De organisatie van botnetbestrijding in Nederland

Transcriptie

1 De organisatie van botnetbestrijding in Nederland Timo Schless TouW Informaticasymposium Amsterdam, 23 november 2013

2 At this moment, millions of people around the world are happily using their computers without realizing their system has been hijacked. While they are answering or browsing Web sites, cybercriminals are surreptitiously using their computer to wreak havoc across the Internet and beyond. 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 2

3 De organisatie van botnetbestrijding in Nederland Wat is een botnet? Probleemstelling van het onderzoek Theoretisch deel Vraagstelling, onderzoeksopzet, conceptueel model Uitkomsten literatuuronderzoek: eigenschappen, bestrijdingsmethoden, competenties, organisaties Empirisch deel Vraagstelling en onderzoeksopzet Uitkomsten interviews Conclusies Aanbevelingen Gelegenheid tot vragen 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 3

4 Wat is een botnet? netwerk van geïnfecteerde computers botmaster internet kent geen grenzen honderden tot duizenden bots zelfverspreidend en zelforganiserend gecoördineerde aanvallen 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 4

5 Probleemstelling: Doelstelling en vraagstelling Het doel van het onderzoek is vaststellen of de bestrijding van botnets in Nederland zodanig is georganiseerd dat daarmee de bestrijding van botnets effectief mogelijk is. Theoretisch deel: vaststellen referentiemodel voor competenties en bevoegdheden Empirisch deel: toetsing overeenkomst referentiemodel met de Nederlandse werkelijkheid Is de bestrijding van botnets organisatorisch effectief ingericht in Nederland? 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 5

6 Theoretisch deel: vraagstelling en onderzoeksopzet Vier theoretische onderzoeksvragen: T.1 Welke eigenschappen van botnets? T.2 Welke bestrijdingsmethoden? T.3 Welke competenties en bevoegdheden? T.4 Welke organisaties? Inductieve strategie: generalisatie van specifieke verschijningsvormen naar een algemeen model Methode: literatuuronderzoek 100 artikelen geselecteerd uit enkele duizenden resultaten van ACM, IEEE, Google Scholar surveys en meta onderzoeken antwoord op onderzoeksvraag, ouderdom, verwijzingen, tegenspraken 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 6

7 Conceptueel model Botnet Organisatie Oogmerk(en) Botnet is bepalend voor Botnetbestrijding Botnetbestrijdingsmethoden vereist Competentie Botnetstructuur Bevoegdheid Het referentiemodel specificeert deze relaties voor de Nederlandse situatie. 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 7

8 Referentiemodel Botnetbestrijdingsmethoden Botnet Organisatie Botnetstructuur Oogmerk Botnet Oogmerk Botnet Competentie Bevoegdheid Competentie Bevoegdheid 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 8

9 Eigenschappen van botnets T.1 Welke soorten botnets kunnen op basis van hun eigenschappen worden onderscheiden? Oogmerk Cybervandalisme Misdaad via internet Cybercriminaliteit Hacktivisme Cyberterrorisme Cyberoorlog Commandostructuur Centrale commandostructuur Decentrale commandostructuur: peer to peer botnets Hybride commandostructuren: clouddiensten, servant bots en client bots 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 9

10 Oogmerk van botnets Intention cyber vandalism crime over the internet cyber crime hacktivism cyber terrorism cyber war Description undesirable activities (not necessarily criminal), such as insulting tweets or bullying on social media, by individuals for pleasure or recalcitrance criminal activities supported by the internet, such as child pornography, racism, stalking or piracy, by individuals or criminals for profit or pleasure criminal activities that primarily take place on/by the internet, such as phishing, denial of service attacks, sending spam, click fraud, digital burglary and stealing information, by criminal organizations for financial or other gain activities such as (threatening with) denial of service attacks or digital burglary, usually for publicity by groups with a political or ideological purpose activities such as (threatening with) sabotage of vital facilities by or on behalf of groups with a political or ideological purpose activities such as digital espionage, (threatening with) sabotage of vital or military facilities with cyber attacks on computer systems, supporting psychological warfare by spam or enforcing censorship, by or on behalf of national states 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 10

11 Centrale commandostructuur centrale server botmaster bots target 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 11

