image

XS4ALL voorziet eigen netwerk van opt-in malwarefilter

dinsdag 24 april 2018, 10:35 door Redactie, 27 reacties

Internetprovider XS4ALL heeft het eigen netwerk van een filter voorzien dat malware moet tegengaan. Abonnees moeten het malwarefilter, dat via de dns-servers van XS4ALL werkt, zelf inschakelen. Het domain name system is het systeem dat ingetikte namen op internet vertaalt naar het numerieke ip-adres.

In feite bestaat het malwarefilter uit een lijst van netwerknamen en of ip-adressen waarvan XS4ALL weet dat ze malware verspreiden of voor phishing worden gebruikt. Deze lijst wordt continu bijgewerkt wanneer er een nieuw geval bijkomt. Het malwarefilter voorkomt dat een computer, of ander apparaat dat met internet is verbonden, contact legt met servers die malware verspreiden, phishingsites hosten of botnets aansturen. "Die zijn simpelweg niet meer te vinden. Daardoor werken ook links in phishingmails niet", zo stelt de provider.

Volgens XS4ALL is het filter in eerste instantie bedoeld om het eigen netwerk te beschermen tegen het groeiend aantal incidenten met malware. Doordat het filter de verspreiding van malware via eigen klanten een halt toeroept, wordt daarnaast ook de verspreiding via niet-klanten tegengegaan. "Dit filter zorgt er niet alleen voor dat malware een stuk moeilijker op uw systeem komt, maar zelfs na besmetting stopt het de communicatie tussen een reeds besmet apparaat en de malware-controleserver. Belangrijke informatie kan in zo'n geval dus niet buitgemaakt worden", aldus de uitleg van de provider.

Klanten moeten het filter zelf inschakelen, wat kan door in te loggen op Mijn XS4ALL. Via de instellingen kan vervolgens het malwarefilter voor de vaste verbinding worden ingeschakeld. Het filter beschermt alle apparaten die thuis bij de abonnee via de FRITZ!Box verbonden zijn met het internet. Geblokkeerde websites zullen echter niet te bezoeken zijn. Dit kan alleen door het filter weer uit te schakelen. De provider gaat actief communiceren om het filter aan te zetten.

Reacties (27)
24-04-2018, 10:44 door Anoniem
De sleutel is hier "opt-in": Zolang je dat doet zit je goed. Iets wat politici maar al te vaak niet begrijpen, tot op het herdefinieren van "opt-in" totdat het "opt-out" betekent aan toe (zoals de Engelse anti-porno-op-het-web-wet). Betekent wel dat je als klant actie moet ondernemen, maar dat is precies de bedoeling.
24-04-2018, 10:55 door Anoniem
Het filter beschermt alle apparaten die thuis bij de abonnee via de FRITZ!Box verbonden zijn met het internet. Geblokkeerde websites zullen echter niet te bezoeken zijn. Dit kan alleen door het filter weer uit te schakelen. De provider gaat actief communiceren om het filter aan te zetten.
Blokkeren ze dan de verbinding of blokkeren ze de lookup in DNS? Wanneer ik bij XS4ALL kijk, staat het filter bovenop de DNS server. Dus mensen die dit filter inschakelen, maar eerder een eigen, alternatieve DNS server hebben ingesteld, merken hier niets van. Dus bij IOT devices, waar de maker een vaste DNS server heeft ingesteld i.p.v. het gebruiken van de default die door DHCP wordt aangeboden, blijven kwetsbaar.

Dat zou best vermeld mogen worden, aangezien bij DNS storingen soms door handige helpers een aanpassing wordt gedaan, om te zorgen dat alles weer werkt. En de gewone gebruiker, waarbij dat is gedaan, weet dat niet en vertrouwt op een filter, die wordt omzeild.
24-04-2018, 11:05 door Anoniem
Met dank voor dit bericht redactie! Heb het filter vandaag meteen geactiveerd.
24-04-2018, 11:21 door Anoniem
Het is grappig, ze bieden een pi hole (https://pi-hole.net/) achtige oplossing aan voor hun abonnees.
Zo een DNS malware filter is niet altijd up to date maar alle kleine beetjes helpen?
Wellicht kunnen ze ook tevens dan ads mee blokkeren zodat die ellende ook niet meer zichtbaar is?
24-04-2018, 11:31 door Anoniem
Goed initiatief, dit voegt een extra verdedigingslaag toe om contact met C&C servers te bemoeilijken voor geïnfecteerde machines. Kans op misbruik van dit filter (voor bv censuur) is verholpen door de gebruiker zelf de mogelijkheid te geven dit filter in- en uit te kunnen schakelen. Al met al een goed initiatief:)

