AMSTERDAM - Opnieuw staat het optreden van Microsoft ter discussie in het neerhalen van het Zeus-netwerk. Niet alleen komt onderzoeksinformatie in de openbaarheid, maar worden ook meerdere strafzaken verpest.

Dat stelt een beveiligingsonderzoeker die werkt voor een groot gerenommeerd internationaal beveiligingsbedrijf op voorwaarde van anonimiteit tegenover NU.nl.

Hij werkt undercover aan het in kaart brengen van criminele netwerken tegenover botnets. Maar een van zijn identiteiten is nu publiek, omdat Microsoft toegang in een dagvaarding toegang tot al zijn e-mails eist.

Zeus

Microsoft stelde eerder het Zeus-botnet te hebben uitgeschakeld door twee servers in beslag te nemen. Ook maakte het bedrijf diverse rechtbankdocumenten openbaar waaruit delen van het onderzoek bleken. Al snel leidde dat tot forse kritiek dat vertrouwelijk gedeelde informatie van het Nederlandse beveiligingsbedrijf Fox IT werd misbruikt, lopende onderzoeken werden verstoord, het neerhalen van het Botnet was mislukt en het netwerk dan ook nog steeds operationeel is.

Aanvankelijk ontkende Microsoft schade aan onderzoeken te hebben toegebracht, maar precies dezelfde kritiek komt nu terug. Het bedrijf heeft namelijk 93 Gmail-gebruikers van Google voor de rechter gesleept en eist toegang tot de mailgegevens van deze klanten. Iedere aangeklaagde partij kreeg vervolgens een lijst met alle gebruikte e-mailadressen in handen. Deze lijst is ook in handen van NU.nl.

Onderzoek verpest

“Nu hebben criminelen op de lijst ook direct toegang tot alle gebruikte aliassen die onderzoekers gebruikten”, vertelt de aangeklaagde onderzoeker tegenover NU.nl. “Als de rechter deze informatie krijgen dan worden onze e-mails bekend, komen gebruikte IP-adressen naar buiten.”

Volgens de onderzoeker is dan relatief eenvoudig te achterhalen welke bedrijven onderzoek doen en hoe dat onderzoek precies werkt. Die methodiek is precies dat wat opsporingsinstanties niet willen delen om opsporingsmethoden succesvol te laten zijn. “Dat ze de hele lijst delen is ongelofelijk”, verzucht de onderzoeker. “Wij moeten soms infiltreren om bendes op te rollen. Dat duurt lang, maar werkt wel.”

Makkelijk te ontdekken

Dat hij een punt heeft bewijst de Nederlandse beveiligingsonderzoeker “Le Researcher”. Ook hij kreeg de lijst in handen en deed onderzoek. Hij ontdekte binnen vier uur dat achter een aantal Gmail-adressen onderzoekers zaten en nam contact met ze op. “Dat had Microsoft ook kunnen doen en ik begrijp ook niet waarom ze dat niet deden”, vertelt hij tegenover NU.nl. “Wat Microsoft nu doet is niets anders dan onderzoek naar criminelen verstoren.”

De aangeklaagde onderzoeker benadrukt dat het hier niet alleen gaat om beveiligingsbedrijven. “Ze vernielen nu ook strafrechtelijke onderzoeken in bijvoorbeeld de Verenigde Staten en het Verenigd Koninkrijk”, vertelt hij. “Ik kan niets over die onderzoeken zeggen, omdat lopend onderzoek vertrouwelijk zou moeten zijn.”

Fox IT

“Ja het klopt dat ze strafrechtelijke onderzoeken verstoren”, weet ook Ronald Prins, directeur van het Nederlandse beveiligingsbedrijf Fox IT. Zijn bedrijf uitte samen met andere beveilgigingsonderzoekers in April al gelijkluidende kritiek. Nu bevestigt hij het verhaal van de aangeklaagde onderzoeker. “Ik vind het echt heel raar dat de ene private partij de andere private partij kan aanklagen om onderzoeksgegevens in handen te krijgen.”

“Laat Microsoft zich bezig houden met het maken van goede software en onderzoek overlaten aan beveiligingsexperts”, sneert Prins. Le Researcher, de aangeklaagde onderzoeker en Prins zijn alle drie van mening dat Microsoft met het handelen ook het onderling vertrouwen binnen de beveiligingsgemeenschap schade toebrengt.

Weinig effect

Overigens lijken de acties van Microsoft weinig effect te sorteren. Het botnet is nog altijd operationaal blijkt uit een website die de ontwikkeling geautomatiseerd volgt. Ook wordt nog altijd aan uitbreiding van het netwerk gewerkt onder de codenaam Citadel. “Wat ze dus doen levert niets op, maar ze stappen wel op de tenen van beveiligingsonderzoekers en ze stelen ons werk”, concludeert de aangeklaagde beveiligingsonderzoeker.

Microsoft is langs meerdere wegen benaderd om te reageren op de beweringen van de verschillende beveiligingsexperts, maar kon nog niet reageren.