Belgische politie heeft dit jaar 30 botnetservers afgesloten

De Belgische politie lijkt succes te hebben met een project waarbij zij probeert botnetservers te vinden en af te sluiten. Vorig jaar heeft de eenheid in België dertig servers om deze reden afgesloten en nu al staat de teller voor dit jaar op dertig.

De eenheid richt zich op de command-&-control-servers die beheerders gebruiken om botnet-clients te instrueren om bijvoorbeeld ddos-aanvallen uit te voeren. "Eind 2009 zijn we een project gestart om botnetservers te lokaliseren en af te sluiten. Vorig jaar hebben we 30 servers afgesloten, nu staat de teller op 60. We vinden dus frequent besmette servers in België", zei Luc Beirens, hoofd van de Federal Computer Crime Unit van de federale politie, tegen de Belgische krant De Tijd. Het grootste deel van de in 2010 gevonden servers betrof overigens de beheersystemen van het Koobface-netwerk.

De Federal Computer Crime Unit van de Belgische politie gebruikt zijn zelf ontworpen Virologic System voor de detectie en analyse van malware op besmette botnetclients. In 2010 analyseerde dit systeem 5115 verschillende vormen van malware. De uitkomst wordt gedeeld met andere politiediensten in Europa. Dit gebeurt onder andere via het Cyborg-project van Europol, dat dienstdoet als uitwisselingsdienst voor informatie over botnetdossiers.

De daadwerkelijke detectie gebeurt niet door de crime-unit, maar door externe partijen. Informatie over de vindplaatsen verkrijgt de eenheid grotendeels via beveiligingsinstituut Cert.be.

IT-banen

Reacties (29)

defixje 25 juli 2011 14:45

Is het niet zo dat een botnet gebruik maakt van P2P tegenwoordig? Waardoor je dus meerdere C&C-servers heb in een netwerk?

Als, wat ik redeneer, dat waar is dan voelt een botnet dus niks van 1 missende server.

Of zit ik er hier compleet naast ?

Verwijderd @defixje • 25 juli 2011 15:13

Verschilt per bot, de meeste gebruiken waarschijnlijk nog webinterface/IRC/andere centrale server. P2P brengt de nodige complicaties met zich mee (Het authentificeren van gegevens bijvoorbeeld), dus in de meeste gevallen denk ik niet.

Daarnaast is er ook nog dat de botnets gewoon met een domeinnaam verbinding maken (Althans als iemand een beetje weet waar hij mee bezig is), dus als de server word afgesloten huren ze ergens anders een nieuwe of iets dergelijks en gaan vrolijk verder.

Dreamvoid

Malware
Bedrijfsnieuws

@Verwijderd • 25 juli 2011 15:24

Tis natuurlijk niet zo moeilijk voor de politie om even uit te zoeken op de bots met welke domeinnamen er verbinding wordt gemaakt, en die domeinen te blokken.

[Reactie gewijzigd door Dreamvoid op 24 juli 2024 07:22]

keejoz @Dreamvoid • 25 juli 2011 15:40

Moderne botnets (dus jonger dan 3-4 jaar.. "modern" dus) hebben gewoon een algoritme om domeinnamen te genereren. De eigenaar registreert dan steeds nieuwe domeinen en uiteindelijk komen de botnets er toch op terecht doordat ze steeds nieuwe namen aanmaken.

Keneo @defixje • 25 juli 2011 16:01

Ik weet niet of dit in het wild voorkomt, maar imho is een botnet beheerder beter af met een publieke service zoals twitter of pastebin te gebruiken.

Laat de bots een bepaalde twitter hashtag (niet account) volgen en berichten met deze tag als commando's zien (ondertekend met een HMAC natuurlijk)
Eventueel met een algoritme om nieuwe tags te genereren zodat wanneer twitter een bepaalde tag blokeerd er overgeschakeld kan worden naar een volgende.
of naar pastebin resultaten die met een bepaalde prefix beginnen...

Royale de Luxe 25 juli 2011 14:17

Knap werk. Maar als de serverbeheerders hun boeltje op orde zouden hebben zou ik daar geen cent van mijn belastingsgeld naar toe zie gaan.

naveci @Royale de Luxe • 25 juli 2011 14:30

Als niemand te hard zou rijden, zouden er ook geen belastingcenten in flitspalen gestoken worden. Hetzelfde kan gezegd worden over moorden.
Scheelt veel centjes die dan niet crimelabs gestoken hoeven te worden.