Wel vraag ik me af of XS4ALL dan ook intensiever met derde partijen zal communiceren om eerder achter de locaties te kunnen komen die geblokkeerd dienen te worden. Een ander aspect is dat tegenwoordig vooral algoritmen voor domein generaties worden gebruikt en ik benieuwd ben hoe XS4ALL het probleem heeft verholpen dat in korte tijd honderden miljoenen domeinnamen geblokkeerd dienen te worden. De domeinen dienen ook weer vrij te worden gegeven voor als een persoon het domein wilt gebruiken voor legitieme doeleinden, wat best een interessant probleem oplevert, voor hoelang dienen de domein locaties te worden gefilterd. Indien de bijwerking geautomatiseerd is (wat ik vermoed, omdat het werk anders ondoenlijk is) ben ik benieuwd of er de mogelijkheid is dit geautomatiseerde proces te beïnvloeden om legitieme netwerken te laten filteren, bijvoorbeeld IP-adressen van Google. Wat denken jullie hiervan?
24-04-2018, 11:44 door Anoniem
Goede stap van Xs4all om nu aan klanten van hun aan te bieden wat velen al lokaal doen in hun eigen router of in de browser met behulp van hulp programma's. Zou mooi zijn al zij ook selecteerbare lijsten beschikbaar gaan maken waar je tracking tools van Google, Facebook etc.....dat zal wel niet gebeuren

Het zou ook goed zijn dat een klant een persoonlijke whitelist kan aanmaken want anders wordt er weer gekozen om de bescherming te deactiveren als een site onbereikbaar is.
24-04-2018, 12:19 door Anoniem
Kan je als niet XS4ALL klant ook deze DNS service gebruiken?
24-04-2018, 13:30 door Anoniem
Zou zo'n filter ook niet voor andere en minder gewenste doeleinden kunnen worden gebruikt?

Censuur bijvoorbeeld of het voorkomen van het bezoeken van sites met bij voorbeeld "fake news" of politiek niet correcte boodschappen in de ogen der filteraars. Centraal gebruik kan ook centraal misbruik worden op een bepaald moment, kijk naar Russische providers met hun blokkeringen of de "Mainland Chinees".

Is het filter openbaar, kan men het checken?

Ik vertrouw iedereen op zijn of haar blauwe ogen, maar "trust"is een 'zuinig' begrip geworden de laatste tijd,
als het dat al niet altijd was.

Jodocus Oyevaer
24-04-2018, 13:46 door Briolet
Door Anoniem: Kan je als niet XS4ALL klant ook deze DNS service gebruiken?

De DNS van Quad9 instellen op de router (9.9.9.9). Het zou me niet verbazen als beide de data uit dezelfde bron halen.
24-04-2018, 14:09 door Anoniem
Door Briolet:
Door Anoniem: Kan je als niet XS4ALL klant ook deze DNS service gebruiken?

De DNS van Quad9 instellen op de router (9.9.9.9). Het zou me niet verbazen als beide de data uit dezelfde bron halen.

https://1.1.1.1/
Frankly, we don’t want to know what you do on the Internet—it’s none of our business—and we’ve taken the technical steps to ensure we can’t.
24-04-2018, 14:38 door Anoniem
Dus bij IOT devices, waar de maker een vaste DNS server heeft ingesteld i.p.v. het gebruiken van de default die door DHCP wordt aangeboden, blijven kwetsbaar.
Niet altijd. Als de router DNS Hijacking toepast wordt de ingestelde DNS server overruled: https://en.wikipedia.org/wiki/DNS_hijacking
In dat artikel wordt XS4ALL zelfs met naam genoemd als een ISP die (gedwongen) DNS Hijacking moet toepassen op carrier niveau.
24-04-2018, 14:44 door Anoniem
Werkt dat filter met / op

VPN
Torbrowser
TAILS
24-04-2018, 15:40 door Anoniem
Door Anoniem:
Dus bij IOT devices, waar de maker een vaste DNS server heeft ingesteld i.p.v. het gebruiken van de default die door DHCP wordt aangeboden, blijven kwetsbaar.
Niet altijd. Als de router DNS Hijacking toepast wordt de ingestelde DNS server overruled: https://en.wikipedia.org/wiki/DNS_hijacking
In dat artikel wordt XS4ALL zelfs met naam genoemd als een ISP die (gedwongen) DNS Hijacking moet toepassen op carrier niveau.

