B. was met dezelfde praktijken als C.K. bezig, maar dan voor Mediatickets. Ook hij heeft per installatie recht op een vergoeding. Volgens het OM zette B. zijn botnet in om grote aantallen van de software van Mediatickets ongemerkt te installeren om zo meer geld op te strijken. Mediatickets zou hem ook echt 2.100 dollar hebben betaald, maar dat wordt niet aangetoond. Ook ging Justitie in dit geval weer de mist in met het bewijs over het installeren van de Mediaticket-spyware. De rechters vonden dat het OM onvoldoende had hard gemaakt dat B. Mediatickets had opgelicht door veel fake-installaties uit te voeren via de besmette computers op zijn botnet.
Maar B. heeft wel aantoonbaar geprobeerd Mediatickets af te persen door een Ddos-aanval op het bedrijf uit te voeren of ermee te dreigen. Eerst tussen 1 en 5 september 2005 en daags erna nog een keer samen met C.K. Voor de eerste Ddos-aanval op Mediatickets kwam Justitie volgens de rechters weer met te weinig bewijs. De vermeende tweede aanval van 7 september werd wel bewezen, met dank aan Microsoft dat een speciaal programma inzette waarmee commando's voor botnets werden opgevangen.
Dit Microsoft-programma is de mysterieuze Botnet Monitoring Analysis Tool. Met de BMAT schijnt Microsoft malware en botnets te analyseren. Op een van de servers van het botnet, 0x80.online-secured.com gaf C.K. allerlei commando's, bleek uit de informatie van BMAT. B. werkte bij die Ddos samen met C.K. die commando's voor het platleggen van de downloadserver van Mediatickets in voerde in het IRC-kanaal.
Prada's en PSP's
B. was in juli 2005 ook nog in de weer met de trojan Wayphisher. Deze leidt internetters naar fake websites voor het invoeren inloggegevens van onder meer Paypal en eBay. Samen met een derde, een internetter met de nickname Sox, heeft B. deze trojan gemaakt en in zijn botnet uitgezet. B. stuurde bestanden met deel van de programmacode van Waypisher naar Sox nog voordat de trojan op internet werd ontdekt door de antivirusbedrijven.
In een afgetapt telefoongesprek versprak B. zichzelf hier ook over. Ook zou B Waypisher tijdens getapt internetverkeer naar een server hebben gestuurd. Onder meer de server van de universiteit van Arlington is met Wayphisher besmet geraakt. Ook wisselen Sox en B. nepwebpagina's uit van banken die bij de phishingaanvallen werden gebruikt.
In totaal 324 Paypal-inloggegevens zijn gevonden op de computer van B in een bestand met de naam paypal.txt. Ook maakte hij meerdere eBay-accounts buit. Hij heeft ze ook gebruikt voor het bestellen van producten op internet. B koopt onder meer speakers van een Duitser en dure Prada-schoenen bij het Turijnse bedrijf Droplet op naam van en het eBay account van een slachtoffer. Ook schaft hij Playstation portables en spellen als Ridge Racer aan, evenals een videokaart. En een Sony digitale camera, die hij verkoopt aan zijn broer.
Het is volgens de rechter aan 'tijdig ingrijpen van politie en justitie te danken dat het in deze zaak het misbruik van inloggegevens beperkt is gebleven'. Ondanks dat er bijna twee maanden zat tussen de eerste gevallen van misbruik en B's arrestatie. Zijn advocaat, J. van Halderen, omschreef het in zijn pleidooi als 'een spannend jongensboek'.
De rechters zijn dat in hun vonnis niet met hem eens. "Hij moet worden beschouwd als een intelligente jongeman die bewust misbruik maakt van zijn kennis op computergebied. (..) Met zijn acties wordt grote inbreuk gemaakt op het toenemende economische belang van ict en het grote maatschappelijke belang van internet."
'Technische bewijzen mager'
Officier van Justitie W. Gerretschen las het pleidooi voor tijdens de zitting op 16 januari 2007, maar was niet gedurende het hele proces de zaaksofficier. Gerretschen vergeleek de verspreiding van de virussen met woninginbraken en oplichting via internet met winkeldiefstal. Advocaten JF. van Halderen van B. en B. Kaarls van C.K. voerden allebei aan dat er geen enkele aangifte in het strafdossier zat. De rechter vond dit ook niet nodig.
