Wie creditcardgegevens wil stelen, spam wil rondpompen, in wil breken op bedrijfssystemen of kinderporno wil hosten, kan dat prima vanaf Nederlandse computers doen, weten cybercrimelen. De hostingbedrijven, die hen toegang tot internet bieden, spelen daar op in met wervende advertentieteksten.

„U kunt kiezen of u een server in Rusland of Nederland wilt huren”, adverteert het dubieuze hostingbedrijf Xhost24 op haar Russischtalige website. Nederland is de betere keuze, benadrukt het bedrijf. „In Nederland is het acceptabel om de meeste klachten te negeren.”

Ook het bedrijf Abusehosting prijst Nederland aan bij klanten „die illegale inhoud hosten”. In het Russisch: „Nederland maakt weliswaar deel uit van de EU, maar het land heeft, zoals algemeen bekend, eigen wetten die verboden zijn in andere landen, bijvoorbeeld op het gebied van het legaal gebruik van drugs.” Bij Abusehosting vinden ze „in de moeilijkste gevallen de meest verborgen plekken voor uw projecten”.

En bij hostingpartij Fuckservers kunnen klanten uit Rusland speciaal ingerichte servers in Nederland huren voor, zo meldt de site, het uitvoeren van digitale aanvallen, om te speuren naar hackdoelwitten, wachtwoorden te kraken en klachten over auteursrechtschendingen te negeren. Veel mag, maar er is wel een grens. Slachtoffers maken in Nederland mag niet, meldt de site, want daar komt gedoe van. Elders is geen probleem.

Onderhuurders

Nederland heeft een hostingprobleem, weten ze bij het Team High Tech Crime van de politie maar al te goed. Vanaf Nederlandse servers gaat een hoop rotzooi internet op. De uitmuntende infrastructuur voor internet en het stabiele vestigingsklimaat trekken bonafide hostingpartijen en datacentra aan, maar ook slechte.”

Het grootste probleem, volgens rechercheur Nico van Wijk, vormen de onderhuurders, de resellers, die zelf klant zijn bij Nederlandse hostingpartijen en doorverhuren. Zoals een raamexploitant een peeskamertje verhuurt, zo verhuren resellers voor een maand, een dag of een uur serverruimte aan cybercriminelen, spammers, hackers en kinderpornoverspreiders. Die betalen met anonieme digitale valuta, voeren even hun criminele activiteiten uit, en verdwijnen dan weer.

Resellers zijn schaamteloos, ze adverteren openlijk onder cybercriminelen

De politie kan weinig tegen hen beginnen. Resellers zijn vaak buitenlandse bedrijven. En de Nederlandse partijen aanpakken waar ze klant zijn is ook ingewikkeld, want die zijn in beginsel niet verantwoordelijk voor wat hun klanten doen.

Vandaar dat het Team High Tech Crime een nieuwe aanpak heeft bedacht, die Nico van Wijk, zijn baas Matthijs van Amelsfort en officier van justitie Esther Baars willen toelichten.

Vorige maand heeft de politie voor de tweede keer een brief gestuurd naar hostingbedrijven en datacentra met een lijst ongewenste resellers. Daarbij het dringende verzoek om – mocht één van de partijen op de lijst klant zijn – het contract te „herzien”. „De ‘Hollandse netwerken’ van de infrastructuur staan bij criminelen en binnen de cybersecuritygemeenschap bekend als een vrijhaven om slachtoffers te maken”, staat in de brief. „Dit is niet acceptabel voor de Nederlandse politie.”

In Nederland is het acceptabel om de meeste klachten te negeren

Waarom stuurt de politie zo’n brief?

Esther Baars: „De kern van het strafrecht voor hostingbedrijven is dit: als een hoster gewoon z’n werk doet, kunnen we hem niet vervolgen voor strafbare feiten in zijn netwerk. Net zoals je PostNL niet zomaar kunt vervolgen vanwege drugs die meegaan in de post. Een zaak beginnen tegen een hostingbedrijf is ongelooflijk lastig. Het gaat vaak om ingewikkelde internationale bedrijfsconstructies, een complexe technische structuur. Wie zit waar? Daar bovenop moet je opzet aantonen. Je moet kunnen bewijzen dat het businessmodel om criminelen te faciliteren verinnerlijkt is in het bedrijf. Als een bedrijf gewoon wegkijkt, is een zaak heel moeilijk te bewijzen. Nico probeert het vanuit de politie via een andere route. Hij vraagt het goede deel van de markt mee te werken.”

