Nieuws
image

Nederlandse ISPs falen strijd tegen botnets

maandag 15 november 2010, 12:16 door Redactie, 12 reacties

Ondanks het het convenant tussen Nederlandse providers om botnets aan te pakken, weten ISPs slechts tien procent van de besmette machines op hun eigen netwerk te bereiken. Toch is dat veel beter dan wat buitenlandse providers laten zien, dat zei Michel van Eeten tijdens het Govcert symposium in Rotterdam. Uit onderzoek blijkt dat de helft van alle bots bij 50 internetproviders in de wereld is ondergebracht. Het gaat dan alleen om bekende, grote providers en niet om schimmige access providers die vanuit bijvoorbeeld Oost-Europa opereren. Volgens Van Eeten is dit goed nieuws, omdat het botnetprobleem dus via vijftig aanbieders is aan te pakken, die open staan voor samenwerking.

Eindgebruikers
Van Eeten merkte op dat de rol van internetproviders veel belangrijker is geworden, nu veel beveiligers de eindgebruiker hebben opgegeven. Er wordt inmiddels vanuit gegaan dat eindgebruikers besmet raken. De afgelopen jaren zijn er verschillende initiatieven geweest om besmette machines te identificeren en consumenten te waarschuwen dat ze besmet zijn. Daarbij zijn brieven de beste methode, zo blijkt uit onderzoek. Aan de andere kant zijn maatregelen en campagnes om gebruikers te onderwijzen maar deels effectief.

Er wordt altijd vanuit gegaan dat internetproviders het ideale controlepunt zijn, maar er was nooit onderzocht hoeveel bots nu werkelijk bij ISPs zijn ondergebracht. En als je je op ISPs richt, welke ISPs presteren dan het slechtst. Het onderzoek liet zien dat de grootste providers in de 40 grootste industriële landen de meeste besmette machines hebben. Dat biedt perspectief om het probleem op te lossen, althans ervan uitgaande dat providers de middelen hebben om bots en botnets aan te pakken. De markt voor providers staat onder druk, met steeds kleinere marges.

Het onderzoek gebruikte als basis drie databronnen. De eerste bron was een spamtrap met 67 miljoen IP-adressen. De tweede bron was Dshield data bestaande uit 130 miljoen adressen. Als laatste had men nog een database met 169 miljoen adressen van Conficker sinkholes. Vervolgens werd er naar de locatie en bijbehorende provider gekeken.

Uiteindelijk ging het om iets meer dan tweehonderd providers, die bij elkaar 90% van het marktaandeel in de veertig grootste industriële landen hebben. Verder werd er naar het aantal abonnees van de providers gekeken. Opmerkelijk genoeg was er weinig overlap tussen de drie databronnen. Slechts 12% van de besmette machines kwam ook in een andere databron voor. Verder bleek dat bekende internetproviders 80% van de besmette machines in de veertig onderzochte landen beheren. De overige 20% zijn hostingproviders en academische netwerken.

Compact probleem
Van Eeten en zijn team ontdekten uiteindelijk dat 50 internetproviders voor de helft van alle besmette machines verantwoordelijk zijn. Een belangrijk gegeven, omdat niemand weet hoeveel providers er op het web zijn. "We hebben het over tienduizenden organisaties", aldus Van Eeten. Door aan te tonen dat het om zo'n kleine groep gaat, is het volgens de onderzoeker een stuk eenvoudiger om het probleem aan te pakken.

Welke partijen het zijn wil Van Eeten niet zeggen. Ondanks dat het om providers gaat die iedereen kent, wordt er in de pers vaak over "rogue providers" gesproken. Daar blijken nauwelijks besmette machines te zitten. "De enige reden dat we hierover praten, is omdat daar de command & controle servers zitten", zo liet de onderzoeker weten.

Een ander punt uit het onderzoek toont aan dat er een groot verschil tussen de providers zit. 31 ISPs zitten al vier jaar in de Top 50 van meest besmette machines. Twintig providers komen zelfs in alle drie de databronnen terug.

Nederland
De onderzoeker ontdekte ook dat zelfs goede ISPs alleen een klein deel van de bots in hun netwerk weten aan te pakken. Nederlandse providers, ondanks dat er een speciaal convenant is om botnets aan te pakken, scoren slechts tien procent. Veel beter dan andere landen, maar het geeft aan dat er nog veel ruimte voor verbetering is.