Ook stelden Van Halderen en Kaarls dat het bewijs louter technisch was, vergaard met internettaps en door analyse van in beslag genomen computers van de verdachten zelf, maar niet die van computers in het botnet. "Hoewel er IP-adressen zijn gevonden zijn de gebruikers niet benaderd. Er is verzuimd ook maar een kopie over te leggen van de harde schijven van pc's behorende bij die IP-adressen," stelt Van Halderen.
Vooral zijn pleidooi zit vol met technische details, over kwetsbaarheden in Windows, poortnummers, niet-werkende commando's. Daarmee probeert de raadsman - vergeefs - de aanklacht over het inbreken in computers te weerleggen. "Niemand heeft B. voor enig open achterdeur in Windows zien staan, laat staan hem naar binnen zien lopen."
Kaarls voerde een soortgelijke argumentatie op maar met minder details: "Tapverslagen van chatgesprekken vormen geen bewijs dat er sprake is van een feitelijke overtreding. (Ze geven) een indicatie van wat zich zou kunnen afspelen - niets meer (..) Niet is vast komen te staan dat clietn enige werkbaar en uitvoer commando of input heeft gegeven," aldus Kaarls. Tegenover Netkwesties verklaart hij: "Wat je ziet, hoeft niet de waarheid te zijn."
Bovendien zijn het volgens hem gebruikers van computers zelf geweest die de ad- of spyware van 180Solutions/Loudcash waarvoor C.K. per install betaald kreeg installeerden. "De gebruikers van de pc kan ook weigeren." Op dit punt scoorden de advocaten een succesje. Voor het installeren van ad- en spyware werden de verdachten vrijgesproken bij gebrek aan bewijs.
De rechter sprak de twee overigens ook vrij van het hacken van de site World of Golf. B. zou door een lek op die site gevoelige gegevens van klanten hebben gekopieerd, maar hiervan ontbreken voldoende sporen volgens de rechters.
Testopstelling met verouderde Windows
Beide advocaten hekelden een testopstelling die de recherche gebruikte om de werking van de toxbot aan te tonen en na te bootsen. Die testomgeving zou gebruik hebben gemaakt van een erg verouderde versie van Windows XP. Van Halderen: "Het ging op de eerste versie die op de markt was. De testopstelling was niet voorzien van een firewall. (..) Dit geeft geen reëel beeld."
Ook Kaarls vond dat de testopstelling niet deugde. "Ze werkten met het eerste servicepack. Dat gebruikt bijna niemand. Dat heeft het OM niet vermeld in het verslag." Verder vertelt Kaarls Netkwesties dat volgens hem de rechercheurs ook de domeinnaaminstellingen van bepaalde irc-servers ongevraagd hebben gewijzigd. "Ze hebben op eigen houtje dns-instellingen van domeinen van anderen aangepast", beweert Kaarls. In de uitspraak bleef dit punt verder onvermeld.
Kaarls vindt het vreemd dat in het strafdossier nogal wat dingen ontbreken: aangiften, verklaringen van gedupeerden, gemelde klachten, verklaring van iemand die zegt dat er zonder toestemming is ingebroken in zijn computer en informatie over een feitelijke overdacht van gegevens tussen een computer van een geïnfecteerde en die van de hacker. Ook merkwaardig vindt hij is dat de betrokken adware-bedrijven vrijwel geen medewerking verlenen aan de strafzaak
Hoe zeer het technische bewijs misschien op details kort door de bocht was, het waren de verdachten zelf die zichzelf telkens een slechte dienst bewezen door tijdens chats hun acties te beschrijven of zelfs commando's te plakken die ze hadden gebruikt of wilden gebruiken. Op basis van die 'gesprekken' in combinatie met de voorvallen rond dezelfde tijdstippen was het volgens de rechter voldoende aannemelijk dat het toch echt de twee heren die achter de knoppen zaten.