12 Decentrale commandostructuur botmaster bots target 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 12

13 Hybride commandostructuur Servant bots Client bots clouddienst social media botmaster flux proxy s flux proxy s target 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 13

14 Aanvalsvormen (extern) Aanvalsvorm Beschrijving Mogelijk oogmerk Verspreiding van het botnet Distributed denial ofservice attack Spam Phishing / Identity Fraud Click fraud 10 oktober 2013 Het onbruikbaar of onbereikbaar maken van computers, netwerken en daarvan afhankelijke apparatuur door het sturen van een overvloed aan netwerkverkeer Verzenden van (massale) e mails voor commerciële doeleinden, om schadelijke software te verspreiden, of mogelijk misleidende informatie en propaganda in het kader van hacktivisme, cyberterrorisme en cyberoorlog Verzenden van (massale) e mails voor oplichting of het ontfutselen van informatie beïnvloeden enquêtes, verkiezingen en advertentieverwijzingen (zgn. click through rates). Kenmerkend voor alle botnets, dus past bij elk mogelijk oogmerk Cybervandalisme Cybercriminaliteit Hacktivisme, Cyberterrorisme en Cyberoorlog Cybercriminaliteit mogelijk ook (gerichter) in het kader van Hacktivisme, Cyberterrorisme en Cyberoorlog Cybercriminaliteit, mogelijk ook (gerichter) in het kader van Hacktivisme, Cyberterrorisme en Cyberoorlog Cybercriminaliteit, mogelijk ook Cybervandalisme of Hacktivisme De organisatie van botnetbestrijding in Nederland 14

15 Aanvalsvormen (intern) Aanvalsvorm Beschrijving Mogelijk oogmerk Downloaden en installeren van schadelijke software Sniffing Spyware / Key Logging Adware Nuisance Attacks Logic Bombs / Ransomware Opslaan van Verboden Gegevens Het installeren van aanvullende of bijgewerkte schadelijke software door de bot agent voor aanvullende of verbeterde functionaliteit. Het bekijken van netwerkverkeer om informatie zoals wachtwoorden, identiteitsgegevens of andere gevoelige informatie te achterhalen. Het registreren van toetsaanslagen om informatie zoals wachtwoorden, identiteitsgegevens of andere gevoelige informatie te achterhalen. Het weergeven van ongewenste advertenties Het uitvoeren van hinderlijke activiteiten op computersystemen Het (dreigen met) uitschakelen van computersystemen of wissen van gegevens als niet aan bepaalde voorwaarden wordt voldaan. De geïnfecteerde computer wordt gebruikt om verboden gegevens op te slaan Cybervandalisme, Cybercriminaliteit, Hacktivisme, Cyberterrorisme en Cyberoorlog Cybercriminaliteit, Cyberterrorisme en Cyberoorlog Cybercriminaliteit, Cyberterrorisme en Cyberoorlog Cybercriminaliteit Cybervandalisme, Hacktivisme en Cyberoorlog Cybercriminaliteit Cyberterrorisme en Cyberoorlog Misdaad over Internet, Cybercriminaliteit 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 15

16 Bestrijdingsmethoden T.2 Welke methoden kunnen worden onderscheiden voor de bestrijding van botnets? Individuele bots Verwijderen bot / bot agent Botnetstructuur Overname of uitschakelen commandoserver(s) Verstoring van het botnet met gemanipuleerde bots Overname of verstoring van het botnet door manipulatie van de communicatie Botmaster Arresteren en vervolgen van de botmaster(s) Botmaster(s) en/of opdrachtgevers en/of infrastructuur fysiek uitschakelen 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 16

17 Bestrijdingsmethoden Individuele Bots Verwijderen bot / bot agent in zichzelf niet effectief voor de bestrijding van een botnet vooral preventief middel signatuur van de botagent is bekend zodat deze wordt ontdekt door antivirussoftware 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 17

18 Bestrijdingsmethoden Botnetstructuur (1) Overname of uitschakelen commandoserver(s) (Eenvoudige) botnets met een centrale commandostruct. Werking van het botnet en (locatie van) commandoserver(s) zijn in voldoende mate bekend Hostingproviders werken mee 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 18

