image

"Negeren zombie PC's is goedkoper voor ISPs"

vrijdag 26 mei 2006, 16:50 door Redactie, 15 reacties

Het negeren van botnets en zombie PC's is goedkoper voor internetproviders dan er iets aan te doen, dat zegt de Fin Mikko Hyppönen. Hyppönen haalde tijdens de AusCERT 2006 conferentie fel uit naar ISPs omdat ze niets aan het probleem doen. "Zelfs als ISPs weten dat ze bots in hun netwerk hebben, zullen de meesten ze gewoon negeren. Ik denk dat dit de belangrijkste reden is waarom het probleem niet verdwijnt".

Hyppönen begrijpt het probleem van de ISPs. De meesten zullen een geinfecteerd IP-adres afsluiten, waarna de afgesloten abonnee contact met de helpdesk opneemt. Vaak gaat het om meerdere en lange telefoongesprekken en raken abonnees gefrustreerd omdat ze het internet niet op kunnen om patches en verwijdertools te downloaden.

Volgens Mark Sunner van MessageLabs zullen abonnees hun internetprovider niet betalen om het verkeer op virussen en andere narigheden te filteren. Sterker nog, abonnees van ISPs die het verkeer filteren zullen eerder geneigd zijn om over te stappen. Voorlopig blijft het kat en muis spel tussen zombiejagers en botnetbeheerders dus doorgaan.

Reacties (15)
26-05-2006, 17:39 door Anoniem
negeren is goedkoper ja, tot de isp zelf een ddos van een
paar gbit op zn dak krijgt. oftewel men moet ook denken aan
het "maatschappelijk belang".
26-05-2006, 22:05 door Dabien
Ik meende dat er een Nederlandse provider was, die gevonden
bots in hun netwerk afsluit van het "echte" internet en
alleen nog toegang geeft tot het "interne" netwerk, waarop
ze de benodigde tools kunnen downloaden om hun PC weer
schoon te maken. Ik weet alleen zo snel even niet meer welke
dat was.

In ieder geval klint dat als een goede oplossing voor het
probleem, maar dat het geld en tijd kost, daar kun je niet
onderuit.
26-05-2006, 22:19 door Anoniem
Op de Universiteit Twente wordt er een quarantaine netwerk
gebruikt. Een verdachte PC die in quarantaine staat krijgt
bij internetgebruik alleen nog maar een pagina die hem
verteld wat er aan de hand is en wat hij (of zij) er aan kan
doen plus wat linken naar de update-sites van Microsoft.
Als de zaak gerepareerd is kan hij op een link klikken die
hem uit quarantaine haalt. Op de UT kan dat maar één keer,
maar ik kan me voorstellen dat dat bij een ISP anders wordt.
Het werkt in ieder geval behoorlijk goed.
27-05-2006, 15:12 door inglorion
Ik denk ook niet dat het een zaak van de ISPs is om er wat
aan te doen. Zoals ik het zie moeten ISPs vooral zo min
mogelijk kijken naar wat hun abonnees doen en gewoon het
verkeer doorgeven. In elk geval zit ik er niet op te wachten
dat ISPs al mijn dataverkeer gaat inspecteren en dat dan
vervolgens gaat blokkeren of zelfs mijn verbinding afsluiten.

Ik vind ook dat het _niet_ de verantwoordelijkheid van de
ISP is wat gebruikers met hun verbinding doen. Als een
gebruiker ongewenst verkeer veroorzaakt, onderneem dan
stappen tegen die gebruiker en laat de ISP met rust. Het is
toch ook niet de schuld van de posterijen als iemand een
dreigbrief stuurt of de schuld van de telefoonmaatschappij
als iemand een ander via de telefoon lastig valt?
27-05-2006, 16:34 door Bitwiper
inglorion op zaterdag 27 mei 2006 15:12 in omgekeerde volgorde:
> Als een gebruiker ongewenst verkeer veroorzaakt,
> onderneem dan stappen tegen die gebruiker en
> laat de ISP met rust.

