Je hebt een botnet opgerold. En dan? - Pleidooi voor een loket 'gevonden data'

February 18, 2013

Na het oprollen van een botnet kreeg digitaal forensisch onderzoeksbureau Digital Investigation 750 GB aan data in handen, met informatie over geïnfecteerde computers, creditcard gegevens, vertrouwelijke email, adressen, telefoonnummers, en gebruikersnamen en wachtwoorden. Het team High Tech Crime werd ingelicht, maar die deed niets met de gegevens. Vervolgens mocht de NOS in de gegevens grasduinen. Dit is niet goed geregeld in Nederland: een pleidooi voor een loket 'gevonden data'.

Om het probleem aan de kaak te stellen is het logisch dat de media zijn ingeschakeld. Maar gezien de gevoeligheid van de gegevens is de NOS niet de aangewezen organisatie om in dit soort gegevens rond te neuzen. (Ik ga er maar even van uit dat de NOS hiervoor bij Digital Investigation op bezoek is geweest, en niet een kopie heeft gekregen...). De vraag is dan wel: wat moet je doen als je zo'n bak met data in handen krijgt?

Er zou een onafhankelijke organisatie moeten zijn waar je met deze data heen kunt. Een organisatie die op een absoluut veilige manier om kan gaan met deze (privacy) gevoelige informatie. Een centraal loket 'gevonden data'. Deze organisatie moet vervolgens er voor zorgen dat misbruik van de informatie zo snel mogelijk wordt gestopt. Daarnaast kan zij een inschatting maken van de omvang van de schade, en eventueel iets zeggen over de mogelijke oorzaken, en de daders.

Om misbruik te stoppen is het niet zinvol direct de eindgebruikers te benaderen. Ten eerste is het vaak lastig om te bepalen om wie het gaat, en om ze vervolgens te bereiken. Daar is vaak extra informatie voor nodig. Daarnaast zullen die eindgebruikers dan eerst zelf stappen moeten ondernemen voordat het misbruik ook echt stopt.

Beter is het om naar het type informatie te kijken (is het een IP adres, een creditcard nummer, een bankrekening nummer, een Facebook account, etc.) en vervolgens direct contact op te nemen met de uitgever van de informatie (de ISP, de creditcard maatschappij, de bank, Facebook, etc.). Deze uitgever kan het account meteen blokkeren, en vervolgens de klant inlichten en hem helpen het probleem op te lossen.

Bovendien maakt zo'n 'loket gevonden data' het voor de goedwillende klokkenluider meteen duidelijk waar hij met zijn vondst heen moet - en maakt zo het melden van misstanden iets minder onaantrekkelijk.

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Mark Watson
, 2013-02-18 21:22:25
(reply)

Dus als jij contact opneemt dat ik mijn data ben verloren kan ik niet meer bij mijn account.. Mooi is dat! ;-) Denial of service as a service?

Jaap-Henk
, 2013-02-18 21:26:33
(reply)

Dat zul je inderdaad goed moeten regelen om dit soort DoS acties te voorkomen. Merk op dat je dat nu ook al moet doen met bijvoorbeeld het melden van een verloren creditcard. Door controle informatie te vragen bijvoorbeeld. Zo kun je ook blokkade af laten hangen van aan- of afwezigheid van extra informatie of context in gevonden databestand.