In tegenstelling tot wat veel mensen denken, doen grote providers het beter in het bestrijden van botnets dan kleine providers. En dat is opmerkelijk, want er werd altijd gedacht dat grote providers te groot waren om geblokkeerd te worden en daardoor niet hun best deden om een schoon netwerk te krijgen.

kabel ISPs doen het weer iets beter dan ADSL-providers. Dat heeft volgens Van Eeten met de automatisering van het netwerk te maken, dat tussen beide partijen verschillend is. Ongeacht of het nu ADSL of kabel is, providers kunnen iets doen om botnets te bestrijden, zo concludeerde hij. In december verschijnt een rapport van de Nederlandse markt, maar ook nu zal de onderzoeker geen namen geven.

Reacties (12)
15-11-2010, 13:00 door Anoniem
Telegraafkop ftw. Nederlandse providers doen het dus relatief beter dan buitenlandse collega's alleen is er (natuurlijk) ruimte voor verbetering.
15-11-2010, 13:07 door Anoniem
Wordt er ook nog iets gezegd tijdens zo'n symposium of is het gewoon nikserig?
De onderzoeker ontdekte ook dat zelfs goede ISPs alleen een klein deel van de bots in hun netwerk weten aan te pakken. Nederlandse providers, ondanks dat er een speciaal convenant is om botnets aan te pakken, scoren slechts tien procent. Veel beter dan andere landen, maar het geeft aan dat er nog veel ruimte voor verbetering is.
Wat is 'veel'? Buiten dat, als alle bots bekend zijn en daar dus die 10% uit te berekenen zijn, dan kun je die andere 90% dus ook aanpakken. Gewoon even doorcommuniceren aan de betreffende providers, zou je zeggen.
15-11-2010, 13:19 door Bitwiper
Door Redactie: Eindgebruikers
Van Eeten merkte op dat de rol van internetproviders veel belangrijker is geworden, nu veel beveiligers de eindgebruiker hebben opgegeven. Er wordt inmiddels vanuit gegaan dat eindgebruikers besmet raken.
Goed uitgangspunt, maar volgens mij niet nieuw. Welke beveiligers hebben wat precies opgegeven? Zombie-PC's zijn al vele jaren een probleem, en, behalve dat het probleem in volume is toegenomen, zijn mij geen fundamentele wijzigingen in de aanpak opgevallen.

De afgelopen jaren zijn er verschillende initiatieven geweest om besmette machines te identificeren en consumenten te waarschuwen dat ze besmet zijn. Daarbij zijn brieven de beste methode, zo blijkt uit onderzoek.
Uit welk onderzoek? Waarom niet grotendeels afsluiten, d.w.z. met de mogelijkheid om (evt. via een proxy) updates en dergelijke te kunnen binnenhalen? Auto's die een gevaar vormen voor anderen halen we toch ook gewoon van de weg?

Ter zijde, de invoering van IPv6 heeft tot gevolg dat er geen gebrek meer bestaat aan IP adressen, en er daarom geen noodzaak meer bestaat om van dynamische IP-adressen gebruik te maken. Met het afschaffen van dynamische IP's worden misverstanden over welk wie op een gegeven moment eigenaar (en verantwoordelijk) was van een IP-adres voorkomen, en bovendien worden blacklists van spam en virussen verspreidende zombie-PC's effectiever.
15-11-2010, 13:51 door Anoniem
Door Bitwiper:
Door Redactie: Eindgebruikers
Van Eeten merkte op dat de rol van internetproviders veel belangrijker is geworden, nu veel beveiligers de eindgebruiker hebben opgegeven. Er wordt inmiddels vanuit gegaan dat eindgebruikers besmet raken.
Goed uitgangspunt, maar volgens mij niet nieuw.
Wat gebruiken deze eindgebruikers en wat hebben zij gedaan om besmet te raken?
15-11-2010, 16:57 door Bitwiper
Door Anoniem:
Door Bitwiper:
Door Redactie: Eindgebruikers
Van Eeten merkte op dat de rol van internetproviders veel belangrijker is geworden, nu veel beveiligers de eindgebruiker hebben opgegeven. Er wordt inmiddels vanuit gegaan dat eindgebruikers besmet raken.
Goed uitgangspunt, maar volgens mij niet nieuw.
Wat gebruiken deze eindgebruikers
Dat boeit niet, aanvallers passen hun rommel daarop aan (zie bijv. http://tweakers.net/nieuws/70772/virus-besmet-meer-dan-1-miljoen-klanten-china-mobile.html en de Stuxnet worm)
en wat hebben zij gedaan om besmet te raken?
Malvertised websites bezocht, ingegaan op Fake-AV meldingen, "leuke" screensavers en "noodzakelijke" CODECs gedownload, malware in gespamde e-mails geopend, zonder protectie USB sticks in verschillende computers (o.a. school) gebruikt, foto-lijstjes aangesloten op PC, virus-mails geopend, ingegaan op een van de vele social engineering attacks, beveiligingssoftware niet geupdate of uitgezet omdat iets niet werkt (niet zelden op advies van "gerenommeerde" leveranciers), software niet up-to-date gehouden, PC zonder 100% dichte firewall aan een onveilig (WiFi) netwerk gekoppeld etc etc.

