image

900.000 Nederlandse pc's onderdeel botnet

vrijdag 14 januari 2011, 14:01 door Redactie, 21 reacties

Tussen de 450.000 en 900.000 Nederlandse computers waren tussen januari 2009 en de zomer van vorig jaar onderdeel van een botnet. Dat blijkt uit nieuw onderzoek door de TU Delft in opdracht van het ministerie van Economische Zaken, Landbouw & Innovatie (EL&I). Met het onderzoek bestaat volgens minister Verhagen voor het eerst zicht op de omvang van botnets in Nederland.

Verhagen noemt botnets het Zwitsers zakmes van internetcriminelen. "Er worden allerlei illegale activiteiten mee uitgevoerd en ze ondermijnen het vertrouwen van mensen in het internet. Dat is gevaarlijk want internet is dé bron van innovatie en een aanjager van nieuwe economische activiteiten."

Conficker
Het onderzoek stond onder leiding van Michel van Eeten. Die liet vorig jaar tijdens het Govcert symposium nog weten dat maar weinig besmette abonnees worden gewaarschuwd door de verantwoordelijke provider. Ook uit dit onderzoek blijkt dat Nederlandse aanbieders nog maar met weinig van de besmette klanten in hun netwerk contact opnemen (10%). Het niet hebben van voldoende informatie om alle besmettingen op te kunnen sporen en succesvol aan te pakken wordt als voornaamste oorzaak genoemd.

Op landelijke niveau heeft Nederland een gemiddeld aantal infecties per internetgebruiker, behalve als het om Conficker infecties gaat. Daar scoort Nederland veel beter en zijn er veel minder besmette machines. Zo'n tachtig procent van de geïnfecteerde machines staat in de netwerken van internetproviders, de resterende twintig procent is bij hostingproviders en Surfnet ondergebracht. Wederom een vergelijkbare situatie met andere landen.

Providers
Van Eeten noemt in zijn onderzoek geen namen, maar laat wel weten dat 60% van alle besmette machines zich in de netwerken van de drie grootste Nederlandse ISPs bevinden. In de onderzoeksperiode werden 1,1 miljoen IP-adressen geïdentificeerd die het gedrag van een besmette computer vertoonden. Daarvan stonden er 900.000 bij bekende ISPs.

De onderzoekers merken op dat een "conservatieve interpretatie" van dit getal een aantal van 450.000 tot 900.000 machines betekent, wat neerkomt op 5% tot 10% van alle Nederlandse breedbandabonnees. "In werkelijkheid is het aantal besmette machines in Nederland waarschijnlijk veel groter dan onze schatting laat zien." Volgens de onderzoekers komt dit doordat er slechts een klein gedeelte van de besmette, geïdentificeerde machines in meer dan één dataset terugkwam.

Er zijn geen consistente trendgegevens over het aantal besmettingen in Nederland, maar de gegevens suggereren in ieder geval dat het probleem alleen maar erger is geworden, aldus het rapport.

