Internetprovider ZeelandNet weet na weken van aandringen nog steeds niet waarom het in een beveiligingsrapport van Microsoft de zwartepiet toebedeeld kreeg. In de zevende editie van het Security Intelligence Report bleek dat van alle websites die bij ZeelandNet waren ondergebracht, er 5,5% bezoekers met malware probeerden te besmetten. Daarmee bevindt de Zeeuwse provider zich tussen aanbieders uit Kazachstan, Rusland en Roemenië. "We hebben meteen actie ondernomen, want dit is gewoon echt niet fris", zegt Serge Maandag tegenover Security.nl. Als senior systeem- en netwerkspecialist bij ZeelandNet is hij deels voor de beveiliging verantwoordelijk.

Naar aanleiding van het bericht op Security.nl werd er direct contact met Microsoft gelegd. "Vanaf dat moment loopt de communicatie met Microsoft", vult Igor Quik aan, Senior Product Manager. "De vragen die we stellen zijn tot nu toe niet beantwoord." ZeelandNet herkent zich absoluut niet in het geschetste beeld van besmette provider. "Omdat we zo schrokken, hebben we direct allerlei scans uitgevoerd op de websites die we zelf en voor andere partijen hosten", zegt Maandag. Dat leverde niets op. Hij acht het mogelijk dat Microsoft de notering deels op oude informatie heeft gebaseerd. Het zou dan om een uitbraak van het Gumblar-virus gaan, maar die was niet dusdanig groot dat het een plaatsing op de lijst verantwoordde.

Gumblar-virus
Het afgelopen jaar was het Gumblar-virus en aanverwante malware verantwoordelijk voor veel van de legitieme websites die malware verspreidden, zegt Maandag. Het virus steelt FTP-wachtwoorden, logt vervolgens in op de website en voegt daar een exploit aan toe die bezoekers via een ongepatcht lek in Adobe Flash, Adobe Reader of ander programma probeert te infecteren. "Dat is voor veel ISPs best wel een flink probleem geweest", merkt de netwerkspecialist op. Ook ZeelandNet kwam de malware steeds vaker tegen, waaronder infecties bij enkele belangrijke websitebeheerders.

Als oplossing ontwikkelde de provider een systeem waarmee niet meer van over de hele wereld op het FTP-account van de gebruiker is in te loggen, maar alleen vanaf de PC van de websitebeheerder. De klant kan verder via een whitelist uitzonderingen maken. "Daarmee was het probleem ook meteen opgelost", aldus Maandag. Hij vertelt dat de provider regelmatig met Nessus scans op de eigen servers uitvoert. Daarnaast zit de ISP in een convenant met andere providers om botnets te bestrijden. De systeemspecialist verwacht dat dit ook naar alle andere vormen van abuse zal worden uitgebreid.

Onduidelijk
De maatregelen die ZeelandNet neemt wijken niet af van wat andere providers doen, toch was het de enige Nederlandse ISP die in het overzicht van Microsoft verscheen. Het rapport van de softwaregigant viel dan ook behoorlijk rauw op het dak van de internetaanbieder. Ondanks de ernst van de situatie weet de provider niet wat Microsoft precies gescand heeft, maar het zou om de hele IP-range kunnen gaan. "Dan zou de besmetting op drie plekken kunnen zitten", gaat Maandag verder. Hij doelt op de eigen hosting van ZeelandNet, de colocated hosting of websites bij klanten thuis. "Zolang we geen antwoord van Microsoft hebben, kunnen we daar geen antwoord op geven." Een scan op de eigen hosting wees uit dat het probleem hier niet zat.

Het contact werd eerst gelegd met het SIR-team, dat het beveiligingsrapport schreef. Dat liet weten dat het niet op detailvragen kon ingaan, omdat het daarvoor onvoldoende bemand was. De Zeeuwse provider vindt het typisch dat een bedrijf als Microsoft wel iets roept in een rapport, zonder dat naar de genoemde partijen toe te onderbouwen. Quik maakt duidelijk dat het de softwaregigant niet wil zwart maken. "Wij willen onze klanten zo goed als mogelijk helpen en zorgen dat er voor iedereen een schone omgeving is." Hij verklaart de vermelding door de omvang van ZeelandNet, dat niet zo'n grote provider is, waardoor het
aantal infecties relatief gezien mogelijk uit z'n verband is getrokken.

Ook Quik is nieuwsgierig naar hoe en wat Microsoft precies heeft gemeten. Maandag vermoedt niet dat Microsoft meetfouten maakt, maar dat het misschien is misgegaan bij de berekening ervan. "Als we weten wat het probleem is, kunnen we er een oplossing voor vinden. Maar als je niet weet waar het aan ligt, is het moeilijk om een oplossing toe te passen."

Inzage
Microsoft is inmiddels met de achtste editie van het rapport bezig en liet de provider al weten dat er weinig kans is dat ze de informatie nog krijgen. Iets waar Quik weinig waardering voor heeft. De provider zit nog te kijken hoe het de situatie verder zal aanpakken. Het heeft Microsoft al gevraagd dat het de nieuwste editie van tevoren wil inzien, maar de kans daarop is zeer klein. ZeelandNet zegt een goede klant van Microsoft te zijn die eerlijk wil worden behandeld. "Het is voor ons belangrijk dat we daar wel informatie krijgen." Met alleen een naamsvermelding in een lijstje kunnen we niet zoveel, merkt Quik op.

Juridische stappen
ZeelandNet wil de onderste steen boven krijgen en wacht daarbij niet alleen op Microsoft. Zo wordt het eigen meetproces onder handen genomen en is er contact met juridische zaken. "Die zijn al een goede maand opgeschaald." Toch verwacht Quik niet dat het tot juridische stappen komt. "We willen de informatie boven water krijgen en op het moment zouden juridische stappen hiervoor nog geen goed middel zijn, dat mogelijk eerder averechts werkt." Wel is er continu met juridische zaken contact om het beoogde doel te bereiken. De provider heeft voor zichzelf nog geen deadline gesteld. "Die gaan we vandaag of morgen wel stellen", aldus Quik. "Er komt een moment dat het klaar is en we het op een andere manier proberen." Maandag vindt dat Microsoft de informatie wel moet geven, aangezien ze niet zonder onderbouwing een partij kunnen beschuldigen.

Microsoft laat bij monde van Ruud de Jonge weten dat het al "druk bezig" met de volgende editie is. Volgens hem is er gescand op domeinnamen per provider en sprong ZeelandNet eruit. Het is in ieder geval niet de taak van Microsoft om genoemde partijen proactief te benaderen, zo gaat de Jonge verder. Hij acht het zeer onwaarschijnlijk dat ZeelandNet de gewenste specifieke informatie zal krijgen. "Ik denk niet dat we verder zullen komen." De volgende versie van het SIR staat voor maart gepland, maar als het aan de Zeeuwse provider ligt zal het in deze editie wel ontbreken.