image

"Politie moet besmette pc op afstand schoonmaken"

vrijdag 25 november 2011, 10:56 door Redactie, 21 reacties

Er moet wetgeving komen die overheids- en opsporingsdiensten in staat stelt om malware op besmette computers op afstand te verwijderen, dat zegt Joe Stewart van Dell SecureWorks in een interview met Security.nl. De afgelopen maanden hebben Microsoft en de FBI verschillende botnets opgerold, maar halen deze acties wel iets uit? "Het begint een impact te hebben", merkt Stewart op. De doelwitten van Microsoft en de FBI worden nauwkeurig gekozen. Het kan dan gaan om het grootste spambotnet of botnets zoals Ghost Click, die clickfraude plegen. Bij de uitschakeling van het Rustock botnet had dit zeker wel een blijvend effect op de hoeveelheid spam, laat Stewart weten.

Gezien de huidige technologie en wetgeving moeten opsporingsdiensten zich op deze manier met het bestrijden van criminaliteit bezighouden. "Dit is één van de manieren waarop ze een verschil kunnen maken." Volgens Stewart zijn er betere wetten nodig om de strijd met cybercriminelen aan te gaan. "De wetten moeten niet alleen het soort criminele activiteit omschrijven, maar ook de acties die opsporingsdiensten mogen toepassen, zoals het monitoren en uitschakelen van botnets."

Kill-commando
Daarbij zouden de diensten ook in staat moeten zijn om een stop of schoonmaak opdracht naar een overgenomen botnet te sturen. Sommige malware kan op deze manier van besmette machines worden verwijderd. "Dat is iets wat ze nu alleen op basis van toemstemming mogen doen. Maar als er een wet is die stelt dat voor het algemeen belang en om een publiek irritatie te verwijderen ze het recht hebben om zo'n opdracht uit te voeren en botnets zo schoon te maken." Het kan dan gaan om een functie binnen de malware zelf, of het versturen van een uitvoerbaar bestand om zo de malware te verwijderen

Stewart erkent dat het ook risicovol kan zijn om malware via ongevraagde acties aan de kant van de eigenaar van het systeem te verwijderen. "Daarom heeft ook nog niemand het gedaan." Als voorbeeld voor de bestrijding van cybercrime moet volgens Stewart gekeken worden naar de manier waarop gemeentes met overlast op privégrond omgaan. De gemeente kan besluiten om bij iemand op zijn terrein in te grijpen als de overlast te groot wordt. "Als er in de wet staat dat je een goede burger moet zijn en dat je niet aan dit soort kwalijke activiteiten kan bijdragen. Op zo'n manier moeten we er als maatschappij naar kijken."

Stewart stelt dat de maatschappij moet bepalen of we bots hun gang op het internet laten gaan of dat we actie ondernemen. "Mensen hebben een verantwoordelijkheid om hun systemen te onderhouden en anders wordt er actie voor ze ondernomen."

Straffen
Onlangs riep het hoofd van de Britse cyberpolitie nog dat cybercriminelen zwaarder moeten worden gestraft, maar volgens Stewart gaat het vooral om de pakkans. "De staat waarin de samenwerking tussen internationale opsporingsdiensten verkeert, schept 'safe havens' in sommige landen."

Het gaat dan om landen waar nauwelijks actie tegen cybercriminelen ondernomen wordt. Pas als alle landen wetgeving hebben en die naleven, zal er iets veranderen, hoewel Stewart dat onwaarschijnlijk acht. "Dat is een oplossing voor de lange termijn, terwijl Microsoft en de FBI naar oplossingen voor de korte termijn kijken en hoe ze nu een impact kunnen hebben."

Internetrijbewijs
Eugene Kaspersky pleit al geruime tijd voor een internetrijbewijs en het afschaffen van online anonimiteit, maar dat vindt Stewart geen oplossing. Cybercriminelen zouden zich dan meer op "reputatie kaping" storten, waarbij aanvallers niet meer hun eigen domeinnamen registreren of hosting regelen, maar die van anderen proberen te kapen.

"Vanuit een technisch standpunt is het lastig om een individuele gebruiker aan een IP-adres te koppelen. Het wordt dan ook eenvoudig voor aanvallers om iemands online identiteit en rijbewijs over te nemen. Dan wordt een onschuldig iemand voor hun praktijken aansprakelijk gehouden."

Reacties (21)
25-11-2011, 11:20 door Anoniem
Het remote killen van bots zal zeker helpen, hier is geen toegang tot de pc voor nodig..

Het afsluiten van de servers waar de bots heen verbinden zal minder effectief zijn..

Vreemd dat er toestemming voor nodig is.. de pc's verrichten namelijk ongewild illegale activiteiten en het lijkt me dat dit gestopt mag worden door politie/overheden


zelf zou ik een .update commando geven :-) maar dat ter zijde
25-11-2011, 11:29 door Anoniem
Waarom vindt nou iedereen maar dat ze mogen bepalen wat er op MIJN computer draait? Is het niet M$ die me ongevraagd een update door m'n strot probeert te wringen, dan is het wel Chrome die vindt dat te moeten doen. En nou weer iemand die vindt dat de Roverheid er aan te pas moet komen.
Als al die mensen nou te vertrouwen waren, dan was het nog tot daar aan toe. Maar ik vertrouw ze geen van allen, de Roverheid nog het minst. Ofwel: IK bepaal wat er met MIJN computer gebeurt. Punt. Einde discussie.
25-11-2011, 12:06 door Anoniem
Maar wat nu als er (bij vermoeden van) onterecht iets op je pc gedaan gaat worden? Wat als daarbij schade veroorzaakt wordt? Betreffende pc's / servers gewoon afsluiten, dan moet de eigenaar wel iets doen.
"False Positive" is gemaakt hoor.
25-11-2011, 12:20 door sloepie
Zijn ze nou helemaal van de pot gerukt! Wat is de volgende stap, een virtuele huiszoeking op mijn computer om te zien of ik geen "illegale" of "staatsgevaarlijke" activiteiten uitvoer? En wat als de malware in de gaten heeft dat het uitgeschakeld gaat worden en daarom maar de hele harde schijf wist? Je kan er op wachten dat dat gaat gebeuren.

Wat mij betreft moet zoiets, net als bij een echte huiszoeking, alleen met een expliciete toestemming mogelijk zodat men eventueel de keuze heeft de malware zelf te (laten) verwijderen. Desnoods zou iemand dan van internet afsloten kunnen worden als hij geen toestemming verleent of de boel zelf opruimt en de malware echt een gevaar voor de internet community oplevert. Maar dat dan ook alleen nog na toetsing door de rechter.
25-11-2011, 12:25 door Anoniem
Niemand heeft iets te zoeken op mijn hardware.
25-11-2011, 12:39 door N4ppy
Door Anoniem: Ofwel: IK bepaal wat er met MIJN computer gebeurt. Punt. Einde discussie.
Dat is nou juist het probleem, JIJ bepaalt het niet meer dat doet het botnet.
Maar dat dan ook alleen nog na toetsing door de rechter.
Dag meneer de rechter mag ik even 1500000 bevelen svp.

Probleem is dat het niet een of twee achtertuintjes zijn die schoongemaakt moeten worden.
25-11-2011, 12:41 door DarkViewOfTheWorld
Principieel goed idee op botnets aan te pakken, maar helaas .. zo ver van de realiteit ...
Als je zo iets wilt uitvoeren, dan moet je helaas via de eigenaar van de pc, andere oplossingen zijn veel te riskant.
Waarom niet gewoon een legertje nerds die rondrijden en mensen persoonlijk aanspreken en oplossingen aanbieden. Je maakt er jobs mee, iedereen kan nog gewoon weigeren (straf op onwillendheid -> afsluiten van inet, of re route onwillende klanten hun traffic via wat scanning machines, en indien er nog botnet traffic word gevonden, afsluiten oid ... veel opties hier) en beslissen van zelf op te lossen of zelf pc shop te gaan, maar dan zijn ze persoonlijk verwittigd dat er dingen mis zijn op hun pc ....

Overigens ... microsoft als designer, ontwikkelaar van het systeem kan het al niet veilig krijgen, en zelfs bij patches loopt het vaak genoeg nogmaals mis .... verwacht je nu echt dat de politie de resources heeft om software te schrijven die veilig zo'n acties doet ?

En als laatste .... stop met het maken van wetten om de symptomen aan te pakken .... pak de oorzaak aan .. en dat is brakke software ....
25-11-2011, 12:58 door Anoniem
De overheid en opsporingsdiensten trekken zich ten eerste al niets van wetgeving aan als ze mogelijkheden zien op systemen van derden te rommelen. (zie bijvoorbeeld officier van justitie Lodewijk van Zwieten die het 'hacken' van botnetslachtoffers door de Nederlandse politie omschrijft al wel degelijk toegestaan zonder daar enig bewijs voor te leveren) Ten tweede maken de medewerkers van deze diensten geen effectief gebruik van bestaande middelen om overlast en criminaliteit tegen te gaan.

Het binnendringen van eigendommen van derden een van de meest vergaande handelingen die je tegen iemand kan uitrichten. Laat staan het gebruikmaken van die eigendommen, er in rotzooien en doen wat je zelf wilt. Als dat je als (opsporings- of politie)ambtenaar koud laat uit naam van veiligheid heb je geen respect voor andermans rechten. Zeker niet als je het vooraf niet eens goed wil onderbouwen en de bevoegdheid tot het uiterste getoetst te hebben.

Er zijn middelen als een systeem in een quarantaine plaatsen en pas weer toestaan tot dienstverlening wanneer de eigenaar van het systeem kan aantonen zijn zaakjes in orde te hebben. De ambtenaren gaan uit veiligheid ook niet je auto repareren als ze merken dat je door een defecte boordcomputer een gevaar op de weg bent. In het uiterste geval halen ze je auto van de weg of nemen ze je bevoegdheid tot rijden in.
25-11-2011, 13:19 door 0101
Door DarkViewOfTheWorld: de oorzaak (..) dat is brakke software
En wat dacht je van gebruikers die nog niet eens weten wat een update is? Het zou misschien meer opleveren om bij elke computer verplicht een "How to keep my computer secure" lijstje te leveren, een aantal simpele best practices kunnen al een hoop ellende voorkomen.
25-11-2011, 14:30 door DarkViewOfTheWorld
Door 0101:
Door DarkViewOfTheWorld: de oorzaak (..) dat is brakke software
En wat dacht je van gebruikers die nog niet eens weten wat een update is? Het zou misschien meer opleveren om bij elke computer verplicht een "How to keep my computer secure" lijstje te leveren, een aantal simpele best practices kunnen al een hoop ellende voorkomen.

Het is nu eenmaal een feit dat zelfs een up to date systeem kwetsbaar is ... wanneer dat het geval is, dan kun je gaan kijken naar iedereen op dat punt krijgen .... proberen iedereen naar een zelfde mate van kwetsbaarheid te brengen zie ik niet zoveel in ... je dweilt toch ook niet met de kraan open ? je sluit eerst die kraan af ... en dan ruim je de rommel op !
25-11-2011, 14:56 door jdevreij
"3.2 miljoen computers met CONFICKER besmet
Ondanks de updates en alle aandacht is de malware volgens de Conficker Working Group op 3,2 miljoen Windows computers aanwezig. Daarmee is het nog altijd het grootste botnet ter wereld, aldus Chester Wisniewski van anti-virusbedrijf Sophos. "

Op bovenstaand Nieuws, op deze site- 0 reacties.
25-11-2011, 17:05 door rodin
Als ik het artikel goed lees wil de politie niet een volmacht om te bepalen wat er op jouwn computer draait. Wat er gebeurt is dat ze een botnet hebben gekraakt en het botnet zelf blijkt een commando te hebben om zichzelf op te schonen. Lijkt een mooi commando om uit te voeren nietwaar? Ze willen graag toestemming dit commando ook uit te mogen voeren.
25-11-2011, 18:08 door spatieman
ja, de pet maakt je mallware vrij, maar zet er wel overheids mallware ervoor terug.
25-11-2011, 18:45 door sloepie
Door rodin: Als ik het artikel goed lees wil de politie niet een volmacht om te bepalen wat er op jouwn computer draait. Wat er gebeurt is dat ze een botnet hebben gekraakt en het botnet zelf blijkt een commando te hebben om zichzelf op te schonen. Lijkt een mooi commando om uit te voeren nietwaar? Ze willen graag toestemming dit commando ook uit te mogen voeren.

Toch nog eens beter leren lezen. In het artikel staat namelijk:

Het kan dan gaan om een functie binnen de malware zelf, of het versturen van een uitvoerbaar bestand om zo de malware te verwijderen

Het venijn zit hem juist in dat stukje vanaf of
25-11-2011, 19:55 door Anoniem
Door rodin: Als ik het artikel goed lees wil de politie niet een volmacht om te bepalen wat er op jouwn computer draait. Wat er gebeurt is dat ze een botnet hebben gekraakt en het botnet zelf blijkt een commando te hebben om zichzelf op te schonen. Lijkt een mooi commando om uit te voeren nietwaar? Ze willen graag toestemming dit commando ook uit te mogen voeren.
Het gaat er niet om wat ze zeggen te willen, maar hoe ze handelen en in hoeverre dat staat ten opzichte van je rechten als eigenaar van een systeem waar het invloed op heeft. En tot op heden is er nog niet bewezen dat de heren en dames (opsporings)beambten meer rechten, ook niet zoiets ver gaande als het uitvoeren van een commando, moeten hebben dan tot op heden zou mogen.

Erger nog, overheid/opsporingsdiensten negeren de wetgeving op dit moment al om te kunnen doen wat ze goed dunkt. En dat tevens zonder volledig te weten wat de gevolgen van hun acties op andermans systemen zijn. Je kan wel zeggen dat een commando dat door een ander is ontworpen goed is om uit te voeren op andermans systeem, maar er is niet voor niets wetgeving die duidelijk maakt wie verantwoordelijkheid heeft over wat en waar je bescherming van de wet hebt tegen onverlaten die systemen zonder medeweten of zonder toestemming wensen te gebruiken.

Zelfs als vinden de ambtenaren het beinvloeden/aanpassen/gebruiken van eigendommen van derden nog zo nobel om hun doel na te streven om te pogen alles veilig te maken, je blijft met je jatten van andermans systemen af. Ongeacht of je denkt te weten wat je als ambtenaar doet en op wie dat misschien invloed heeft.

Termen als botnet en (criminele)organisatie worden verder maar al te makkelijk misbruikt om bevoegdheden te krijgen tegen een zogenaamde groep waarvan men de individuen niet eens kan onderscheiden van onschuldige omstanders. Zo ook bij een botnet: je kan het uitvoeren van een commando dat invloed heeft op systemen van derden een goed middel noemen, zolang je het maar voor lief neemt dat je door je actie je boekje te buiten gaat of andermans rechten negeert ben je als overheid/opspoorder verre van goed bezig. Bedenk bijvoorbeeld dat je ook systemen treft die buiten je operationele domein liggen (systeem in het buitenland) en dat je onschuldige systemen en processen in je actie mee kan trekken.

Maar er zal vast wel iemand op staan die het allemaal met een lach goed weet te praten.
26-11-2011, 00:04 door [Account Verwijderd]
[Verwijderd]
26-11-2011, 01:13 door [Account Verwijderd]
[Verwijderd]
27-11-2011, 08:12 door Anoniem
Besmette PC's filteren bij de providers. Redirect naar sandbox met cleaning tools. Na een grondige schoonmaak, eventueel m.b.v. de helpdesk, weer online, en dat is dat.
27-11-2011, 12:05 door Anoniem
"Waarom vindt nou iedereen maar dat ze mogen bepalen wat er op MIJN computer draait? "

Volgens mij willen de criminelen bepalen wat er op jouw computer draait (tenzij je natuurlijk opzettelijk je computer tot zombie maakt). De politie wil enkel helpen om zaken die anderen op jouw computer plaatsen t.b.v. criminele activiteiten te verhinderen. Maak je je meer druk om de politie, dan om de crimineel die zorgt voor de malware op jouw pc ?

Sta je ook stil bij het feit dat met behulp van die malware -echte- slachtoffers gemaakt kunnen worden, i.e. mensen wiens bankrekening wordt leeggeplunderd ?
29-11-2011, 11:02 door Anoniem
Ik ben het met veel van boven (of onderstaand) eens.. Ik moet ook geen troep, mallware, meekijkers, meelifters..

Blijf van m'n doos af!!!
29-11-2011, 11:15 door Anoniem
Wordt er gebruik gemaakt van een gat in de software die de poliessy erop gekwakt heeft.. haha.. Zij weten niet eens wat ze rondstrooien.. Maar het kan mooi gebruikt worden.. En.. de polissy is de schuldige.. :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.