Hier heeft het dus wat opgeleverd door achter een individuele bot van een (proxy) botnet aan te gaan.
Ik gaf laatst al aan dat we botnets kleiner moesten maken door achter deze individuele bots aan te gaan.
Daarom vind ik de timing van dit bericht wel interessante toeval.

Er is ook een heel kopje over de noodzaak voor strengere wetgeving:
Ik vraag me af tot in hoeverre dit gaat werken, en als het niet werkt, ten minste hoe goed de privacy van klanten word beschermt. Is enkel jouw naam nodig, of ook je NAW gegevens? Gaan ze om je ID vragen? Vertrouw ik wel een of andere hostingbedrijf met mijn BSN? Ik snap de intentie, maar maak me zorgen over de effectiviteit en privacy impact.

Wat een businessmodel, het is alsof je een autoverhuurbedrijf op zet met gestolen auto's.

De conclusie van gebruiker "Named" — dat het oplossen van het misbruik van één individueel IP-adres heeft geleid tot het ontmantelen van een grootschalig proxybotnet — is in de kern correct, maar behoeft wel nuance vanuit het perspectief van cybercrime-experts.

Wat klopt:

Het gebeurt vaker dat onderzoek naar één verdachte activiteit (zoals phishing via een IP-adres) leidt tot bredere inzichten in onderliggende infrastructuur.

In dit geval heeft het misbruik van een Nederlands IP-adres geleid tot het traceren van Anyproxy, dat een netwerk beheerde van gecompromitteerde routers.

Dit past in de strategie van veel opsporingsdiensten: "follow the crumbs", ook als dat technisch een schijnbaar onbeduidende bot betreft.

Wat genuanceerd moet worden:

De aanname dat het "achter individuele bots aangaan" systematisch een effectieve strategie is om botnets te verkleinen, is niet altijd werkbaar of schaalbaar. Het lukt zelden om een heel botnet op deze manier uit te schakelen.

In dit geval leidde het IP-misbruik naar een groter geheel doordat de infrastructuur van Anyproxy niet goed afgeschermd was en forensisch onderzoek vruchten afwierp. Dat is eerder een gelukkig incident dan een standaardmodel.

Over de oproep tot wetgeving:

Experts erkennen dat KYC en het verbieden van anonieme cryptobetalingen kunnen helpen om cybercrime lastiger te maken, maar wijzen op grote privacy- en proportionaliteitszorgen.

KYC betekent vaak verificatie met naam, adres, geboortedatum en een kopie ID — wat risico’s met zich meebrengt als deze data lekt of door onbetrouwbare partijen wordt beheerd.

De effectiviteit van KYC in hosting is bovendien discutabel: criminelen wijken simpelweg uit naar jurisdicties zonder regels, of maken gebruik van gestolen identiteitspapieren.

Kortom, de constatering van Named is inhoudelijk verdedigbaar als observatie, maar de conclusie dat dit een modelstrategie is om botnets te breken wordt door experts gezien als situatiegebonden succes, niet als structurele oplossing. De zorgen over privacy bij KYC zijn legitiem en breed gedeeld binnen de securitygemeenschap.

Bij een KYC-beleid (Know Your Customer) draait alles om verifieerbare identiteit. Zonder ten minste naam, adresgegevens en een vorm van identiteitsbewijs is er geen sprake van echte verificatie – en dus ook niet van effectief KYC.

Het gericht aanpakken van command-and-controlservers (C&C) is doorgaans veel effectiever en efficiënter dan het individueel opsporen van losse bots binnen een botnet. Hoewel een enkele bot soms nuttige aanwijzingen kan geven over de infrastructuur of herkomst van het botnet, is zo'n apparaat zelden het doel op zich. Zodra de C&C-servers worden uitgeschakeld, verliezen de bots immers direct hun functionaliteit en zijn ze niet langer inzetbaar door criminelen. Bovendien is de eigenaar van een besmet apparaat in verreweg de meeste gevallen een onwetende derde partij, en daarmee juridisch gezien geen dader maar eerder slachtoffer.

Gaan we dit dan overal krijgen?
Beste klant, gisteren verbruikte u 40gb en vandaag 5gb, kunt u uitleggen hoe dit komt?
Beste klant, gisteren zat u 10 uur op een arabische website en vandaag niet, kunt u uitleggen hoe dit komt?
Beste klant, gisteren zat u 3x op de wc, kunt u verantwoorden hier 3 wc rollen te hebben gebruikt?

Net als recentelijk bij ING, beste klant wij gaan bekijken of u nog wel een Creditcard mag hebben wilt u svp. deze 30+ vragen over AL uw uitgaven even op tafel leggen EN toelichten waar deze uitgaven voor zijn, zo niet dan blokkeren we uw Cc.

KYC? ... NOYFB !

Het inzicht: veel internet providers vervangen hun verouderde wifi-routers niet of niet tijdig, en de consument is de dupe. Wordt de vervanging van kwetsbare routers massaal nagelaten, dan is dat ook een groot risico voor de staatsveiligheid.

Ik ben het er volledig mee eens dat als je achter een specifieke bot aan gaat je lang niet altijd het gehele botnet daardoor uit kan schakelen. Zo'n resultaat is in grote mate afhankelijk van hoe goed het botnet in elkaar zit EN van een flinke scheut goed geluk.

Waar ik echter blijkbaar van mening verschil is dat ik vind dat je individuele bots zelf ook moet aanpakken. Want dit zijn immers kwetsbare apparaten die ook een risico vormen voor de rest van het internet. Anoniem 12:23 zegt dat deze apparaten bij het uitschakelen van de C&C onbruikbaar zijn voor criminelen. Daar denk ik anders over, want dat apparaat IS al een keer bemest geraakt, en er is géén garantie dat dat niet nog een keer kan/zal gebeuren!

Natuurlijk is deur bij deur de huizen afgaan niet te doen. Maar internet providers kunnen aan de hand van een lijstje met misbruikte IP's wél hun desbetreffende klanten informeren over de situatie. Met daarbij uitleg/support over hoe dit op te lossen is, natuurlijk. Dit proces kan voor het grootste gedeelte geautomatiseerd worden. Als zo'n systeem internationaal word uitgerold zouden alle ISP's hetzelfde kunnen doen.

Zodra de eindgebruiker geïnformeerd is over de bot op zijn netwerk is hij niet langer een onwetende partij. Hij kan dan zelf het probleem oplossen of iemand vragen dit voor hem te doen. Desnoods bied de ISP hier een dienst voor aan. Maar zodra hij dan de situatie herhaaldelijk negeert en actief hulp aan het weigeren is, dan is hij juridisch gewoon aansprakelijk te stellen. Sleep maar voor de rechter, laat hem maar eens uitleggen waarom hij digitaal onderdak bied aan criminelen. Zo ontmantel je de botnets bot-bij-bot.

Hiermee verhoog je het bewustzijn en serieusheid over cybersecurity onder de bevolking. Men denkt dan wel twee keer na voordat ze goedkope IoT rommel aanschaffen. Ik schat dat twee of drie veroordelingen genoeg zal zijn om gebruikers bij het eerste mailtje al in beweging te krijgen om hun netwerk op te schonen. Op die manier houd je het Nederlandse digitaal landschap structureel schoon. Goed voor de bescherming, goed tegen de botnets en goed voor onze reputatie. Dit is een stukje verantwoordelijkheid die genomen moet worden. En het is ook een stevig signaal naar cybercriminelen: