image

"Nederlandse provider broeinest van cybercrime"

vrijdag 14 januari 2011, 10:31 door Redactie, 10 reacties

Ecatel is volgens HostExploit weer één van de belangrijkste providers van cybercriminelen, maar de Nederlandse hostingprovider ontkent dit en overweegt zelfs juridische stappen, zo laat het Security.nl weten. Elk kwartaal brengt HostExploit de gevaarlijkste hostingproviders van het internet in kaart. In het derde kwartaal stond Ecatel bovenaan, gevolgd door een tweede plek in het vierde kwartaal. De provider zou volgens HostExploit een broeinest van spam en geïnfecteerde websites zijn.

Reinier van Eeden van Ecatel begrijpt niet waarom het bedrijf steeds in de Top50 van HostExploit verschijnt. "Wij hebben een actieve abusedesk, ons personeel reageert binnen twaalf uur op een 24/7 basis." Na een melding zou Ecatel direct actie ondernemen, zowel naar de vermeende dader als de vermeende gedupeerde. Daarnaast zou het ook zelf het netwerk op malware en spam controleren. "Vinden wij malware dan blokkeren wij het IP zonder verder overleg. Onze abusedesk werkt snel en effectief, alles wordt vrijwel meteen afgehandeld. Dit levert vaak genoeg irritaties op bij sommige van onze klanten omdat zij vinden dat zij zelf de kans zouden moeten hebben een en ander op te lossen."

Van Eeden merkt verder op dat Ecatel een "voortreffelijke verstandhouding met leden van de KLPD" heeft. De provider heeft sinds de vorige editie van de Top50 regelmatig contact gehad met HostExploit hoe het de situatie op het netwerk kan verbeteren. "In onze e-mail hebben we telkens weer gevraagd hoe het mogelijk is dat we in de Top50 van hun lijst blijven verschijnen. Wij hebben wel -tig keren aangegeven dat we alles doen om malware buiten ons netwerk te houden en niet begrijpen hoe het mogelijk is dat HostExploit blijft beweren dat het niet zo zou zijn."

Juridische stappen
Ecatel zou verschillende trackers en blacklists monitoren en gebruiken om "badness" op het netwerk te bestrijden. Geen van die sites zou laten zien dat er malware op het netwerk is. Toch staat dit wel in de rapporten van HostExploit, merkt Van Eeden op. "Op onze vraag hoe dat mogelijk is laat men het afweten, er volgt geen antwoord."

Ook Googles site analysis laat volgens Van Eeden weinig malware in het Ecatel-netwerk zien. "In tegenstelling tot andere bij ons zeer bekende partijen die niet eens in de Top50 van HostExploit voorkomen." De provider zou HostExploit om een lijst met URLs/IP-adressen hebben gevraagd, "zodat we deze gelijk kunnen blokkeren. Wel hebben wij vage antwoorden van ze ontvangen maar tot op heden nog geen gegevens waar we om verzocht hebben. Wij overwegen juridische stappen tegen Jart Armin / Hostexploit."

Cybercrime-vriendelijk
Jart Armin, de man achter HostExploit, is het niet met de kritiek eens. De internationale gemeenschap zou Ecatel al zeer lang als een "bullet proof host" beschouwen. "Wij noemen ze cybercrime-vriendelijk." De Italiaanse onderzoeker Giuseppe Bonfa stelt in dit artikel zelfs dat Ecatel door het Russian Business Network (RBN) cybercrime-syndicaat wordt bestuurd. Armin merkt op dat Ecatel een 'lange geschiedenis' van cybercrime activiteiten heeft. "Zeker toen we het RBN traceerden, was Ecatel direct of via gehackte servers geassocieerd."

Toen in 2008 Atrivo en McColo uit de lucht werden gehaald, zouden veel van hun klanten naar Ecatel zijn verhuis, aldus Armin. "Het was en is nog steeds de favoriete bestemming voor verschillende cybercrime activiteiten."

HostExploit gebruikt een index om de "badness" op netwerken te meten, waarbij ook de omvang van het netwerk een rol speelt. Daardoor zou men de kleinere "crime servers" beter in kaart kunnen brengen. Ecatel is volgens Armin met 13.000 IP-adressen vrij klein, "maar de kwaadaardige activiteiten die het host zijn met name ernstig." Het zou dan gaan om zowel dedicated spam servers als het hosten van Zeus botnets.