En hoe had je dat gedacht? De anonimiteit van IP-adressen
opheffen? (Brein wrijft in haar handen). Of iedereen zelf
wraak nemen met DoS attacks o.i.d.?

> Zoals ik het zie moeten ISPs vooral zo min
> mogelijk kijken naar wat hun abonnees doen
> en gewoon het verkeer doorgeven.

Er van uitgaande dat jij (en de meeste andere internetters)
hun anonimiteit niet op willen geven, is de ISP de enige die
weet wie de eigenaar is van een IP-adres dat elders
problemen veroorzaakt (in verreweg de meeste gevallen zonder
dat die eigenaar weet dat zijn PC een dubbele agenda
heeft). Die ISP is dan ook, naast justitie (maar dan moet
het extreem ernstige klachten gaan), de enige die wat
aan dit zombie probleem kunnen doen, en daarom vind
ik het ook hun taak.

Sterker nog, ik vind dat de overheid ze daartoe zou moeten
verplichten. Dan ben je af van het argument dat klanten
anders overstappen naar "luie" providers.

En tot op zekere hoogte mag een provider best naar traffic
"kijken" (dat doen ze allemaal toch al voor statistieken
e.d.), waarbij ik met kijken doel op apparatuur en software,
niet mensen. Zodra grenzen worden overschreden (bijv. grote
aantallen typische DoS pakketjes en/of pakketjes met spoofed
source adressen, of meer dan 1000 emails per uur vanaf een
gewone ADSL aansluiting - waar geen ontheffing voor is
aangevraagd bijv. omdat men een server draait) moet m.i. de
ISP tenminste bij de klant navragen hoe dat zit.

Komt daar geen snel antwoord op (laksheid, vakantie etc.),
dan gewoon de stekker er uit. Je bent immers een derde tot
last die zich niet kan verdedigen!
27-05-2006, 21:27 door Anoniem
Internet SERVICE provider. Laat die ISP's nu eens waar maken waar hun
naam voor staat. Een beetje maatschappelijke betrokkenheid kan geen
kwaad hoor.
27-05-2006, 23:58 door Dabien
@inglorion:

De ISP's zijn in mijn ogen ook niet verantwoordelijk voor de
misdragingen (slechte security) van hun abonnees. Een
besmette PC of meerdere besmette PC's kunnen echter wel voor
problemen zorgen bij de ISP. Dat ze de gebruiker dan
afsluiten, is dan meer een vorm van zelfbescherming tegen de
rotzooi die de betrokken gebruiker veroorzaakt, dan een vorm
van straf.

Tegelijkertijd zorgt de ISP er dan ook voor dat de
gebruikers doorhebben dat er iets aan de hand is. Misschien
is het dan ook verstandig om ze eens uit te leggen dat hun
besmette PC er mede voor verantwoordelijk zijn dat er
jaarlijks voor vele miljoenen euro's schade wordt
veroorzaakt door botnets.
28-05-2006, 12:47 door inglorion
Door Erik van Straten
inglorion op zaterdag 27 mei 2006 15:12 in omgekeerde volgorde:
> Als een gebruiker ongewenst verkeer veroorzaakt,
> onderneem dan stappen tegen die gebruiker en
> laat de ISP met rust.

En hoe had je dat gedacht? De anonimiteit van IP-adressen
opheffen? (Brein wrijft in haar handen). Of iedereen zelf
wraak nemen met DoS attacks o.i.d.?

Zelf wraak nemen met DoS attacks lijkt me een bijzonder
slecht idee. Maar het lijkt me niet onredelijk om tegen
gebruikers die schade veroorzaken stappen te ondernemen. Je
zou bijvoorbeeld, zoals Dabien zei, gebruikers kunnen
informeren over het feit dat hun computer problemen
veroorzaakt en ze afsluiten of een boete opleggen als het
probleem niet wordt verholpen.

