrijven (internetaanbieders, computerbeveiligingsbedrijven)
•
Vitale bedrijven (banken, energiesector, etc.)
•
Niet‐vitale bedrijven en particulieren
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
23
Uitkomsten literatuuronderzoek • Effectieve analyse en bestrijding alleen mogelijk met competenties waarbij moet worden ‘teruggehackt’: • Analyse: • 4.onderzoek van het gedrag; 5.ontcijferen • Bestrijding • 7.overnemen commandoserver; 8.verstoren met gemanipuleerde bots; 9.manipulatie van de communicatie; 10.overnemen communicatie.
• Hiaat in de effectieve bestrijding vanwege verbod op ‘terughacken’
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
24
Empirisch deel: vraagstelling en onderzoeksopzet • 10 empirische onderzoeksvragen die systematisch de relaties van referentiemodel vergelijken met de Nederlandse situatie • Deductieve strategie: toetsing van het referentiemodel met de werkelijkheid • Methode: semigestructureerd interview • Operationalisering door afleiden interviewvragen uit conceptueel model en empirische onderzoeksvragen
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
25
Empirisch deel: vraagstelling en onderzoeksopzet • Onderzoek bij 6 organisaties: • Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en Nationaal Cyber Security Centrum (NCSC) • Defensie Computer Emergency Response Team (DefCERT) • Openbaar Ministerie (OM) • Politie: Team High Tech Crime (THTC) van de Nationale Recherche • Computerbeveiligingsbedrijf Fox‐IT
• Focus op civiele overheidsorganisaties • Niet verder onderzocht: • Krijgsmacht en inlichtingendiensten (gezien hun specifieke taakstelling) • Botnetintentie cyberoorlog • Bestrijdingsmethoden gericht op de fysieke uitschakeling 10 oktober 2013
De organisatie van botnetbestrijding in Nederland
26
Validiteit en betrouwbaarheid • Validiteit: is daadwerkelijk gemeten wat beoogd werd te meten? • Duidelijke concepten op basis van theoretisch onderzoek • Interviewmethode stelt wederzijds begrip met geïnterviewde zeker • Geen beïnvloeding of verandering van het onderzoeksobject
• Betrouwbaarheid: mate van onafhankelijkheid van het toeval. • Structuur en samenhang tussen referentiemodel, empirische onderzoeksvragen en interviewvragen • Kritisch interview en doorvragen voorkomt deelnemersfouten, vertekening en subjectieve antwoorden • Beperkt aantal organisaties, maar consistentie tussen interviews
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
27
Uitkomsten interviews • Brede, multilaterale samenwerking • Fora en werkgroepen • Liaisonfunctionarissen
• Wederzijdse belangen en wederzijds vertrouwen • Geen competenties voor bestrijding complexe botnets: • Verstoring met gemanipuleerde bots • Overname of verstoring door manipulatie van de communicatie, m.u.v. ‘sinkholes’
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
28
Conclusies t.a.v. referentiemodel • Meer betrokken organisaties: • • • •
Nederlands Forensisch Instituut (NFI) Stichting Internet Domeinnaamregistratie Nederland (SIDN) Ministerie van Economische Zaken Autoriteit Consument en Markt (ACM)
• Geen indeling of taxonomie van botnets • Relatie tussen oogmerk, structuur en bestrijdingsmethode onvoldoende duidelijk
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
29
Conclusies (1) • Relatief eenvoudige botnets in Nederland kunnen effectief worden bestreden • Notice‐and‐take‐down procedure • Klassieke opsporingsmethoden • Terughacken door politie in bepaalde gevallen toegestaan door OM
• Maar…. • Geen van de partijen beschikt over benodigde competenties om complexe botnets te bestrijden • Aantal essentiële competenties voor de bestrijding van botnets alleen door de overheid worden aangewend • Overheid heeft alleen rechtsmacht binnen Nederland • Afhankelijkheid van samenwerking met veel private partijen: vitale bedrijven, internetaanbieders, computerbeveiliginsgbedrijven
• Dus de organisatie voor botnetbestrijding is nog niet volledig effectief ingericht 10 oktober 2013
De organisatie van botnetbestrijding in Nederland
30
Conclusies (2) • Wederzijdse belangen en vertrouwen • Houdbaarheid van samenwerking op de lange termijn • Mate van gestructureerdheid • Monopolie vs. kennis & resources bij de overheid • Metcalf’s Law: n2 – n (waardevermeerdering netwerk vs. aantal koppelvlakken)
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
31
Aanbevelingen • Onderzoeken onder welke omstandigheden ‘digitale zelfverdediging’ mogelijk zou moeten zijn • Raamwerk voor ‘cyber defence’ • Multilaterale structuur • Waarborg voor wederzijdse belangen op langere termijn
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
32
Aanbevelingen Nieuwe onderzoeksvragen: 1.
Relatie tussen complexiteit en zwaarder oogmerk?
2.
Onder welke voorwaarden is digitale zelfverdediging mogelijk dan wel gewenst?
3.
Hoeveel botnets zijn er in Nederland actief (geweest) en effectief bestreden?
4.
Welke belangen prevaleren bij botnetbestrijding? Bijv.: opsporing, contingency, herstel?
5.
Kan de overheid in de toekomst beschikken over voldoende kennis en middelen om het monopolie op terughacken te behouden?
6.
Vertaling van referentiemodel naar operationele richtlijn?
7.
Samenwerkingsstructuur voor beleidsafstemming, strategische kennisdeling, signalering en operationele informatie‐uitwisseling?
10 oktober 2013
De organisatie van botnetbestrijding in Nederland
33
De organisatie van botnetbestrijding in Nederland Vragen?