De broncode van het KLPD Bredolab programma
- 30 november 2012
Bij het neerhalen van het criminele computernetwerk Bredolab in 2010 heeft het KLPD het netwerk zelf ingezet om een eigen computerprogramma te verspreiden. Op die manier wilde het KLPD de besmette gebruikers waarschuwen. Eindelijk weten we nu wat het programma precies deed: we hebben de broncode!
Dat de politie alles uit de kast haalt om een crimineel computernetwerk onschadelijk te maken en de criminelen erachter op te sporen is natuurlijk lovenswaardig. Maar toen in 2010 bleek dat de politie daarvoor had ingebroken op de computers van slachtoffers, was er direct ontzettend veel kritiek. Mag de politie bij zo’n actie eigenlijk wel inbreken op de computers van besmette gebruikers? Mag de politie wel zomaar een eigen programma op iemands computer installeren en uitvoeren? En wat als die computer in het buitenland staat?
Die discussie is ook op dit moment minstens zo actueel, nu minister Opstelten heeft aangekondigd een wetsvoorstel voor te bereiden om dat soort acties alleen maar nog makkelijker te maken.
In het TV-programma Nieuwsuur vertelde Ronald Prins van het beveiligingsbedrijf Fox-IT destijds hoe de besmette gebruikers werden gewaarschuwd:
“Wat [de verdachte] dus zelf deed is kwaadaardige software verspreiden. Daar heeft hij een infrastructuur voor gebouwd. In die infrastructuur hebben we nu ingebroken en we gebruiken dat om onze eigen kwaadaardige software te verspreiden. Wat eigenlijk niet zo kwaadaardig is, wat alleen maar aan de gebruiker vertelt dat zijn computer onderdeel was van dit botnet.”
Wim de Bruin van het Landelijk Parket zag dat anders en zei dat de politie helemaal geen eigen software had ge-upload. Natuurlijk hebben wij ook hierover een Wob-verzoek gestuurd. Het vorige verzoek, in 2011, werd geweigerd omdat het opsporingsonderzoek nog liep. Recent werd al een evaluatie openbaar gemaakt. Nu heeft het ministerie van Veiligheid en Justitie ons ook de broncode van het programma verstrekt. En dat ziet er zo uit:
program OpenTHTCPage; uses Window, ShellApi; begin try ShellExecute(0, 'open', 'http://teamhightechcrime.nationale- recherche.nl/nl_infected.php', nil, nil, SW_SHOWNORMAL); except // ignore end end
Niet meer dan een klein stukje code in de programmeertaal Delphi 6. Bredolab was overigens niet het eerste criminele computernetwerk waarbij het KLPD zelf een programma verspreide om slachtoffers te waarschuwen. Ze deed dat eerder bij het ShadowBot netwerk. Ook daarvan is de broncode nu openbaar:
int main(int argc, char* argv[]) { ShellExecuteW(0, L"open", L"http://www.nationale- recherche.nl/", 0, 0, SW_SHOWNORMAL); return 0; }
Het resultaat van onze aanhoudende Wob-verzoeken laat zien dat de beide programma’s gelukkig niet meer doen dan slechts het openen van een pagina op de website van het KLPD. Maar dat neemt niet weg dat alleen al dit beetje code ook door criminelen gemakkelijk misbruikt kan worden. Los van alle andere vragen die deze tactiek opwerpt onderstreept dit maar weer eens hoe kritisch het KLPD, het ministerie van Veiligheid en Justitie én wij moeten zijn.