13 maart 2009 13:39

BBC koopt en gebruikt botnet

Om het gevaar van botnets aan te tonen, heeft de BBC een netwerk van 22.000 geïnfecteerde computers gekocht. De omroep heeft het netwerk daarna gebruikt om eigen e-mailadressen te spammen en een denial-of-service-aanval uit te voeren. Daarna zijn er boodschappen op de besmette computers achtergelaten om te waarschuwen voor de infectie.

Het technologieprogramma Click van de BBC stelt dat het een "goedkoop" botnet wist te bemachtigen door chatrooms te bezoeken. Vervolgens bestookten ze met dat botnet een Gmail- en een Hotmail-account – speciaal voor dit doel in het leven geroepen – met spam. De test wordt op de eigen site in een video gedemonstreerd.

De e-mailaccounts ontvingen in een paar uur tijd duizenden spamberichten.

Het botnet werd ook gebruikt om een distributed denial of service-aanval uit te voeren op een testsite van beveiligingsbedrijf Prevx. Nadat de demonstratie was afgerond, liet de BBC berichten achter op de geïnfecteerde computers om de eigenaars te waarschuwen, en aan te bieden de computers te desinfecteren en beter te beveiligen. Het botnet werd daarna uitgeschakeld, zegt de BBC.

Op de besmette pc’s werd geen toegang tot privé-informatie gezocht. "Als we die handelingen hadden uitgevoerd met criminele doelstellingen, dan zouden we de wet overtreden", aldus de BBC.

Mogelijk toch overtreding
Een Europees advocatenkantoor is het daarmee oneens en stelt dat de BBC wel degelijk de wet heeft overtreden, ondanks de goede intenties.

De BBC overtrad de Computer Misuses Act door software waarmee een botnet bediend kan worden, te verkrijgen en te gebruiken, beweert Struan Robertson, een technologieadvocaat van Pinsent Masons en redacteur van de website Out-law.com.

"Het maakt niet uit dat de e-mailberichten werden verzonden naar de eigen accounts van de BBC, en criminele doelstellingen zijn niet nodig om ongeautoriseerde toegang tot computers aan te tonen", aldus Robertson.

"De wet vereist alleen dat een computer gebruikt is […] met de intentie toegang te krijgen tot om het even welk programma of welke gegevens op een andere computer. Een botnet gebruiken om e-mail te versturen, voldoet waarschijnlijk aan die omschrijving", zegt hij. "Het vereist ook dat er geen toestemming voor de toegang is. Het ziet ernaar uit dat de BBC dat toegeeft."

Volgens Robertson is het onwaarschijnlijk dat de BBC vervolgd wordt, omdat de actie waarschijnlijk geen schade heeft aangericht.