19 Bestrijdingsmethoden Botnetstructuur (2) Verstoring van het botnet met gemanipuleerde bots (Complexere) botnets met een decentrale of hybride commandostructuur Zelfvernietigingsopdracht, vervuiling van gegevens, etc. Werking van het botnet is goed bekend, incl. encryptie Eventuele encryptiesleutels kunnen worden gekraakt. Infecteren met gemanipuleerde botagents, al dan niet gebruik makend van het oorspronkelijke botnet 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 19

20 Bestrijdingsmethoden Botnetstructuur (3) Overname of verstoring van het botnet door manipulatie van de communicatie (Complexere) botnets met een decentrale of hybride commandostructuur. Werking van het botnet is goed bekend, incl. encryptie Internet/DNS aanbieders werken mee. 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 20

21 Bestrijdingsmethoden Botmaster Arresteren en vervolgen van de botmaster(s) Botnets met als oogmerk: cybervandalisme, misdaad over internet, cybercriminaliteit en hacktivisme en cyberterrorisme De botmaster kan worden opgespoord met medewerking van autoriteiten en internetaanbieders in betrokken landen. Er kan voldoende bewijslast worden veiliggesteld. Botmaster(s) en/of opdrachtgevers en/of infrastructuur fysiek uitschakelen Botnets met cyberterrorisme en cyberoorlog (F) als oogmerk. Fysieke locatie van de botmaster kan worden achterhaald met beperkte of zonder medewerking van autoriteiten en internetaanbieders in andere landen door middel van reguliere en bijzondere inlichtingenmethoden. De (militaire) capaciteit is beschikbaar, proportioneel en toereikend voor fysieke uitschakeling. 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 21

22 Competenties en bevoegdheden T.3 Welke competenties en bevoegdheden zijn nodig voor de toepassing van de geïdentificeerde bestrijdingsmethoden [T.2]? Detectie & analyse 1.actieve detectie: honeynet 2.passieve detectie 3.malware onderzoek 4.onderzoek van het gedrag 5.ontcijferen Bestrijding (juridisch) 11.traceren op internet 12.regulier opsporen botmaster 13.arresteren en vervolgen 14.beslag commandoserver 15.veiligstellen bewijsmateriaal. Algemeen 18.samenwerking Bestrijding (technisch) 6.verwijderen botagents 7.overnemen commandoserver 8.verstoren met gemanipuleerde bots 9.manipulatie van de communicatie 10.overnemen communicatie Bestrijding (fysiek) 16.bijzondere wijze opsporen in het buitenland 17.fysiek uitschakelen 19.onderzoek 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 22

23 Organisaties T.4 Welke soorten organisaties zouden betrokken moeten zijn bij een effectieve bestrijding van botnets, gegeven de geïdentificeerde benodigde competenties en bevoegdheden [T.3]? Publieke organisaties Nationale Coördinator Terrorismebestrijding en Veiligheid Inlichtingen en Veiligheidsdiensten Openbaar Ministerie Politie Krijgsmacht Private organisaties IT bedrijven (internetaanbieders, computerbeveiligingsbedrijven) Vitale bedrijven (banken, energiesector, etc.) Niet vitale bedrijven en particulieren 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 23

24 Uitkomsten literatuuronderzoek Effectieve analyse en bestrijding alleen mogelijk met competenties waarbij moet worden teruggehackt : Analyse: 4.onderzoek van het gedrag; 5.ontcijferen Bestrijding 7.overnemen commandoserver; 8.verstoren met gemanipuleerde bots; 9.manipulatie van de communicatie; 10.overnemen communicatie. Hiaat in de effectieve bestrijding vanwege verbod op terughacken 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 24

25 Empirisch deel: vraagstelling en onderzoeksopzet 10 empirische onderzoeksvragen die systematisch de relaties van referentiemodel vergelijken met de Nederlandse situatie Deductieve strategie: toetsing van het referentiemodel met de werkelijkheid Methode: semigestructureerd interview Operationalisering door afleiden interviewvragen uit conceptueel model en empirische onderzoeksvragen 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 25