Weinig zaken tegen hosters slagen in de rechtszaal. Waarom lukt dat niet?

Baars: „Ik geef een voorbeeld. In de zaak-Madeira vervolgen we een bedrijf dat volgens ons bewust heeft geholpen bij het hacken en het leveren van een botnet [netwerken van gehackte computers die op commando andere apparaten aanvallen]. De rechtbank Rotterdam wilde onze zaak niet behandelen, omdat we niet netjes hadden gevraagd de slechte content te verwijderen en de boel op orde te maken. Natuurlijk doen we dat niet, we vragen een verdachte ook niet om zijn wapens in te leveren voordat we een inval doen. Anders hadden we geen zaak. Gelukkig heeft het hof ons in hoger beroep gelijk gegeven en kan de zaak toch doorgaan. Het laat zien hoe ingewikkeld het is.”

Is deze brief uit frustratie geboren?

Nico van Wijk: „Je staat erbij en je kijkt ernaar. We weten best waar de cybercriminaliteit is. We kennen de deals, de namen, de trends, je ziet telkens dezelfde internetbedrijven. De vraag is dan: wat doen we nu? Ingrijpen via het strafrecht is lastig, je weet vaak niet eens waar een server staat. We willen daarom de verantwoordelijkheid deels terugleggen bij de Nederlandse bedrijven. De resellers op deze lijst zijn zo schaamteloos, ze adverteren openlijk onder cybercriminelen. We vragen aan de sector: leg die lijst eens langs je klantenbestand.”

Matthijs van Amelsfort: „We vragen de markt verantwoordelijkheid te nemen voor veiliger internet.”

Hoe groot is het probleem dan?

Van Wijk: „Dat weten we eigenlijk niet. We weten niet eens hoeveel hostingbedrijven er in Nederland zijn. Wat we wel weten is dat we in Nederland gewoon heel slecht te boek staan. We worden internationaal gezien als een vrijhaven voor datapakketjes. Ieder jaar komt de internationale kinderpornobestrijder weer met het overzicht van landen waar de meeste kinderporno gevonden wordt – dan staan we of op nummer 1 of op nummer 2.”

Hoe is de lijst met ongewenste resellers tot stand gekomen?

Van Wijk: „We hebben advertenties verzameld op fora voor cybercriminelen, op vage weblogs en op vergelijkingssites waar hosters beoordeeld worden. Dat gaat daar net zoals op Amazon, best geestig. Dan schrijft iemand: ‘Dit is echt de beste partij voor het weghouden van autoriteiten’, en schrijft een ander: ‘Dit schrijf je gewoon zelf, dit is een fake reactie’. We hebben vervolgens het anti-abuse-netwerk AAN gevraagd om de brief naar hun leden te sturen. Daar zijn veel datacentra via de brancheorganisatie Dutch Cloud Community op aangesloten.”

Met deze aanpak bereik je toch niet de kwaadwillenden? Veel resellers die vorig jaar op de lijst stonden, staan er nog steeds op. Niet iedereen krijgt de brief.

Van Wijk: „Dat is zo, maar zo’n brief gaat rond. We schrijven erin dat je ook niks kunt doen, maar dat je dan waarschijnlijk meer rommel op je netwerk hebt. Meer spam, meer botnets, meer illegale inhoud, waardoor wij vaker langs moeten komen om dingen in beslag te nemen. Dat kost tijd en geld.

„Weet je, er loopt geen bloed uit een datacentrum. Maar alle delicten die in de wereld bestaan, staan ook op internet. Het zou niet alleen een commerciële, maar ook een morele overweging voor de hostingbedrijven moeten zijn om slechte klanten te weren.”

Denkt u dat hostingbedrijven de brief serieus nemen?

Esther Baars: „De weerstand in de hostingindustrie om kritisch naar klanten te kijken, verbaasde me echt toen ik drieënhalf jaar geleden met dit onderwerp begon. Als bij de Hema een bepaald broodmes onder jongeren vaak wordt gebruikt om elkaar neer te steken, kun je er donder op zeggen dat zij hun verantwoordelijkheid nemen en zorgen dat dit mes niet meer verkocht wordt. Het verbaast me dat er in de hostingwereld nog niet zo wordt gedacht.”