In de publicaties erover staat dat het alleen werkt als je hun eigen DNS servers gebruikt, en dat geldt ook voor de
blokkades waar jij denk ik op doelt. DWZ als je om hun DNS heen gaat dan werken die geblokkeerde DNS lookups wel.

Dat maakt deze manier van blokkeren ook een beetje onzeker want afhankelijk van de reply die er terug komt zullen
bepaalde apparaten en systemen het DNS request gewoon retryen bij 8.8.8.8 ofzo en dan werkt dat filter dus niet.
24-04-2018, 16:20 door Anoniem
Door Anoniem:
Door Briolet:
Door Anoniem: Kan je als niet XS4ALL klant ook deze DNS service gebruiken?

De DNS van Quad9 instellen op de router (9.9.9.9). Het zou me niet verbazen als beide de data uit dezelfde bron halen.

https://1.1.1.1/
Frankly, we don’t want to know what you do on the Internet—it’s none of our business—and we’ve taken the technical steps to ensure we can’t.

En dat heeft dan wel een Facebook logo op site?!
24-04-2018, 18:15 door Anoniem
XS4All gebruikt volgens Tweakers.net de DBL van Spamhaus:
The Domain Block List

The Spamhaus DBL is a realtime database of domains with low reputations. Mail server software capable of scanning email message body contents for URIs can use the DBL to identify, classify or reject spam containing DBL-listed domains.

Ik vraag mij af hoe effectief die is buiten de context van e-mail. Ook ben ik bang voor false positives (waar alle anti-spam technologie last van heeft).

Bovendien doet elke moderne browser hetzelfde in de browser zelf. Dus het is ook nog eens dubbelop.

F-Secure (van XS4All) blokkeerde een download van ccleaner bij mij jaren terug. Sindsdien gebruik ik die niet meer. 'Normale' mensen schrikken zich wezenloos van zulke meldingen. Zelf ben ik altijd voorzichtig en heb ik F-Secure nooit meer gemist. Andere mensen raad ik F-Secure vanwege de false positives ook af.
24-04-2018, 18:33 door Anoniem
Mis ik hier iets of is het niet gewoon zo dat de malware een aantal IP adressen van non-filtering DNS servers aan boord kan hebben waarmee alsnog alle lookups gedaan kunnen worden?
24-04-2018, 18:49 door Anoniem
Door Anoniem:

F-Secure (van XS4All) blokkeerde een download van ccleaner bij mij jaren terug. Sindsdien gebruik ik die niet meer.
Omdat je graag besmet wilde worden?
https://www.security.nl/posting/533980/Avast%3A+Ontwikkelaar+CCleaner+was+sinds+april+gehackt
24-04-2018, 19:51 door Briolet
Door Anoniem: XS4All gebruikt volgens Tweakers.net de DBL van Spamhaus: …
Ik vraag mij af hoe effectief die is buiten de context van e-mail. Ook ben ik bang voor false positives (waar alle anti-spam technologie last van heeft).

Dit is toch geen anti spam lijst, maar een lijst met onbetrouwbare domeinen. In de omschrijving staat alleen dat je mail, die links bevat naar dergelijke domeinen, ook als spam kunt aanmerken.
Voor mail heeft spamhause de 'zen' blocklist waar IP adressen van spammers op staan. Die gebruik ik ook om mijn mailserver.

Door Anoniem: Bovendien doet elke moderne browser hetzelfde in de browser zelf. Dus het is ook nog eens dubbelop.

Misschien dubbel in de browser, maar de essentie van een DNS blokkade via de router is dat alle apparaten er van profiteren. Dus ook smartphones, en IoT apparaten. Maar ook een malware besmetting van je PC, die niet via je browser loopt, kan beperkt worden als die servers probeert te bereiken die inmiddels op die DBL lijst staan.