26 Empirisch deel: vraagstelling en onderzoeksopzet Onderzoek bij 6 organisaties: Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en Nationaal Cyber Security Centrum (NCSC) Defensie Computer Emergency Response Team (DefCERT) Openbaar Ministerie (OM) Politie: Team High Tech Crime (THTC) van de Nationale Recherche Computerbeveiligingsbedrijf Fox IT Focus op civiele overheidsorganisaties Niet verder onderzocht: Krijgsmacht en inlichtingendiensten (gezien hun specifieke taakstelling) Botnetintentie cyberoorlog Bestrijdingsmethoden gericht op de fysieke uitschakeling 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 26

27 Validiteit en betrouwbaarheid Validiteit: is daadwerkelijk gemeten wat beoogd werd te meten? Duidelijke concepten op basis van theoretisch onderzoek Interviewmethode stelt wederzijds begrip met geïnterviewde zeker Geen beïnvloeding of verandering van het onderzoeksobject Betrouwbaarheid: mate van onafhankelijkheid van het toeval. Structuur en samenhang tussen referentiemodel, empirische onderzoeksvragen en interviewvragen Kritisch interview en doorvragen voorkomt deelnemersfouten, vertekening en subjectieve antwoorden Beperkt aantal organisaties, maar consistentie tussen interviews 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 27

28 Uitkomsten interviews Brede, multilaterale samenwerking Fora en werkgroepen Liaisonfunctionarissen Wederzijdse belangen en wederzijds vertrouwen Geen competenties voor bestrijding complexe botnets: Verstoring met gemanipuleerde bots Overname of verstoring door manipulatie van de communicatie, m.u.v. sinkholes 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 28

29 Conclusies t.a.v. referentiemodel Meer betrokken organisaties: Nederlands Forensisch Instituut (NFI) Stichting Internet Domeinnaamregistratie Nederland (SIDN) Ministerie van Economische Zaken Autoriteit Consument en Markt (ACM) Geen indeling of taxonomie van botnets Relatie tussen oogmerk, structuur en bestrijdingsmethode onvoldoende duidelijk 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 29

30 Conclusies (1) Relatief eenvoudige botnets in Nederland kunnen effectief worden bestreden Notice and take down procedure Klassieke opsporingsmethoden Terughacken door politie in bepaalde gevallen toegestaan door OM Maar. Geen van de partijen beschikt over benodigde competenties om complexe botnets te bestrijden Aantal essentiële competenties voor de bestrijding van botnets alleen door de overheid worden aangewend Overheid heeft alleen rechtsmacht binnen Nederland Afhankelijkheid van samenwerking met veel private partijen: vitale bedrijven, internetaanbieders, computerbeveiliginsgbedrijven Dus de organisatie voor botnetbestrijding is nog niet volledig effectief ingericht 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 30

31 Conclusies (2) Wederzijdse belangen en vertrouwen Houdbaarheid van samenwerking op de lange termijn Mate van gestructureerdheid Monopolie vs. kennis & resources bij de overheid Metcalf s Law: n 2 n(waardevermeerdering netwerk vs. aantal koppelvlakken) 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 31

32 Aanbevelingen Onderzoeken onder welke omstandigheden digitale zelfverdediging mogelijk zou moeten zijn Raamwerk voor cyber defence Multilaterale structuur Waarborg voor wederzijdse belangen op langere termijn 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 32

33 Aanbevelingen Nieuwe onderzoeksvragen: 1. Relatie tussen complexiteit en zwaarder oogmerk? 2. Onder welke voorwaarden is digitale zelfverdediging mogelijk dan wel gewenst? 3. Hoeveel botnets zijn er in Nederland actief (geweest) en effectief bestreden? 4. Welke belangen prevaleren bij botnetbestrijding? Bijv.: opsporing, contingency, herstel? 5. Kan de overheid in de toekomst beschikken over voldoende kennis en middelen om het monopolie op terughacken te behouden? 6. Vertaling van referentiemodel naar operationele richtlijn? 7. Samenwerkingsstructuur voor beleidsafstemming, strategische kennisdeling, signalering en operationele informatie uitwisseling? 10 oktober 2013 De organisatie van botnetbestrijding in Nederland 33

34 De organisatie van botnetbestrijding in Nederland Vragen?