Contact
Ook Armin geeft toe dat er contact met Ecatel is geweest over het verbeteren van hun rating. "We hadden lange e-mail uitwisselingen en helaas denkt Ecatel dat ze op dit moment genoeg doen om hun servers schoon te houden. Ze denken dat het voldoende is om op publieke blacklistings van domeinen en servers in hun domein te reageren." De beveiliger merkt op dat dit een nodige stap is, maar niet voldoende.

Hostingproviders hebben volgens Armin een verplichting om nieuwe technieken te gebruiken om hun netwerk op ellende te controleren, in plaats van te wachten tot derden dit rapporteren. "Zakelijke netwerken gebruiken graag dit soort technieken om de impact op hun zaken te voorkomen. Sommige hostingproviders zoals Ecatel lijken hier niet over na te denken." Armin stelt verder dat als je als hostingprovider niet in staat bent cybercrime te stoppen, je schuldig bent.

De Nederlandse autoriteiten zijn volgens HostExploit bekend met de geschiedenis en activiteiten van Ecatel. "Het is misschien tijd dat ze verder onderzoek instellen." Verder vindt Armin het verdacht dat nergens op de website van Ecatel de locatie van de kantoren staat of wie de eigenaar is. Daarnaast krijgt Ecatel.net een slechte score van Web of Trust. Toch had HostExploit ook goed nieuws voor Nederland, want Datacenter Fryslân behoort tot de 10 schoonste hostingproviders online.

Reacties (10)
14-01-2011, 10:59 door Mysterio
Je kunt je afvragen tot in hoeverre Ecatel slachtoffer is van hun eigen reputatie. Als je eenmaal de reputatie hebt om cybercrime-vriendelijk te zijn zal je meer de aandacht trekken van de cybercriminelen die een servertje zoeken. Andere provider hoeven niet perse veiliger of beter te zijn, maar wellicht minder onder de aandacht.
14-01-2011, 11:02 door [Account Verwijderd]
[Verwijderd]
14-01-2011, 11:57 door spatieman
Toch had HostExploit ook goed nieuws voor Nederland, want Datacenter Fryslân behoort tot de 10 schoonste hostingproviders online.
-
hebben ze dan een schoonmaak contract met WC-eend ?
14-01-2011, 13:16 door Anoniem
Aandoenlijk bericht, de cijfertjes zijn afkomstig uit de in beta-stadium verkerende documentjes:

Ecatel
http://sitevet.com/pdf/asn/AS29073

De ASN van hostexploit.com (staat geranked op nummer 11 in de wereld, zo moet dat gezien worden, toch?)
http://sitevet.com/pdf/asn/AS21844

Kan iemand die getalletjes reproduceren?
14-01-2011, 17:46 door Syzygy
Van Eeden merkt verder op dat Ecatel een "voortreffelijke verstandhouding met leden van de KLPD" heeft.

Ik probeer me (als ervaringsdeskundige) een beeld te vormen van iemand die "voortreffelijke verstandhouding met leden van de KLPD" heeft.
Sorry hier schiet mijn fantasie te kort.
15-01-2011, 10:13 door Anoniem
Hoewel Host Exploit een aardig overzicht geeft, is hun methode niet geheel correct omdat ze veel oud dated info gebruiken om hun index te bepalen.

Een andere nederlandse hoster die ook in de top 50 staat heeft recentelijk contact met hun opgenomen om te informeren naar hun ranking en kreeg daarbij een abonnement aangeboden om de ranking te cleanen. Alle genoemde urls /spam sources of c&c's die in de db van Sitevet gelist had waren al lang opgeruimd, maar werden nog wel meegenomen in de ranking.

Dit geeft mij het idee dat Host Exploit met Sitevet een commerciele dienst aan het maken is die dmv badness publicaties de hosters wil forceren om een opschoon service bij ze af te nemen om badpress te voorkomen.