'Afsluiten voor gevoelens'
B. werd schuldig bevonden aan flessentrekkerij door het bestellen van de Prada-schoenen, gadgets en games met gegevens en op kosten van derden. C.K. had zich hieraan niet schuldig gemaakt, maar werd wel ook veroordeeld voor het illegaal aftappen van stroom van Eneco. (Vier kleinere verdachten in deze zaak moeten later voor de rechter verschijnen.)
C.K. was al eens veroordeeld voor een vermogensdelict en vernieling. Volgens rapporten van de reclassering 'kan hij lange tijd ergens in op gaan en de realiteit om zich heen verliezen'. "Hij sluit zich af voor zijn gevoelens," stelt de reclassering. C.K. zei tijdens de zitting de draad weer te willen oppakken. Hij sleutelt aan auto's, maar heeft geen vast werk. Kaarls omschrijft zijn cliënt als een 'teruggetrokken iemand'.
B. gaat vanaf februari weer een opleiding volgen. Van Halderen spreekt van 'een leer-werktraject'. Ondanks dat de reclassering bij B. geen bijzonderheden ziet, is de rechtbank er ' bepaald niet gerust op' dat hij 'het verwerpelijke van zijn handelen inziet'.
In de zaak werkten naast het landelijk parket ook de Nationale Recherche, het National High Tech Crime Center (NHTCC), Govcert.nl en enkele internetproviders waaronder Xs4all en Fiberworld same. Het National High Tech Crime Center werd niet lang na dit onderzoek opgedoekt.
Zowel de advocaten van de verdachten als het Openbaar Ministerie zeggen nog niet te hebben beslist in hoger beroep te gaan tegen de uitspraak. Ze hebben nog tot 13 februari 2007 om dat te beslissen. Op basis van gesprekken met de advocaten lijkt de kans groot dat de twee hackers eieren voor hun geld kiezen. Woordvoerder Desiree Leppens van het landelijk parket zegt dat het OM de knoop richting de dertiende pas doorhakt.
Les over aanpak botnet?
Wat de grootste hackerszaak van Nederland werd genoemd, is achteraf weinig spectaculair gebleken. Alleen het aantal computers dat de twee controleerden was dat. Maar een grote buit of enorme schade maakten B. en C.K. niet bepaald. Dat gebeurde onlangs wel in Zweden waar hackers bijna 900.000 euro buitmaakten bij een online roof van een bank. Ook daarbij werd er gebruikgemaakt van trojaanse paarden in combinatie met keyloggers. Maar in deze zaak ging het om relatief kleine bedragen, waarmee de botnetbeheerders vooral dingen van hun verlanglijstjes kochten. Games, gadgets en Prada-schoenen. Het lijkt meer op hacken om stoer te willen zijn.
Maar de uitspraak toont aan hoe lastig het is om technische bewijzen te vergaren rond botnets. Moeilijk achteraf aan te tonen lijkt wat er op besmette computers gebeurt en naar aanleiding van welk commando, en van wie afkomstig. Politie en Justitie hadden geluk dat beide verdachten zo loslippig waren op de afgetapte chats. Een les voor de toekomst, want nu vervielen enkele aanklachten over het installeren van ad- of spyware en het uitvoeren van één van de ddos-aanvallen bij gebrek aan voldoende bewijs.
Meer opsporingsmiddelen voor dit soort zaken komen binnen een jaar ter beschikking van justitie en politie. Enerzijds zijn Nederlandse internetaanbieders wettelijk verplicht vanaf september hun klantendatabase elke 24 uur te uploaden naar het CIOT, het Centraal Informatiepunt Opsporing Telecom. Dat houdt in dat veel opsporingsambtenaren straks vanaf hun werkcomputers kunnen zoeken wie er achter een vast ip-adres of Nederlands mailadres zit.
Daarnaast komt de invoering van de bewaarplicht van historische telecom- en internetgegevens steeds dichterbij. Waarschijnlijk wordt deze over ongeveer een jaar opgenomen in de Nederlandse wet. Het kabinet heeft in een eerste wetsvoorstel voor invoering van de bewaarplicht voorgesteld dat providers de verkeersgegevens moeten bewaren voor een periode van 18 maanden. Toevallig ongeveer de tijd tussen het moment dat B. en C.K. in het vizier van justitie kwamen en het moment waarop ze voor de rechter verschenen.