Het idee van zo'n regeling is niet om onwetende slachtoffers
van virussen van het net af te pesten, maar om kosten te
verbinden aan het niet plegen van fatsoenlijk onderhoud aan
de computer. Op die manier zal een gebruiker er ook zelf
last van hebben als z'n computer geïnfecteerd raakt, en er
dus meer in geïnteresseerd zijn om de computer afdoende te
beveiligen. En laten we wel wezen: het is niet alsof het
schoonhouden van de computer een ondoenlijke taak is; maar
zolang je geen problemen hebt met de malware op je systeem,
waarom zou je dan de moeite doen?


> Zoals ik het zie moeten ISPs vooral zo min
> mogelijk kijken naar wat hun abonnees doen
> en gewoon het verkeer doorgeven.

Er van uitgaande dat jij (en de meeste andere internetters)
hun anonimiteit niet op willen geven, is de ISP de enige die
weet wie de eigenaar is van een IP-adres dat elders
problemen veroorzaakt (in verreweg de meeste gevallen zonder
dat die eigenaar weet dat zijn PC een dubbele agenda
heeft). Die ISP is dan ook, naast justitie (maar dan moet
het extreem ernstige klachten gaan), de enige die wat
aan dit zombie probleem kunnen doen, en daarom vind
ik het ook hun taak.

Op zich een goed argument, maar toch klopt het niet
helemaal, in mijn ogen. Zoals ik het zie is het versturen
van spam en virussen, inbreken, etc. (schadelijk
dataverkeer) gewoon een crimineel feit. Om uit te vinden wie
daar de dader van is is het zeker niet ondenkbaar om
justitie in te schakelen en uit te vinden wie er achter een
IP-adres zit. Maar dat is nog heel wat minder dramatisch dan
"de anoniemiteit van IP-adressen opheffen": het achterhalen
van de gebruiker van één IP-adres is heel iets anders dan
het openbaar maken van de namen achter _alle_ adressen.

Natuurlijk is een juridische procedure in veel gevallen veel
te omslachtig, en kun je bovendien gevoegelijk aannemen dat
de gebruiker van een IP-adres niet expres het ongewenste
verkeer heeft veroorzaakt. Je kunt je afvragen of het dan
überhaupt nodig is om stappen te ondernemen. In elk geval
kun je dan als slachtoffer de ISP inlichten, en ik denk dat
je dan ook de redelijke verwachting kan hebben dat de ISP
iets tegen het probleem zal doen (bv. de gebruiker
attenderen en evt. afsluiten, zoals Dabien zei).

Als je wil dat de ISPs ongewenst verkeer filteren, dan
moeten ISPs dus al het verkeer inspecteren wat ze doorgeven,
en besluiten dat wel of niet door te laten. Dit brengt
kosten voor de ISP met zich mee (verkeer inspecteren kost
een stuk meer processortijd dan het alleen maar doorgeven),
schendt de privacy van gebruikers (hoewel je er natuurlijk
toch niet op moet vertrouwen dat niemand je verkeer
inspecteert), en werkt uiteindelijk toch maar in beperkte
mate: de ISP zal altijd ongewenst verkeer doorlaten, en
waarschijnlijk ook gewenst verkeer blokkeren.


Sterker nog, ik vind dat de overheid ze daartoe zou moeten
verplichten. Dan ben je af van het argument dat klanten
anders overstappen naar "luie" providers.

Ik denk niet dat klanten dat zouden doen. Ik denk dat de
meeste mensen er geen last van zouden hebben als hun ISP hun
verkeer filtert. Tenslotte is het idee dat die ISP het
verkeer blokkeert waarvan de gebruiker zich niet bewust was
- dat zal die gebruiker dus ook niet missen. En mochten
mensen toch overstappen naar luie ISPs, dan zullen daar
ongetwijfeld consequenties van komen: nu al worden met enige
regelmaat hele blokken IPs geblokkeerd vanwege de overlast
die ze veroorzaken.

Toch, gegeven dat ik tegen verkeersinspectie door ISPs ben,
ben ik er natuurlijk helemaal tegen dat dit verplicht zou
worden door de overheid.