PS is dit de eerste keer dat je deze site bezoekt of zo?
15-11-2010, 18:02 door Anoniem
Door Bitwiper:
PS is dit de eerste keer dat je deze site bezoekt of zo?
Ik vraag mij af wat besmette gebruikers verder met elkaar gemeen hebben.
15-11-2010, 22:17 door Bitwiper
Door Anoniem: Ik vraag mij af wat besmette gebruikers verder met elkaar gemeen hebben.
Jij hoopt nu natuurlijk op een antwoord als "ze gebruiken allemaal Windows" maar dat krijg je niet van mij omdat het geen juiste manier van categoriseren is. Ooit heb ik een beheerder erop gewezen dat z'n Linux server gecompromitteerd was waarop ik wat later een mailtje terug kreeg waarin ie schreef dat het "probleem was opgelost", verzonden door root@.

Ik heb zat gecompromitteerde non-windows machines gezien, en op maillijsten komen voldoende exploits voorbij om aanvallers lekker bezig te houden - als er een markt voor zou zijn (zie bijv. http://lists.grok.org.uk/pipermail/full-disclosure/2010-November/date.html: pam, CUPS, FreeType, Pidgin, OpenOffice, xpdf, kdegraphics, poppler en een kernel 0-day, nog even los van de stroom flash/java/Adobe Reader kwetsbaarheden die in veel gevallen ook voor andere besturingssystemen dan Windows gelden - alleen moet de exploit erop worden aangepast).

Exploits zijn echter geen groot probleem. Er is slechts een (kleine) categorie die op een 0-day stuit (botte pech) en niets te verwijten valt; wat de meeste van deze mensen gemeen hebben is dat ze niet security-aware zijn en op dingen klikken waar ze niet op zouden moeten klikken - als ze allemaal Linux hadden gebruikt was het net zo'n bende geweest.
16-11-2010, 10:05 door Anoniem
Door Bitwiper:
Door Anoniem: Ik vraag mij af wat besmette gebruikers verder met elkaar gemeen hebben.
Jij hoopt nu natuurlijk op een antwoord als "ze gebruiken allemaal Windows" maar dat krijg je niet van mij omdat het geen juiste manier van categoriseren is.
Nee, dit antwoord verbaast mij.

Exploits zijn echter geen groot probleem. Er is slechts een (kleine) categorie die op een 0-day stuit (botte pech) en niets te verwijten valt; wat de meeste van deze mensen gemeen hebben is dat ze niet security-aware zijn en op dingen klikken waar ze niet op zouden moeten klikken.
Hoe bereiken mensen meestal de dingen waar zij op klikken waar ze niet op zouden moeten klikken?
16-11-2010, 12:17 door Anoniem
Hoe bereiken mensen meestal de dingen waar zij op klikken waar ze niet op zouden moeten klikken?

1) De door spammers gebruikte adressen zijn bekend
2) De door botnets gebruikte adressen zijn bekend

Wat bekend is kan door ISP's worden gefilterd of waarom niet het nationale 'kinderpornofilter' gebruiken om gebruikers te beschermen tegen malware?
16-11-2010, 12:31 door Bitwiper
Door Anoniem:
Door Bitwiper: Exploits zijn echter geen groot probleem. Er is slechts een (kleine) categorie die op een 0-day stuit (botte pech) en niets te verwijten valt; wat de meeste van deze mensen gemeen hebben is dat ze niet security-aware zijn en op dingen klikken waar ze niet op zouden moeten klikken.
Hoe bereiken mensen meestal de dingen waar zij op klikken waar ze niet op zouden moeten klikken?
Dat antwoordde ik gisteren al op jouw vraag "en wat hebben zij gedaan om besmet te raken?"

Wat probeer je te bereiken met jouw vage vragen?
16-11-2010, 13:06 door Anoniem
Door Bitwiper:
Wat probeer je te bereiken met jouw vage vragen?
Ik zoek gemene delers. De oplossing zou relatief eenvoudig kunnen zijn.
17-11-2010, 08:16 door Bitwiper
Het lijkt er sterk op dat Michel Eeten zijn toespraak tijdens het Govcert symposium grotendeels baseerde op een recente publicatie onder meer van zijn hand, zie http://www.security.nl/artikel/35137/1/ISP%27s_en_aanpak_botnet_zombies.html.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search