Nieuws
image

Providers krijgen richtlijn voor bestrijding botnets

vrijdag 7 augustus 2009, 13:24 door Redactie, 4 reacties

Een Amerikaanse werkgroep heeft richtlijnen gepubliceerd om internetproviders te helpen met het opruimen van geïnfecteerde computers in hun netwerk. De Messaging Anti-Abuse Working Group (MAAWG) is gericht op de bestrijding van spam en hanteert hierbij naar eigen zeggen een holistische aanpak, aangezien spam niet alleen een e-mailprobleem is. In de richtlijnen van de MAAWG wordt een driestappenplan besproken voor het detecteren van bots, waarschuwen van abonnees en hen helpen met het verwijderen van de malware.

"Bots zijn een wereldwijd probleem en deze richtlijnen zijn een belangrijke stap in het onderwijzen van de industrie over de juiste processen om abonnees te helpen. Wij delen de ervaringen van onze leden zodat ook andere providers agressiever dit probleem kunnen aanpakken", zegt MAAWG voorzitter Michael O'Reirdan. "Als industrie worden we steeds pro-actiever in het waarschuwen van klanten als bots op hun computer zijn gevonden en het helpen bij het verwijderen van de malware voordat het hen schade berokkent."

Afsluiten
Providers zouden verschillende tools kunnen gebruiken om te bepalen of de computer van een abonnee geïnfecteerd is, zonder hierbij zijn of haar privacy te schenden. Het gaat dan om zaken als DNS, verzamelen van IP-verkeer van bekende Command & Control (C&C) servers en het scannen van IP's om kwetsbare computers te identificeren. Besmette gebruikers kunnen vervolgens op allerlei manieren ingelicht worden, zoals e-mail, telefoon en zelfs per papieren brief. Een effectieve methode om klanten zover te krijgen dat ze hun PC ook controleren, is de 'walled garden' aanpak.

Een abonnee kan dan alleen nog bepaalde websites bereiken en is in feite van het web afgesloten, waardoor het geen nieuwe instructies van het botnet kan ontvangen. "Dit is een effectieve techniek, omdat het alle communicatie tussen de bot en C&C kanaal kan blokkeren. De gebruiker zal zeker de waarschuwing lezen en actie ondernemen om het probleem op te lossen." Technisch is deze aanpak lastig te implementeren. Wat het schoonmaken betreft, moeten providers een 'security portal' hebben waarin klanten wordt uitgelegd hoe ze hun computer kunnen ontsmetten.

Reacties (4)
07-08-2009, 15:54 door spatieman
u hebt veel upstream op een onbekende poort, doeg!

tja, dan zou dus ook geen webcam met stream meer mogen draaien :)
07-08-2009, 16:28 door KoekeBakker
Webcam? Wat denk je van mijn download/upload server :(

Nee, maar er staat wel handige informatie in de paper. Tevens ook links!
08-08-2009, 10:44 door WhizzMan
Er zijn in Nederland providers die je keihard in een walled garden zetten waar nog geen kweekgras in wil groeien. Als je vervolgens belt om te vragen waarom ze dat gedaan hebben en wat ze geconstateerd hebben (alleen tijdens kantoortijd, terwijl het afsluiten wel 24/7 doorgaat) krijg je te horen dat ze je dat niet mogen vertellen om privacy-redenen. Hoezo privacy-redenen, vraag je je dan af? Het blijkt dat het zou kunnen zijn dat er een andere persoon of instantie geklaagd heeft en dat daarom de afsluiting gedaan zou kunnen zijn. Om te voorkomen dat die persoon of instantie bekend zou kunnen worden, krijg je gewoon niet te horen wat de reden van afsluiting is geweest. Dat je zulke informatie geanonimiseerd zou kunnen doorgeven, is niet iets waar de provider in kwestie op in wenst te gaan. Dat 99,9% van de afsluitingen aldaar gepleegd worden omdat er een detectiesysteem getriggered wordt en er bijna geen enkele klacht van externe partijen tot afsluiten leid, wordt al helemaal niet meegenomen in het verhaal. Als je dus voor een klant met problemen moet gaan uitzoeken wat er gaande is, kan je eerst 2 uur in de wacht hangen en vervolgens alle 20 computers die via NAT aan de DSL hangen ondersteboven keren tot je uiteindelijk een gehackte account vindt waar een hackertje mee geprobeert heeft om een rootkit te installeren.

Hulp/bewaking is een goed ding, maar mensen of bedrijven van het internet plonken omdat ze iets doen wat je niet thuis kan brengen of wat je niet bevalt, gaat mij echt te ver. Zeker als je dan ook nog eens niet wilt verklappen waarom je het hebt gedaan, diskwalificeer je je bij mij als serieus bedrijf.
09-08-2009, 01:16 door Anoniem
Door WhizzMan: R A N T
Daar zal toch wel een e-mail, of twee aan vooraf gegaan zijn ?!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search