En tot op zekere hoogte mag een provider best naar traffic
"kijken" (dat doen ze allemaal toch al voor statistieken
e.d.), waarbij ik met kijken doel op apparatuur en software,
niet mensen. Zodra grenzen worden overschreden (bijv. grote
aantallen typische DoS pakketjes en/of pakketjes met spoofed
source adressen, of meer dan 1000 emails per uur vanaf een
gewone ADSL aansluiting - waar geen ontheffing voor is
aangevraagd bijv. omdat men een server draait) moet m.i. de
ISP tenminste bij de klant navragen hoe dat zit.

Statistieken verzamelen is heel iets anders dan het
inspecteren van de content van alle pakketjes. Ten eerste
hoef je voor het verzamelen van statistieken niet de hele
inhoud van een pakketje te inspecteren. Ten tweede hoef je
pakketjes niet te correleren met de afzender, m.a.w. het kan
anoniem. Het hangt er natuurlijk vanaf wat voor statistieken
het precies zijn. Het verzamelen van statistieken waarbij
wel wordt gekeken naar de inhoud van pakketjes, gecorreleerd
met afzender, is een serieuze inbreuk op de privacy, en je
moet je dus afvragen wat daar de voor- en nadelen van zijn.
Datzelfde geldt of de verzamelde gegevens nou wel of niet
worden gebruikt voor het filteren van ongewenst verkeer.

Voor wat betreft het argument van apparatuur vs. mensen:
Bruce Schneier, een vooraanstaande
computerbeveiligingsexpert, ziet het precies andersom van
hoe jij het ziet: gericht verdachten bespioneren ok,
algemene bespieding van iedereen niet ok.


Komt daar geen snel antwoord op (laksheid, vakantie etc.),
dan gewoon de stekker er uit. Je bent immers een derde tot
last die zich niet kan verdedigen!

Dus toch actie ondernemen tegen de misbruiker. Ik denk dat
we het daar in elk geval over eens zijn. Maar die derde kan
zichzelf natuurlijk wel degelijk verdedigen. Dat gebeurt nu
ook al: firewalls, virusscanners, en juridische procedures
tegen crackers. Mijn vraag is dan ook: wat win je erbij als
je de ISP verplicht stelt om verkeer te filteren, en wat
verlies je erbij?

Volgens mij is wat je erbij wint dat de dingen die nu ook al
gefilterd kunnen worden wat eerder gefilterd worden (voordat
ze het netwerk van de ISP verlaten, i.p.v. als ze bij hun
doel zijn aangekomen), en dat je DDoS attacks tegengaat (die
kun je wel bij de ISPs filteren, maar niet bij het doel,
want als ze daar zijn is de schade al aangericht).

De nadelen zijn, onder andere, het verlies van privacy voor
_alle_ gebruikers, pakketjes die worden weggefilterd hoewel
ze wel gewenst waren, en hogere kosten voor de ISP (die
ongetwijfeld zullen worden doorberekend aan alle
gebruikers). Dit raakt niet alleen de gebruikers wiens
computers de problemen veroorzaken, maar ook de gebruikers
die hun zaken wel op orde hebben.

Zoals ik het zie is verplicht filteren door de ISPs gewoon
niet de goede oplossing. En om op het originele onderwerp
terug te komen: ISPs zijn _nu_ niet verplicht tot filteren,
ik vind ook niet dat ze dat moeten doen, en dus vind ik het
een slechte zaak dat Mikko Hyppönen zo boos op ze wordt
omdat ze het niet doen.