De kosten liepen ergens in de $2000 setup en $1000 maandelijks.
17-01-2011, 13:22 door Anoniem
Door Anoniem: Hoewel Host Exploit een aardig overzicht geeft, is hun methode niet geheel correct omdat ze veel oud dated info gebruiken om hun index te bepalen.
De vraag is zelfs of de methode redelijk zou zijn wanneer je actuele informatie zou gebruiken. Het doet vrij rancuneus aan.
Een andere nederlandse hoster die ook in de top 50 staat heeft recentelijk contact met hun opgenomen om te informeren naar hun ranking en kreeg daarbij een abonnement aangeboden om de ranking te cleanen.
Is dit ergens na te lezen? Ik heb een beetje moeite met informatie die niet is na te gaan.
Alle genoemde urls /spam sources of c&c's die in de db van Sitevet gelist had waren al lang opgeruimd, maar werden nog wel meegenomen in de ranking.
Het hoe wat waar en wanneer is ook ergens publiek terug te vinden?
De tijd die men nodig heeft om actie te ondernemen naar aanleiding van een abuse-bericht zou aardig maatgevend zijn.
De kosten liepen ergens in de $2000 setup en $1000 maandelijks.
Die genoemde bedragen zijn ook ergens publiek terug te vinden?
17-01-2011, 13:54 door Anoniem
Door Anoniem:
Door Anoniem: Hoewel Host Exploit een aardig overzicht geeft, is hun methode niet geheel correct omdat ze veel oud dated info gebruiken om hun index te bepalen.
De vraag is zelfs of de methode redelijk zou zijn wanneer je actuele informatie zou gebruiken. Het doet vrij rancuneus aan.
Een andere nederlandse hoster die ook in de top 50 staat heeft recentelijk contact met hun opgenomen om te informeren naar hun ranking en kreeg daarbij een abonnement aangeboden om de ranking te cleanen.
Is dit ergens na te lezen? Ik heb een beetje moeite met informatie die niet is na te gaan.
Alle genoemde urls /spam sources of c&c's die in de db van Sitevet gelist had waren al lang opgeruimd, maar werden nog wel meegenomen in de ranking.
Het hoe wat waar en wanneer is ook ergens publiek terug te vinden?
De tijd die men nodig heeft om actie te ondernemen naar aanleiding van een abuse-bericht zou aardig maatgevend zijn.
De kosten liepen ergens in de $2000 setup en $1000 maandelijks.
Die genoemde bedragen zijn ook ergens publiek terug te vinden?

Je hebt moeite met informatie die niet na te gaan is geef je zelf aan in je post.
Waar is na te gaan of de gegevens van HostXploit wel kloppen dan? De provider die in dit artikel genoemd word heeft volgens mij geen malware (meer) online staan. Volgens hostxploit wel, waar zijn de feiten dan ipv alleen maar dat rapportje. De provider geeft aan dat ze meerdere malen de gegevens hebben opgevraagd bij hostxploit en dat ze die niet van hun krijgen...
Waarom zou hostxploit die gegevens nou niet geven? 1+1 = 2
17-01-2011, 16:27 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Hoewel Host Exploit een aardig overzicht geeft, is hun methode niet geheel correct omdat ze veel oud dated info gebruiken om hun index te bepalen.
De vraag is zelfs of de methode redelijk zou zijn wanneer je actuele informatie zou gebruiken. Het doet vrij rancuneus aan.
Een andere nederlandse hoster die ook in de top 50 staat heeft recentelijk contact met hun opgenomen om te informeren naar hun ranking en kreeg daarbij een abonnement aangeboden om de ranking te cleanen.
Is dit ergens na te lezen? Ik heb een beetje moeite met informatie die niet is na te gaan.
Alle genoemde urls /spam sources of c&c's die in de db van Sitevet gelist had waren al lang opgeruimd, maar werden nog wel meegenomen in de ranking.
Het hoe wat waar en wanneer is ook ergens publiek terug te vinden?
De tijd die men nodig heeft om actie te ondernemen naar aanleiding van een abuse-bericht zou aardig maatgevend zijn.
De kosten liepen ergens in de $2000 setup en $1000 maandelijks.
Die genoemde bedragen zijn ook ergens publiek terug te vinden?

Je hebt moeite met informatie die niet na te gaan is geef je zelf aan in je post.
Waar is na te gaan of de gegevens van HostXploit wel kloppen dan? De provider die in dit artikel genoemd word heeft volgens mij geen malware (meer) online staan. Volgens hostxploit wel, waar zijn de feiten dan ipv alleen maar dat rapportje. De provider geeft aan dat ze meerdere malen de gegevens hebben opgevraagd bij hostxploit en dat ze die niet van hun krijgen...
Waarom zou hostxploit die gegevens nou niet geven? 1+1 = 2
Zoals je kunt lezen neem ik hun rapportjes en methode op de korrel maar wil dat niet zeggen dat je dan beweringen gedaan jegens hostexploit dan maar wel gewoon blind aan zou moeten nemen. Als je een beetje probeert objectief te zijn dan werkt dat wel twee kanten op.
17-01-2011, 16:31 door Anoniem
Laat ik het anders zeggen: Maak zelf niet de fout(en) die je een ander verwijt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.