Verwijderd @naveci • 25 juli 2011 15:04

Er is wel een verschil tussen een misdadiger en iemand die nalatig is in zijn werk. Maar verder heb je wel gelijk spitig genoeg leven we niet in een wereld van peace love en rock & roll

hardcoresmurf 25 juli 2011 14:17

eindelijk doet de politie wat nuttigs in plaats van bonnen uitschrijven.
ik vraag me nu wel een ding af, hoe groot waren de bot nets?
als ze heel groot waren hebben ze een flinke prestatie verricht

Redney @hardcoresmurf • 25 juli 2011 14:22

Vorig jaar heeft de eenheid in België dertig servers om deze reden afgesloten.

Denk niet dat ze complete botnets hebben gesloten maar alleen servers die gebruikt werden.

LOTG @Redney • 25 juli 2011 14:38

Staat toch in de tekst:

De eenheid richt zich op de command-&-control-servers

Wat ik mij af vraag is of het niet handig is om alle clients een notificatie te sturen dat de PC besmet is en onderdeel van een botnet. Als de clients niet vatbaar meer zijn worden de botnets ook kleiner, anders zet je een nieuwe server op en ga je met het zelfde netwerk verder.

Blokker_1999

Bedrijfsnieuws
België
Malware
Netwerk en systeembeheer

@LOTG • 25 juli 2011 14:42

Niet elk botnet heeft zomaar de mogelijkheid om gebruikers berichten te sturen. Gaat een beetje in tegen het onopvallend werken van de software. Bijkomend bestaat de kans dat zo een bericht op zich ook illegaal is.

gepebril @Redney • 26 juli 2011 13:24

De politie in Belgie is ook niet gek, als ze het probleem helemaal oplossen, dus de daders pakken dan zitten ze volgend jaar zonder werk. Als ze de servers pakken, dan kunnen hun manager getallen presenteren die volgend jaar zeker hoger zijn. Win-win dus. Overigens is het NL politie apparaat daarop ook gebaseerd, helaas.
Ik zeg altijd maar, oplossingen kosten geld en problemen leveren geld op en creëert banen.

[Reactie gewijzigd door gepebril op 24 juli 2024 07:22]

Sorki @gepebril • 26 juli 2011 13:46

Jij bent zelf manager ofzo? De denkt allesinds als een... komaan zeg.

De beheerder van deze servers zitten heus niet altijd in het land waar de servers staan, dat maakt het er allemaal niet makkelijker op.

Alle info wordt gedeeld met andere politiediensten in Europa.
Stap voor stap, info verzamelen, samengooien, en pas tot arrestaties over gaan als er genoeg bewijs is om ook daadwerkelijk iemand te kunnen veroordelen lijkt me logischer dan voor elke opgedoekte server een half-gare rechtzaak te beginnen.

Dat kost namelijk vooral geld ...

maarten12100 @hardcoresmurf • 25 juli 2011 21:17

Richt je is even op de feiten!
30 van 50000 botnets (ja veel geinfecteerde pc's)
Persoonlijk zou ik juist liever zien dat de politie wat met de aangifte van de mensen zou doen.
En hier gewoon een paar specialisten op zetten (desnoods van buiten de politie)

Lrrr

@maarten12100 • 25 juli 2011 23:03

Een geïnfecteerde pc is geen botnet hé, dat is gewoon een geïnfecteerde pc. Een botnet is een netwerk van die pc's in combinatie met een paar servers die alles aansturen (de 'command-and-control servers', daarvan zijn er dus 30 afgesloten.) Je hoort het trouwens aan het woord al: botnet.

xiphoid @hardcoresmurf • 25 juli 2011 14:41

Ik wil niet zeuren, maar volgens mij noemen hun "windows pc met bot drone via malware, een botnet .." een klant afsluiten = "botnet opgerold" .. ik hoop dat ik het fout heb.

BeeJee @xiphoid • 25 juli 2011 21:17

Er staat duidelijk in de samenvatting (en artikel):
"De eenheid richt zich op de command-&-control-servers die beheerders gebruiken om botnet-clients te instrueren om bijvoorbeeld ddos-aanvallen uit te voeren."