Waar ik me overigens wel in kan vinden is dat ISPs zo'n
filtersysteem als extra (evt. betaalde) dienst aanbieden aan
abonnees. Op die manier kunnen mensen die zelf geen energie
willen steken in het afdoende beveiligen van hun systemen de
ISP dat voor ze laten doen. Degenen die het zelf kunnen en
regelen kunnen dan gewoon met rust gelaten worden. Op die
manier heb je wel de voordelen, maar niet de nadelen.
28-05-2006, 17:13 door Bitwiper
Dank voor een pittige discussie! Wat niet wil zeggen dat we
het eens zijn...

inglorion op zondag 28 mei 2006 12:47:
> Je zou bijvoorbeeld, zoals Dabien zei, gebruikers kunnen
> informeren over het feit dat hun computer problemen
> veroorzaakt en ze afsluiten of een boete opleggen als
> het probleem niet wordt verholpen.

Wie moet dat doen, de ISP neem ik aan? Zo ja, dan wijk je
(m.i. terecht) af van je eerdere standpunt van 27 mei 2006
15:12: "Ik denk ook niet dat het een zaak van de ISPs is om
er wat aan te doen" en "In elk geval zit ik er niet op te
wachten dat ISPs al mijn dataverkeer gaat inspecteren en dat dan
vervolgens gaat blokkeren of zelfs mijn verbinding afsluiten".

En zo ja, op welke gronden; klachten van derden (die onjuist
of vervalst kunnen zijn) of op basis van (c.q. ondersteund
door) feiten die ze zelf waanemen, d.w.z. traffic analyse?
Waarbij het overigens niet over inspectie van pakket
inhoud maar uitsluitend om de zogenaamde
"verkeersgegevens" zou kunnen gaan (velden uit de IP header
en aantallen pakketten). Het verzamelen van dergelijke
gegevens hoeft niet bijzonder CPU-intensief te zijn.

> Zoals ik het zie is het versturen van spam en virussen,
> inbreken, etc. (schadelijk dataverkeer) gewoon een
> crimineel feit.

Klopt. Alleen gebeurt het op zo'n grote schaal dat het
absoluut onrealistisch is te denken dat justitie daar per
geval iets aan gaat doen (hetgeen je verderop in je bijdrage
onderkent).

> Om uit te vinden wie daar de dader van is is het zeker
> niet ondenkbaar om justitie in te schakelen en uit te
> vinden wie er achter een IP-adres zit.

Dat zijn twee verschillende zaken. De eigenaar van het
IP-adres van een zombie PC is nooit de dader, en ook al zou
je zijn medewerking krijgen en zijn PC onderzoeken, dan komt
de beste speurneus er nog zelden achter wie de echte dader
is. En als hij daar al achterkomt, blijkt die dader
vaak vanuit een ander, niet zelden "rechteloos", land te
opereren. Kortom, dit is voor justitie niet alleen een
tijverslindendene opgave, het is ook nog eens zinloos omdat
je er zelden daders mee pakt. Daarom gebeurt dit niet en
gaat het ook niet gebeuren. Dus blijft de ISP als enige over
die wat aan het zombie probleem kan doen.

> In elk geval kun je dan als slachtoffer de ISP inlichten,
> en ik denk dat je dan ook de redelijke verwachting kan
> hebben dat de ISP iets tegen het probleem zal doen

Daar zijn te veel problemen mee. Bijv. in het geval van een
DDoS attack zou je duizenden mails moeten versturen,
mits de afzender IP adressen betrouwbaar zijn. Veel
providers doen nauwelijks iets met klachten, of veel te laat
(ik heb meegemaakt dat Chello helemaal niet of meer dan 2
weken na een klacht reageerde; heeft lekker veel zin als een
account op je server met virussen wordt bestookt). Verder
zakt deze "service" bij virus-uitbraken compleet in elkaar
doordat ze onderbemand zijn. In zo'n periode wordt er ook
niet meer op andere klachten dan dat virus gereageerd, en
niet zelden bouncen "abuse" accounts met "mailbox full".
Vaak zijn klachten die ISP's ontvangen onvoldoende voorzien
van accurate informatie, of ronduit fout ("ik hem spam
gekregen From: [email]iemand@example.com[/email]" of een "slimmer" iemand
die denkt dat de spam verzonden is vanaf het IP-adres in de
onderste header regel). Ten slotte kun je als ISP om andere
redenen niet elke klacht vertrouwen; bijv. sommige IRC'ers
en sommige gamers zien het als sport om elkaar "uit de
lucht" te halen, op welke manier dan ook. Wat we feitelijk
missen is een gereguleerd klachtensysteem (maar dat is een
ander onderwerp).