Reacties (21)
14-01-2011, 14:47 door spatieman
Zou het toevallig te maken hebben met klik klik klik klik klik klik klik klik klik klik klik klik gedrag ??
14-01-2011, 15:09 door Anoniem
Hoe kun je zelf zien dat je onderdeel bent van een BOTnet?
14-01-2011, 15:09 door Securitate
ik zou graag weten hoe je weet dat een systeem besmet gedrag vertoont.
en tevens is een onderzoek leuk als momentopname maar verder nutteloos.
tenzij onze hooggeleerde vrienden de handschoen opnemen en laten zien hoe je problemen voorkomt.
een wedstrijd tussen de tu's, hoge scholen en hackerclubs.
een praktijk demo dus.
dit zal veel kennis opleveren die weer gedeeld kan worden, real time, voor iedereen.
het kan breder behalve werkplek, hoe richt je systemen zo veilig mogelijk in en toch beheerbaar?
wie durven hun netwerk ter beschikking te stellen?
of verzinnen we een referentie omgeving?
het slechts wijzen naar providers is tendentieus en lost niks op.
wel moeten ook zij bereid zijn tot rigoureuze aanpassing architectuur indien noodzakelijk.
dat kost geld natuurlijk.
het biedt kansen voor bv banken om dit te sponsoren, een soort van rechtse hobby.
niet alleen doen ze iets maatschappelijk nuttigs, ze hebben er direct profijt van!
dus, haal nederland uit de statistiek en maak het veiliger.
als het moet zelfs een deal met mickeysoft om mensen ouwe en/of illegale versies te laten vervangen voor win7.
wil je ze op linux hebben, ook goed, doet je best.
durf zelfs om ouwe, niet gepatchte, operating systems uit te sluiten van verbinding met internet.
dit treft natuurlijk vooral particulieren, tevens de groep met de meeste problemen.
met een nieuw os voor weinig moet dit geen probleem zijn.
mogelijk komt er wel een berg te ouwe hardware beschikbaar.
ook de vernietiging hiervan is niet erg, zijn voornamelijk stroomvreters.
eigenlijk zijn dit diverse oplossingen door elkaar.
wees creatief en laten we de zooi eens laten bruisen!
14-01-2011, 15:20 door Bitwiper
Uit het rapport dat over het algemeen prima is:
Second, it is not reasonable to expect ISPs to fully internalize this problem. As stated earlier, these infections originate in criminal behavior. They are not caused by the ISP itself. Even when we only look at the legitimate market players that can influence the magnitude of this problem, we can see a broader set of players that contribute to this problem: hosting providers, software vendors, computer retailers, registrars, e-commerce companies and, last but certainly not least, the end users themselves, be it home or business users. It is their machines that are infected.
Wat de auteurs niet vermelden is dat de ISP's de enige is die de identiteit van de eigenaar van een IP-adres betrouwbaar kan vaststellen. Zolang we een systeem willen waarbij de privacy van gebruikers op dergelijke wijze geregeld is, kan het niet anders dan dat de ISP moet optreden.
Dutch ISPs contact around 10 percent of the total number of infected customers in their networks. This low ratio has two main explanations: (1) the ISPs lack intelligence on infected machines – their own data feeds capture much less than the datasets used in the study; (2) ISPs need to be careful to avoid false positives when deciding whether to contact or quarantine a customer, so they cannot act on every single piece of data.
M.b.t. dat eerste punt : dat is absoluut iets dat ISP's dus moeten verbeteren. Het is van de zotte dat externe onderzoekers beter kunnen vaststellen welke hosts boven de radar uitkomen dan de ISP.

M.b.t. punt 2: ik begrijp dat de ISP soms zal twijfelen, maar dat is dan toch juist een reden om contact op te nemen met de eigenaar van het IP-adres waarvan wangedrag vermoed wordt? Bijv. met de mededeling "wij vermoeden xyz, staat u toe dat wij uw verbinding een tijdje inhoudelijk monitoren?"

Ik blijf bij de stelling die ik al vaker heb geponeerd: als het duidelijk is dat een of meer computers achter een bepaald IP-adres anderen schade toebrengen, moet je deze ten minste zodanig afsluiten dat dit lastigvallen niet meer kan plaatsvinden. Als we dat niet willen met z'n allen dan moet je, als benadeelde partij, NAW gegevens bij zo'n IP adres kunnen krijgen zodat je de eigenaar zelf aansprakelijk kunt stellen.
14-01-2011, 16:25 door EDLIN
Door Anoniem: Hoe kun je zelf zien dat je onderdeel bent van een BOTnet?
Als je onderdeel bent van een botnet dan heb je een virus op je computer.
Een handmatige scan van een virusprogramma van alle bestanden kan dit aantonen.
Als het botnet actief bezig is dan kan de internetverbinding langzaam worden.
In het taakbeheer is een tabblad 'netwerk'. Als daar activiteit te zien is van laat ik zeggen meer dan een paar procent
en je bent zelf niet aan het surfen, dan kan dat betekenen dat de verbinding achter je rug om wordt gebruikt.
Hoewel het natuurlijk ook mogenlijk is dat er op dat moment een update plaatsvind van het een of ander.
14-01-2011, 16:44 door Anoniem
Door EDLIN:
Door Anoniem: Hoe kun je zelf zien dat je onderdeel bent van een BOTnet?
Als je onderdeel bent van een botnet dan heb je een virus op je computer.
Een handmatige scan van een virusprogramma van alle bestanden kan dit aantonen.
Als het botnet actief bezig is dan kan de internetverbinding langzaam worden.
In het taakbeheer is een tabblad 'netwerk'. Als daar activiteit te zien is van laat ik zeggen meer dan een paar procent
en je bent zelf niet aan het surfen, dan kan dat betekenen dat de verbinding achter je rug om wordt gebruikt.
Hoewel het natuurlijk ook mogenlijk is dat er op dat moment een update plaatsvind van het een of ander.

Dank. Dan valt het bij mij wel mee ;-)
14-01-2011, 17:46 door Anoniem
Heeft grotendeels te maken met de naiëviteit en gemakzuchtigheid van de de meeste pc gebruikers.
Ten eerste beveiliging mag vooral niks kosten en ook geen tijd of aandacht vragen en ten tweede de gemiddelde pc gebruiker heeft ook niet echt verstand van beveiliging en de gevaren. Daarbij komt men heeft dag en nacht de modem aanstaan[draadloos] dus procent gewijs loop je al veel meer risico op een besmetting. En dan nog de sociale site en toepassingen die ook vaak een nachtmerrie zijn om te beveiligen:Facebook,Hyves,MSM etc..
En ook het lukraak klikken op links kan men in de problemen brengen,of als men software van het net download dat men niet goed checked of die site wel legaal is.
En geen èèn beveiligingsproduct is 100% waterdicht dus een combinatie van verschillende software is gewenst bij het veilighouden van een pc.
En die software pakketten die in de tests vaak als nummer 1 naar boven komen zijn vaak wel goed in het detecteren maar
niet perse in het verwijderen van virussen en spyware,ik noem b.v. Panda Security,MacAfee.
Dus een goede security suite van b.v Zonealarm,Webroot,G-data,Nod32[Eset] aangevuld met een goede antispyware applicatie
zoals Spybot Search&Destroy[gratis] ben je al een eind op de goede weg. En regelmatig je pc opschonen is ook belangrijk zodat je niet privacygevoelige data blootstelt aan eventuele kwaadwillenden.
Flashcookies opschonen zoek naar Global Settingsmanager van Adobe Flashplayer en daar kun je ze verwijderen. Ccleaner is een handige opschoon software[gratis],Hijack this is bij tijd en wijle ook een fijn stukje software[van Trend Micro].
14-01-2011, 18:19 door Anoniem
Ik neem aan dat om besmet te kunnen worden, men een zekere (oudere) versie van windows moet draaien?
15-01-2011, 00:49 door Leen_T
Je kunt je verbinding ook wiresharken. http://media-2.cacetech.com/video/wireshark/introduction-to-wireshark/
Het probleem is dat als je hier serieus mee aan de gang gaat, dan is dat voortaan je computergebruik.
Ik verlaat windows. Het was een aangename, onderhoudende tijd, maar ik heb geen tijd meer om een
windows systeem te onderhouden.
15-01-2011, 02:41 door Anoniem
Door EDLIN:
Door Anoniem: Hoe kun je zelf zien dat je onderdeel bent van een BOTnet?
Als je onderdeel bent van een botnet dan heb je een virus op je computer.
Een handmatige scan van een virusprogramma van alle bestanden kan dit aantonen.
Als het botnet actief bezig is dan kan de internetverbinding langzaam worden.
In het taakbeheer is een tabblad 'netwerk'. Als daar activiteit te zien is van laat ik zeggen meer dan een paar procent
en je bent zelf niet aan het surfen, dan kan dat betekenen dat de verbinding achter je rug om wordt gebruikt.
Hoewel het natuurlijk ook mogenlijk is dat er op dat moment een update plaatsvind van het een of ander.
geen enkel virusprogramma is waterdicht, zou eerder je firewall goed nakijken, wat er allemaal naar buiten toe gaat!
15-01-2011, 11:00 door Anoniem
Door EDLIN:
Door Anoniem: Hoe kun je zelf zien dat je onderdeel bent van een BOTnet?
Als je onderdeel bent van een botnet dan heb je een virus op je computer.
Een handmatige scan van een virusprogramma van alle bestanden kan dit aantonen.
Als het botnet actief bezig is dan kan de internetverbinding langzaam worden.
In het taakbeheer is een tabblad 'netwerk'. Als daar activiteit te zien is van laat ik zeggen meer dan een paar procent
en je bent zelf niet aan het surfen, dan kan dat betekenen dat de verbinding achter je rug om wordt gebruikt.
Hoewel het natuurlijk ook mogenlijk is dat er op dat moment een update plaatsvind van het een of ander.

Een virusscan helpt niet om vast te stellen dat je onderdeel van een botnet bent. Virussen zijn voortplanters, dat hoeft hier helemaal niet. Veelal is er niet eens sprake van een virus. Je bent via drive-by geïnfecteerd. De dropper verwijdert zichzelf weer en je hebt een specifiek stukje malware op je PC.

Vergis je niet in de effectiviteit van virusscanners die is niet zo hoog. Wel doen maar doe ook zeker andere dingen (blade-achtige, patchen, scripts uitschakelen etc..)
15-01-2011, 12:45 door Syzygy
Ik ben het wel met Bitwiper eens, en dan niet in de laatste plaats omdat dat hij vaak de enige is die hier zinnige taal ventileert en zoals gewoon zijn standpunt goed onderbouwt.


Mijns inziens ligt hier ook een groot stuk verantwoordelijkheid bij de ISP.
Eindgebruikers in het algemeen weten nauwelijks wat hun computer voor informatie deelt met andere computers in de wereld.
Ze zijn bewust van hun email verkeer, hun getwitter en omdat ze regelmatig hun computer moeten rebooten snappen ze ook nog wel dat er af en toe een update gedaan wordt.
Indien iemand dus deel uit maakt van een botnet zal er regelmatig data verkeer met bepaalde bronnen worden gemaakt. Die bronnen zijn vaak bekend dus kan een ISP daarop filteren.
Natuurlijk zijn ze bang voor false positives dus een langere periode van scannen biedt hier wellicht uitkomst.

We kunnen natuurlijk het cd'tje van klik vee blijven draaien maar dat draagt inhoudelijk natuurlijk niet echt veel bij.
Ik reverse engineer wel eens een exe of een ander stukje malware (om onderzoek technische redenen) om te zien wat er allemaal gebeurt binnen een applicatie maar dat kan je dus niet van iedereen verwachten voordat hij ergens op klikt.
Een virusscanner die up to date is en een firewalletje , is vaak het enige dat een eindgebruiker kan beschermen.
Verder moet hij het hebben van een stuk "common sense " maar wat mag je van een eindgebruiker verwachten.


Dan nog even dit:

Als je onderdeel bent van een botnet dan heb je een virus op je computer.
laten we zeggen Malware
Een handmatige scan van een virusprogramma van alle bestanden kan dit aantonen.
Hoeft niet altijd
Als het botnet actief bezig is dan kan de internetverbinding langzaam worden.
Ligt aan de capaciteit van je internetverbinding
In het taakbeheer is een tabblad 'netwerk'. Als daar activiteit te zien is van laat ik zeggen meer dan een paar procent en je bent zelf niet aan het surfen, dan kan dat betekenen dat de verbinding achter je rug om wordt gebruikt.
Hoewel het natuurlijk ook mogenlijk is dat er op dat moment een update plaatsvind van het een of ander.
en je bent niet aan het downloaden (torrent of zo), chatten en foto's aan het oversturen, mailen, gamen, etc etc.

Ik begrijp je idee wel hoor maar je voor een leek is dat al veel gevraagd.

Voor de niet leek is geeft een tooltje als Process Monitor en Process Explorer een diepere kijk op alles wat er draait

En vergeet vooral niet NETSTAT niet, dosbox <cmd> netstat -an
Daarmee zie je de netwerkconnecties tussen je PC en de rest (Lan - Wan)

Uiteraard zal er voor al deze tools een Linux variant zijn (die natuurlijk veel beter zijn ;-)
15-01-2011, 17:46 door EDLIN
@anoniem 11.00
Natuurlijk is het zo dat een virusprogramma niet altijd een botnet detecteerd.
Maar ik heb de indruk dat de aanwezigheid van een botnet op een computer vaak geen opzichzelf staand feit is maar dat er meer infecties aanwezig zijn.En deze 'bijvangst' kan dan een aanleiding zijn voor nader onderzoek.

Door Syzygy:
Voor de niet leek is geeft een tooltje als Process Monitor en Process Explorer een diepere kijk op alles wat er draait

En vergeet vooral niet NETSTAT niet, dosbox <cmd> netstat -an
Daarmee zie je de netwerkconnecties tussen je PC en de rest (Lan - Wan)
[/quote]
Bij serieuse infecties heb je soms niks aan deze tools.
Zelf meegemaakt bij een systeem met meer dan 10 virussen.
In de proceslijst was daar weinig van terug te vinden.
Wat natuurlijk niks afdoet aan de kwaliteit van bv Proces Explorer.
15-01-2011, 17:49 door EDLIN
@anoniem 11.00
Natuurlijk is het zo dat een virusprogramma niet altijd een botnet detecteerd.
Maar ik heb de indruk dat de aanwezigheid van een botnet op een computer vaak geen opzichzelf staand feit is maar dat er meer infecties aanwezig zijn.En deze 'bijvangst' kan dan een aanleiding zijn voor nader onderzoek.

Door Syzygy:
Voor de niet leek is geeft een tooltje als Process Monitor en Process Explorer een diepere kijk op alles wat er draait

En vergeet vooral niet NETSTAT niet, dosbox <cmd> netstat -an
Daarmee zie je de netwerkconnecties tussen je PC en de rest (Lan - Wan)
[/quote]
Bij serieuse infecties heb je soms niks aan deze tools.
Zelf meegemaakt bij een systeem met meer dan 10 virussen.
In de proceslijst was daar weinig van terug te vinden.
Wat natuurlijk niks afdoet aan de kwaliteit van bv Proces Explorer.
15-01-2011, 17:56 door EDLIN
@anoniem 11.00
Natuurlijk is het zo dat een virusprogramma niet altijd een botnet detecteerd.
Maar ik heb de indruk dat de aanwezigheid van een botnet op een computer vaak geen opzichzelf staand feit is maar dat er meer infecties aanwezig zijn.En deze 'bijvangst' kan dan een aanleiding zijn voor nader onderzoek.

Door Syzygy:
Voor de niet leek is geeft een tooltje als Process Monitor en Process Explorer een diepere kijk op alles wat er draait

En vergeet vooral niet NETSTAT niet, dosbox <cmd> netstat -an
Daarmee zie je de netwerkconnecties tussen je PC en de rest (Lan - Wan)
[/quote]
Bij serieuse infecties heb je soms niks aan deze tools.
Zelf meegemaakt bij een systeem met meer dan 10 virussen.
In de proceslijst was daar weinig van terug te vinden.
Wat natuurlijk niks afdoet aan de kwaliteit van bv Proces Explorer.
16-01-2011, 11:20 door Atropos
Ik zie dan de eindgebruiker vanwege mijn beroep en helaas, 9 van de 10(maar meestal 10 van de 10) weten wel dat een antivirusprogramma e.d nodig is, maar verder dan dat komen de meeste helaas niet.
Mijn werk bestaat dan ook voor een groot deel opvoeding.(ja opvoeding niet uitleg)
Sommige volwassen met een pc, hebben minder begrip van de pc op zich, dan de meeste kinderen die ik zie.
Puur omdat een volwassenen, en gratis wil, en niks wil hoeven te doen, PLUS bang zoniet panisch zijn van een pc.

Dat maakt 3 dingen:
1 Ik heb altijd werk als systeembeheer en pcreparateur.
2 90% van de volwassenen hopeloos zijn met een pc buiten wat ze al jaren doen
en 3 ze ook moeilijk wat willen of zelfs kunnen leren.

En vooral dat laatste is voor de meeste een groot struikelblok.
tot 60 jaar snappen ze nog wel wat en kun je ze nog wel wat leren, maar daarna kom je door verschillende factoren tegen (ouderdom, dementie ed.) toch tegen dat het eigenlijk een hopeloze zaak is voor hun.
En als dan voor die groep ook nog dat het enige contact met de familie of achterban is, dat hoef je niet echt veel te denken dat een besmetting bijna een standaard gegeven is.
Scannen van pc en/of bijlage e.d is gewoon voor de meeste een iets te veel werk of moeilijk te begrijpen/onthouden ding.

De volwassen vanaf 30 tot 60 kun je wel wat sturen vanwege de reparatieprijs, maar als de dat ze niet interesseert, ben je voor jan met de korte achternaam aan het helpen.

En geloof me, de meeste virusschrijvers of hoe je het dan ook omschrijft, deze info is bij hun al lang bekend.

Dus, mijn geloof in dit is al volgt
Tot ik in de krant zie staan dat er wereldvrede is, verwacht ik niet zoveel van een ISP of land om te zorgen voor een veilige pc/verbinding.

Buiten natuurlijk het dan privacyverhaal dat dan zeker in het gedrang zou komen.

Dus echt goede oplossingen zullen er nooit komen, omdat 1 positieve oplossingen altijd wel een negatief aspect zou hebben/krijgen.
17-01-2011, 09:03 door Anoniem
Ach, dit is de zoveelste manier om Internet te onderdrukken
17-01-2011, 15:12 door sabo-fx
Voorkomen is beter dan genezen. Maar voor diegene voor wie dat te laat is en al een 'zieke' pc hebben:
www.malwarebytes.org
Daar kan je gratis een fatsoenlijke ma/spy-ware/virus remover downloaden. Ik wordt bijna dagelijks door mijn omgeving ingeschakeld om PC's te cleanen. En de tool van malwarebytes.org is absoluut mijn 'weapon of choice'. Met name het feit dat ze dagelijks hun spul updaten maakt 'm ook geschikt om gloednieuwe bende te verwijderen.
17-01-2011, 16:56 door EDLIN
Ik zie dat een eerder bericht van mij 3x is geplaatst.
Mijn verontschuldiging daarvoor.
Het komt het overzicht van het topic niet ten goede.
Ik was voorheen een Anonieme gebruiker en ben sinds kort een geregistreerde.
Inmiddels weet ik dat het terugbladeren naar een eerdere pagina kan resulteren in het opnieuw plaatsen van het bericht
daar waar bij een anonieme post dit slechts de melding geeft "De captcha is onjuist".
Groeten Edlin.
17-01-2011, 17:10 door Skizmo
Door Anoniem: Ik neem aan dat om besmet te kunnen worden, men een zekere (oudere) versie van windows moet draaien?
Hoeft niet. Windows heeft zoiezo last van veiligheidslekken, maar vaak is het ook de gebruiker zijn eigen schuld door zomaar 'sofware' te installeren of op email-spam links te klikken die naar gevaarlijke sites leiden.
10-02-2011, 14:29 door Atropos
Elke windowsversie is niet gebruiksvriendelijk.
Goed om mee te werken, maar voor de meeste gebruikers iets waar ze toch wel een redelijke angst voor hebben.
Windows is gewoon niet echt menslogisch. (eerst starten om af te sluiten.. zie ik niet als een logisch iets)
Daar begint het meestel al mee.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.