Pheser @hardcoresmurf • 25 juli 2011 14:37

Ja, want elke keer als de politie ergens een boete voor uitschrijft, is dat onterecht! Tevens is het uitschrijven van bonnen nooit nuttig, en heeft het niks met ordehandhaving te maken.

Stomme politie!

Verwijderd @Pheser • 25 juli 2011 16:37

Als je regels niet handhaaft houd niemand zich aan de regels denk daar maar eens over na.
Bonnen uitdelen is 1 van de instrumenten die de politie heeft een zeer effectief middel,
ja soms is het heel vervelend, mar je weet dat als je de wet overtreed er een kans is dat je een bon kunt krijgen. Wat heb je liever een bon of 2 dagen zitten om dat je 20 KM te hard reed? een week lang vuil rapen misschien? \Probleem van bonnen is wel dat arme mensen harder gestraft worden dan rijke mensen. Aan gezien iedereen de zelfde grote aan boete krijgt. zorg dus dat je veel geld hebt dan kun je dus associaal gedragen want de boetes doen je niet veel. ben je arm zit er niets anders op , gedraag je.

mashell @Verwijderd • 25 juli 2011 17:17

Probleem van bonnen is wel dat arme mensen harder gestraft worden dan rijke mensen.

Ze worden niet harder gestraft, ze worden gelijk gestraft. Voor het zelfde vergrijp dezelfde straf, dat is eerlijk en staat ook zo in onze grondwet. Dat je als rijke je meer kan veroorloven (foutparkeren, tikkie te snel) zou een kapitalistische drijfveer voor de minder rijken moeten zijn.

Drazor @mashell • 25 juli 2011 17:29

offtopic:
Gelijkheid in mogelijkheden is in mijn ogen belangrijker dan gelijkheid in regel. Waar jij hebt over hebt is gelijkheid in regel. De regel is gelijk voor iedereen. Gelijkheid in mogelijkheden is een variabele boete die het voor iedereen even riskant (lees mogelijk) maakt om bijvoorbeeld te hard te rijden.

Verbaas me dat er in het artikel niets gerept wordt over gearresteerde personen, eventuele veroordelingen. Als er slechts servers in beslag worden genomen is dat een tegenvaller voor de exploiteur, maar het lost het probleem niet echt op.

LOTG @Pheser • 25 juli 2011 14:44

Dat hangt er natuurlijk maar vanaf. Soms zie je ze op plaatsen staan te flitsen waar je van weet dat het puur en alleen is om geld binnen te halen. In plaats dat ze gaan staan waar het veiliger er op word, en ze misschien maar 10% van de inkomsten vangen.

Daar bij zijn de meeste boetes op zo'n niveau, dat de gemiddelde Nederlander ze nog wel wilt riskeren. En diefstal is goedkoper.

Maar ik ben het er mee eens dat de politie niet als vijand gezien moet worden, de meeste doen ook maar hun werk als ze daar staan. De rest zorgt er voor dat we tenminste over straat durven lopen, en daar mag wel een deel flitspolitie heen vind ik. Nu is oom agent op de hoek van de straat natuurlijk niet de gene die achter de PC botnets zit op te ruimen, en ik denk ook niet dat die mensen de politie academie hebben gedaan of iets dergelijks. Dit zijn natuurlijk specialisten die weten wat ze doen. Het is ook geen ordehandhaving die hier gedaan word maar oprollen van georganiseerde misdaad.

moozzuzz @LOTG • 25 juli 2011 14:48

Dit zijn natuurlijk specialisten die weten wat ze doen.

Inderdaad het zoeken zelf wordt outgesourced zoals in de tekst staat overigens.

mashell @LOTG • 25 juli 2011 16:05

op plaatsen staan te flitsen waar je van weet dat het puur en alleen is om geld binnen te halen

Wie niet te snel rijdt heeft van flitsers niets te vrezen. Ik ben juist erg voor zoveel mogelijk flitsen om geld op te halen. Waarom? Dat is een belasting die je gemakkelijk en legaal kunt ontduiken. Wordt er alleen geflitst op plaatsen die de goegemeente gevaarlijk vind (alsof de goegemeente daar voldoende inzicht voor heeft) moeten de belastingen omhoog en betaal ook ik meer.