Gezien de stroom onjuiste klachten en het feit dat de
hele abuse afdeling geen winstgevende afdeling is van een
ISP (in tegendeel) vind je alleen redelijk werkende abuse
afdelingen bij ISP's die een naam hebben hoog te houden. En
het zou mij niet verbazen als juist bij die ISP's de
minste zombies te vinden zijn.

> Bruce Schneier, een vooraanstaande
> computerbeveiligingsexpert, ziet het precies andersom
> van hoe jij het ziet: gericht verdachten bespioneren
> ok, algemene bespieding van iedereen niet ok.

Ik zie het helemaal niet anders dan Bruce Schneier.
Ook ik ben, net als bijv. Rop Gonggrijp, tegen de vergaande
inbreuk op de privacy die de overheid invoert (zoals je in
eerdere discussies op deze site kunt lezen). Ik heb het dan
ook expliciet gehad over technische inspectie, NIET
door mensen. IDS-achtige systemen dus, die pas alarm slaan
als een verdenking bestaat.

> Dus toch actie ondernemen tegen de misbruiker. Ik denk
> dat we het daar in elk geval over eens zijn.

Zeker! Maar hoe strookt dat met jouw eerdere opmerking voor
die gevallen waar een juridische procedure te omslachtig is:

> Je kunt je afvragen of het dan überhaupt nodig is
> om stappen te ondernemen.

en:

> Maar die derde kan zichzelf natuurlijk wel degelijk
> verdedigen

Dat kan juist vaak niet. Bijvoorbeeld als jouw site met een
DDoS attack uit de lucht wordt geschoten of als er spam
wordt verzonden met jouw naam (of fake accounts van een
bestaande mailserver die jij beheert) in het return-path
(met soms enorme aantallen bounces als gevolg).

Het probleem hier is dat iedereen roept dat "iemand"
onbenullige gebruikers zou moeten voorlichten en ze op de
vingers zou moeten tikken indien hun gedrag derden schade
berokkent, zonder helder te maken wie dat moet doen, wie dat
moet betalen, en hoe het wangedrag moet worden gedetecteerd.
En zolang diezelfde mensen zelf niets in willen
leveren, en bij het minste geringste naar woorden als
"privacy" grijpen (iets dat m.i. helemaal niet in het geding
hoeft te zijn), gaat er gewoon niets verbeteren.
28-05-2006, 17:45 door egeltje
Door Dabien
Ik meende dat er een Nederlandse provider was, die gevonden
bots in hun netwerk afsluit van het "echte" internet en
alleen nog toegang geeft tot het "interne" netwerk, waarop
ze de benodigde tools kunnen downloaden om hun PC weer
schoon te maken. Ik weet alleen zo snel even niet meer welke
dat was.

In ieder geval XS4ALL. Ik ben nu al twee keer bij de buren geweest om het
weer recht te zetten. :-)
28-05-2006, 22:18 door inglorion
Door Erik van Straten
Dank voor een pittige discussie! Wat niet wil zeggen dat we
het eens zijn...

:-) Graag gedaan, ik heb er ook lol in. Behalve dat het
forum naar mijn smaak wat te primitief is...


> Je zou bijvoorbeeld, zoals Dabien zei, gebruikers kunnen
> informeren over het feit dat hun computer problemen
> veroorzaakt en ze afsluiten of een boete opleggen als
> het probleem niet wordt verholpen.

Wie moet dat doen, de ISP neem ik aan? Zo ja, dan wijk je
(m.i. terecht) af van je eerdere standpunt van 27 mei 2006
15:12: "Ik denk ook niet dat het een zaak van de ISPs is om
er wat aan te doen" en "In elk geval zit ik er niet op te
wachten dat ISPs al mijn dataverkeer gaat inspecteren en dat dan
vervolgens gaat blokkeren of zelfs mijn verbinding afsluiten".