Door Anoniem: Mis ik hier iets of is het niet gewoon zo dat de malware een aantal IP adressen van non-filtering DNS servers aan boord kan hebben waarmee alsnog alle lookups gedaan kunnen worden?

Een goede router blokkeert poort 53 als die niet naar de eigen dns server gaat. In elk geval als die router beweert foute IP adressen tegen te houden.
24-04-2018, 20:49 door Anoniem
Door Briolet:
Een goede router blokkeert poort 53 als die niet naar de eigen dns server gaat. In elk geval als die router beweert foute IP adressen tegen te houden.

Laten we hopen van niet want als dit een standaardinstelling is dan is dit censuur.

Bovendien als je op je devices een externe server als secundaire DNS hebt ingesteld zodat bij een DNS storing bij je provider iedereen nog kan internetten, dan zou dit niet meer werken.

En als je modem besmet raakt dan werkt die blokkade naar externe servers ook niet meer, daarom had Xs4all ook een persoonlijke firewall moeten toevoegen in hun servicecentre, zodat je bij de provider je WAN firewall zelf kan beheren en dus ook al dan niet DNS servers kan blokkeren (maar ook veel meer services en adressen).
24-04-2018, 21:40 door softwaregeek
Door Anoniem:
Door Briolet:
Door Anoniem: Kan je als niet XS4ALL klant ook deze DNS service gebruiken?

De DNS van Quad9 instellen op de router (9.9.9.9). Het zou me niet verbazen als beide de data uit dezelfde bron halen.

Ja, de dnsservers van xs4all kun je als niet klant ook gebruiken: 194.109.6.66 en 194.109.9.99
24-04-2018, 22:24 door Anoniem
Door softwaregeek:
Door Briolet:
Door Anoniem: Kan je als niet XS4ALL klant ook deze DNS service gebruiken?

De DNS van Quad9 instellen op de router (9.9.9.9). Het zou me niet verbazen als beide de data uit dezelfde bron halen.

Ja, de dnsservers van xs4all kun je als niet klant ook gebruiken: 194.109.6.66 en 194.109.9.99

Zucht .

Je denkt zeker dat als je het adres van de resolver weet , die altijd ook antwoord geeft aan de hele wereld ?
Van buiten het xs4all netwerk krijg je _geen_ antwoord van deze servers .

(Overigens - het zou heel goed kunnen dat de dns-met-filter en nu juist op andere IPs zit, en dat de 'opt-in' de-facto die andere DNS servers voor je instelt .)

Het antwoord is dus dat alleen klanten die op het xs4all netwerk zitten van deze service gebruik kunnen maken.

Er zijn andere DNS services die gratis of betaald ook een dergelijke service bieden.
24-04-2018, 22:31 door Anoniem
Door Anoniem: Mis ik hier iets of is het niet gewoon zo dat de malware een aantal IP adressen van non-filtering DNS servers aan boord kan hebben waarmee alsnog alle lookups gedaan kunnen worden?

Ten eerste mist de belofte van xs4all dat deze service in alle mogelijke situaties perfecte bescherming biedt.

Sommige malware _kan_ geen andere dns servers gebruiken - malicious javascript moet het doen met wat de browser mag doen qua OS services. Ik denk dat ook flash malware weinig mogelijkheden heeft om even zelf de DNS resolving te doen .
Sommige ISPs of routers blokkeren DNS requests naar iets anders .

Maar gut o gut - ja , in het geval van xs4all kan malware die voldoende diep op het systeem zit om zelf DNS servers te kiezen (of die hardcoded IPs gebruikt) inderdaad dit systeem omzeilen.
Dat maakt het totaal geen nutteloze maatregel - alleen maar een maatregel die niet in 100% van de situaties effectief is.
25-04-2018, 08:52 door Anoniem
Door Anoniem:
Laten we hopen van niet want als dit een standaardinstelling is dan is dit censuur.
Wat is er precies onduidelijk aan "opt-in malwarefilter" waardoor je die twijfel hebt gekregen???

