Nieuws
image

Expert: ISP moet besmette computers deels afsluiten

dinsdag 3 juni 2014, 10:49 door Redactie, 17 reacties

Internetproviders moeten de computers van klanten die met malware besmet zijn in quarantaine plaatsen en deels van het internet afsluiten totdat het probleem is opgelost. Daarvoor pleit malware-expert Rik Ferguson van het Japanse anti-virusbedrijf Trend Micro.

Verhalen in de media over grootschalige uitbraken of acties tegen botnets worden volgens Ferguson snel door het publiek vergeten. In plaats van maatregelen te nemen blijven besmette computers daardoor besmet. Daarnaast kunnen alle nieuwsberichten over data-inbraken en lekken ook voor "waarschuwingsmoeheid" zorgen.

"Inbraak na inbraak en dataverlies na dataverlies zorgen ervoor dat het nieuws en de mensen het niets meer kan schelen, als het ze al in de eerste plaats was opgevallen", merkt Ferguson op. De expert vindt dat providers alle informatie van beveiligingsbedrijven en onderzoekers zouden moeten gebruiken om besmette systemen op hun eigen netwerk te identificeren.

"Die systemen moeten in quarantaine worden geplaatst, de eigenaar moet worden ingelicht en gewezen op middelen waarmee hij het probleem kan oplossen", stelt Ferguson. Totdat het probleem ook daadwerkelijk is opgelost moet de internettoegang van de gebruiker worden beperkt. "Als het je niets kan schelen zal ervoor worden gezorgd dat het je toch kan schelen."

APK-controle

Ferguson ziet vergelijkingen met de autowereld, waar auto's jaarlijks worden gecontroleerd. Als ze de APK-controle niet doorkomen, mogen ze niet de weg op omdat ze een gevaar voor de bestuurder en andere weggebruikers zijn. "Wanhopige tijden vragen om wanhopige maatregelen", besluit de expert zijn pleidooi.

Reacties (17)
03-06-2014, 11:03 door Onedb
Vergelijking met APK prima, maar laten we dan gebruikers eerst een ComputerRijbewijs geven... We moeten veel waarde hechten aan "Net_neutrality" https://en.wikipedia.org/wiki/Net_neutrality
03-06-2014, 11:03 door spatieman
kuch, kuch, dan zullen ook veel isp';s sneuvelen, kuch kuch...
03-06-2014, 11:08 door EKTB
Ziggo en XS4all doen dat al.

Misschien andere ISP's ook, maar dat weet ik niet.
03-06-2014, 11:18 door Anoniem
:S ... brilliant vergelijken met de APK. Wat gaan we doen? De eerste vier jaar na aanschaf is controle niet nodig en daarna 1 keer per jaar de pc controleren, terwijl een niet nader te noemen OS na een maand al vol met ellende zit.
03-06-2014, 11:46 door FSF-Moses
UPC deed dat een aantal jaren geleden ook. Geen idee of dat nu nog steeds het geval is.
03-06-2014, 11:46 door Anoniem
Ooit op m'n werk een botnet op een computer in het netwerk gehad. Hoe we erachter kwamen? XS4All had ons direct van het internet afgegooid; alle HTTP-verkeer werd ge-redirect naar een pagina van XS4All met de mededeling "u hebt een botnet". Daardoor konden we zeer snel ingrijpen.
03-06-2014, 12:51 door Anoniem
Ooit last van gehad bij provider OnsNet, dankzij buggy script. Automatisch eraf gegooid.
Helpdesk: de computer maakt geen fouten! Dus u zult wel besmet zijn.
Na een dag weer online, zonder enige aankondiging of excuus.
03-06-2014, 14:13 door Anoniem
Maar hoe om te gaan met false-positives? Ik ben laatst tot 3 keer toe in quarantaine gezet door mijn provider. In totaal meerdere dagen afgekoppeld geweest en uiteindelijk bleek de trigger niet meer dan een dns-lookup, naar een botnet C&C dat allang niet meer bestond.
(de lookup werd getriggerd door een blog over een botnet, waar dat adres op stond en de browser die zelfstandig dns-entries ging pre-fetchen, duurde even voor ik daar achter was...)

Kan je vertellen dat ik me behoorlijk gecensureerd voelde dat ik - als security-expert die zijn zaakjes aardig op orde heeft - blijkbaar geen blogs meer mag lezen over de takedown van een botnet....
03-06-2014, 16:28 door Anoniem
Door Anoniem:
Kan je vertellen dat ik me behoorlijk gecensureerd voelde dat ik - als security-expert die zijn zaakjes aardig op orde heeft - blijkbaar geen blogs meer mag lezen over de takedown van een botnet....

Nou als je als security expert een pre-fetch optie in een browser niet meteen uitschakelt dan weet ik nog niet zo net hoe
je zaakjes op orde zijn. Dit soort dingen heeft een duidelijk security impact, dat zou je moeten weten.
03-06-2014, 21:16 door D0rus
Klinkt natuurlijk mooi. Optimaal zou je alleen het botnet verkeer blokkeren zodat het gewone gebruik niet gehinderd wordt. Je vergeet echter dat de gemiddelde botnetbeheerder binnen 5 minuten het trucje door heeft en zijn verkeer via een ander kanaal laat verlopen of vermomt. Vervolgens zul je dus steeds meer moeten blokkeren totdat er helemaal niks over blijft en de verbinding effectief verbroken is. De gebruiker zit vervolgens in een kooi: informatie opzoeken over hoe van de besmetting af te komen, of ook maar virus definities updaten is al niet meer mogelijk.

Komt nog bij dat om dit mogelijk te maken men vrij snel naar deep package inspection zal moeten grijpen, wat neerkomt op een massale privacy invasie, waar al vrij snel wat extra 'opties' aan toegevoegd wordt om ander onwelgevallig verkeer tegen te houden.

Ik stel zelf voor gebruikers te onderwijzen, gewoon melden dat ze een virus hebben en dat ze die moeten opruimen, desnoods met wat extra verwijzingen naar een goede virusscanner of ander verwijder tool. Iets van "give a man a fish and you feed him for a day; teach a man to fish and you feed him for a lifetime". (Ik weet even niet de Nederlandse equivalent van dat spreekwoord).
04-06-2014, 01:11 door WesleySmalls
Door D0rus: Klinkt natuurlijk mooi. Optimaal zou je alleen het botnet verkeer blokkeren zodat het gewone gebruik niet gehinderd wordt. Je vergeet echter dat de gemiddelde botnetbeheerder binnen 5 minuten het trucje door heeft en zijn verkeer via een ander kanaal laat verlopen of vermomt. Vervolgens zul je dus steeds meer moeten blokkeren totdat er helemaal niks over blijft en de verbinding effectief verbroken is. De gebruiker zit vervolgens in een kooi: informatie opzoeken over hoe van de besmetting af te komen, of ook maar virus definities updaten is al niet meer mogelijk.

Vrij zeker dat HTTP gewoon poort 80 is en HTTPS poort 443. Kortom, vraag me af hoe stukje bij beetje het internet afgesloten word.

Daarbij is het ook niet echt moeilijk om te detecteren, als jou PC constant verbinding aan het zoeken is met een C&C server dan valt dat redelijk op en kun je geredirect worden naar een pagina van de provider welke het je duidelijk maakt dat je mogelijk geinfecteerd bent.
04-06-2014, 01:20 door [Account Verwijderd]
[Verwijderd]
04-06-2014, 02:01 door D0rus
@WesleySmalls: Yup, klinkt simpel. Totdat de botnet beheerder zijn verkeer gaat maskeren (bijv als https verkeer), dan krijg je een kat-muis spelletje dat je niet gaat winnen totdat je al het verkeer blokkeert.
04-06-2014, 04:09 door Eric-Jan H te D
Hmm, artikel uit 2009. http://securitywatch.pcmag.com/e-mail/284372-dutch-isps-sign-anti-botnet-treaty
04-06-2014, 10:19 door Anoniem
Door D0rus: @WesleySmalls: Yup, klinkt simpel. Totdat de botnet beheerder zijn verkeer gaat maskeren (bijv als https verkeer), dan krijg je een kat-muis spelletje dat je niet gaat winnen totdat je al het verkeer blokkeert.

Wat maakt het nu uit of het verkeer gemaskeerd is? Zolang als er regelmatig verkeer is naar een C&C-server kun je er redelijk zeker van zijn dat het om een zombie gaat en het verkeer blokkeren.
04-06-2014, 10:37 door Anoniem
"kuch, kuch, dan zullen ook veel isp';s sneuvelen, kuch kuch..."

Daarom moet je zoiets ook afdwingen via regelgeving. Op die manier hebben providers niet het probleem dat klanten weglopen naar een provider die dit niet doet, en providers kunnen dan concurreren door dit op een zo gebruikersvriendelijke wijze te doen (goede tools om te helpen met het identificeren en verwijderen van de gedetecteerde bedreiging).

"Sluit het dan ook gelijk af bij de overheidsinstantie `s waarvan klantgegevens op straat komen te liggen, vaak genoeg gebeurd."

Tja, ook dat is een probleem. Al gaat dat natuurlijk moeilijk, tenzij het gevolg is van een malware besmetting welke kan worden gedetecteerd. Je kan moeilijk een instantie afsluiten omdat ze morgen gehacked gaan worden, dit is immers info waarover je niet beschikt.

Verder heeft dat vrij weinig te maken met de vraag of er een banking trojan op jouw PC staat, waarmee bijvoorbeeld jouw bankrekening kan worden geplunderd.

Wat dat betreft lijkt het afsluiten mij alleen maar goed, ter bescherming van de klant, en van derden indien jouw systeem anderen aanvalt.

"Hmm, artikel uit 2009. http://securitywatch.pcmag.com/e-mail/284372-dutch-isps-sign-anti-botnet-treaty"

Veel ISP's in Nederland, die zich daarbij hebben aangesloten, doen dit dan ook al jaren.
04-06-2014, 11:04 door Anoniem
Door Anoniem:
Veel ISP's in Nederland, die zich daarbij hebben aangesloten, doen dit dan ook al jaren.

Let op! Dit is geen nieuwtje of nieuwe suggestie, het is gewoon een reclameboodschap. Het gaat niet om het verhaal
maar om de naam Trend Micro.

Persoonlijk vind ik dat Trend Micro de tijd beter zou kunnen besteden aan het beter maken van hun product, zodat het
bijvoorbeeld niet veel meer CPU en netwerkbandbreedte gebruikt dan de concurrentie. Daar hebben de klanten meer aan.

(en voor wie nog geen klant is: lees dit maar als een advies om vooral geen klant te worden!)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search