Door Anoniem:
Maar gut o gut - ja , in het geval van xs4all kan malware die voldoende diep op het systeem zit om zelf DNS servers te kiezen (of die hardcoded IPs gebruikt) inderdaad dit systeem omzeilen.
Waar ik me meer zorgen om maak is systemen waar standaard al hardcoded DNS servers in zitten, al dan niet aangevuld met de via DHCP verkregen servers. Alles van Google heeft standaard 8.8.8.8 als DNS server, bijvoorbeeld. Dus Android, ChromeOS en ik neem aan alle IoT devices gebaseerd op Google code die gaan al naar 8.8.8.8 en dus om dit filter heen.
Ik weet niet hoeveel andere spullen en computers dat ook doen. Het zou me niks verbazen dat als er problemen zijn met de laptop en de "monteur" of "student aan huis" komt langs, deze even de DNS server 8.8.8.8 invoert bij netwerk. Zeker als de ISP "aanvullende services" biedt op hun DNS die soms problemen geven.
25-04-2018, 09:56 door Anoniem
Door Anoniem: Waar ik me meer zorgen om maak is systemen waar standaard al hardcoded DNS servers in zitten, al dan niet aangevuld met de via DHCP verkregen servers. Alles van Google heeft standaard 8.8.8.8 als DNS server, bijvoorbeeld. Dus Android, ChromeOS en ik neem aan alle IoT devices gebaseerd op Google code die gaan al naar 8.8.8.8 en dus om dit filter heen.

Mijn buurvrouw heeft gewoon ChromeOS draaien op haar FRITZ!Box met poortbeveiliging op niveau 4. Daarvoor hoefde ik niets aan te passen.

Of het nieuwe DNS malwarefilter nut heeft voor haar Chromebook... Ik denk van niet. Maar misschien wordt XS4All er erg blij van als het aanstaat en er gaat wel iets mis.

Ik neem aan dat het tegen Phishing wel nuttig kan zijn. Maar daar zit ook al beveiliging voor in Gmail en in Chrome.
25-04-2018, 09:58 door Anoniem
opendns anyone?

of.. nu Cisco Umbrella.

Eminus

btw: leuk testcase, probeer eens rechtstreeks op IP te connecteren. Wedden dat je 'telefoonboek' DNS dan opeens niets meer doet? Goh joh.. en laat malware dat nou doen? Maar goed.. alle beetjes helpen.
25-04-2018, 10:46 door Anoniem
Door Anoniem:
Door Anoniem:
Laten we hopen van niet want als dit een standaardinstelling is dan is dit censuur.
Wat is er precies onduidelijk aan "opt-in malwarefilter" waardoor je die twijfel hebt gekregen???

Door Anoniem:
Maar gut o gut - ja , in het geval van xs4all kan malware die voldoende diep op het systeem zit om zelf DNS servers te kiezen (of die hardcoded IPs gebruikt) inderdaad dit systeem omzeilen.
Waar ik me meer zorgen om maak is systemen waar standaard al hardcoded DNS servers in zitten, al dan niet aangevuld met de via DHCP verkregen servers. Alles van Google heeft standaard 8.8.8.8 als DNS server, bijvoorbeeld. Dus Android, ChromeOS en ik neem aan alle IoT devices gebaseerd op Google code die gaan al naar 8.8.8.8 en dus om dit filter heen.
Ik weet niet hoeveel andere spullen en computers dat ook doen. Het zou me niks verbazen dat als er problemen zijn met de laptop en de "monteur" of "student aan huis" komt langs, deze even de DNS server 8.8.8.8 invoert bij netwerk. Zeker als de ISP "aanvullende services" biedt op hun DNS die soms problemen geven.

De IOT dingen die ik in gebruik heb maken gebruik van DHCP en krijgen via DHCP de DNS toe bedeeld, ik zal nog eens kijken wat b.v. de Chromecast doet.
25-04-2018, 19:58 door Briolet
Door Anoniem: …Alles van Google heeft standaard 8.8.8.8 als DNS server, bijvoorbeeld. Dus Android, ChromeOS en ik neem aan alle IoT devices gebaseerd op Google code die gaan al naar 8.8.8.8 en dus om dit filter heen.…

Waar haalt anoniem deze bewering vandaan? Als je al niet controleerbaar bent met je naam, geef dan referenties om je onzin uitspraken te ondersteunen.

Ik zelf gebruik een blocklist via mijn dns server en die werkt echt ook op mijn android telefoon.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.