Nee, ik blijf vooralsnog bij mijn standpunten: (1) het is
niet de schuld van ISPs dat gebruikers ongewenste
activiteiten ontplooien, en (2) ik heb liever niet dat de
ISP al mijn verkeer gaat inspecteren om zo ongewenst verkeer
te filteren.

Als het ondernemen van stappen tegen overlast veroorzakende
gebruikers via de ISP loopt is dat een andere kwestie.
Daarmee leg je de schuld niet bij de ISP neer, en geef je de
ISP ook geen bevoegdheden of verplichtingen om het verkeer
te inspecteren.

Dat wil dus niet zeggen dat er helemaal geen taak voor de
ISP is: ik vind dat ze medewerking moeten verlenen als dat
vereist is (bijv. om te achterhalen welke van hun gebruikers
een bepaald IP-adres heeft of had), maar het gaat een stuk
minder ver dan de ISPs verantwoordelijk houden voor het
wangedrag van hun gebruikers (zoals meneer Finse naam doet),
of willen voorschrijven dat ISPs dataverkeer filteren.


En zo ja, op welke gronden; klachten van derden (die onjuist
of vervalst kunnen zijn) of op basis van (c.q. ondersteund
door) feiten die ze zelf waanemen, d.w.z. traffic analyse?

Klachten van derden, dus. Als je last van een gebruiker hebt
onderneem je stappen tegen die gebruiker. Als daar de hulp
van de ISP bij nodig is (wat zeker niet altijd het geval
is), betrek je de ISP erbij. Inderdaad, die klachten kunnen
onjuist of vervalst zijn, maar daar kom je in principe
vanzelf achter: er kijken immers mensen naar de zaak.


Waarbij het overigens niet over inspectie van pakket
inhoud maar uitsluitend om de zogenaamde
"verkeersgegevens" zou kunnen gaan (velden uit de IP header
en aantallen pakketten). Het verzamelen van dergelijke
gegevens hoeft niet bijzonder CPU-intensief te zijn.

Dat klopt. Maar je kunt daar niet alles mee detecteren.
Uiteindelijk is het meestal (behalve bij sommige DoS
attacks) de inhoud die bepaalt dat een pakketje ongewenst
is. Natuurlijk kun je ook zonder naar de inhoud van
pakketjes te kijken al verdachte patronen herkennen. Of ik
daar voor of tegen ben, daar zou ik nog eens even goed over
na moeten denken. Ik denk ook tegen, want de problemen zijn
hetzelfde, alleen in andere mate: (1) je legt de
verantwoordelijkheid voor hinder bij de ISP, (2) je maakt
inbreuk op de privacy van gebruikers, (3) je vangt er niet
alles mee, en (4) je zult af en toe dingen onterecht
tegenhouden.


> Zoals ik het zie is het versturen van spam en virussen,
> inbreken, etc. (schadelijk dataverkeer) gewoon een
> crimineel feit.

Klopt. Alleen gebeurt het op zo'n grote schaal dat het
absoluut onrealistisch is te denken dat justitie daar per
geval iets aan gaat doen (hetgeen je verderop in je bijdrage
onderkent).

Dat is waar. Aan de andere kant hoeft dat ook niet: als je
maar een beperkt aantal gevallen aanpakt, zal dat toch
anderen ook aan het denken zetten. Je vangt ook niet alle
snelheidsovertreders of alle gebruikers van illegaal
verkregen software.

Daarnaast vind ik dat je je moet afvragen of, als het het
niet waard is om justitie erbij te betrekken, of het het dan
wel waard is om iedereen te gaan bespioneren. En: als het
erbij betrekken van justitie teveel moeite kost, maar het
probleem moet wel aangepakt worden, dan moeten we kijken
naar manieren om dat aanpakken makkelijker te maken. De ISP
verantwoordelijk stellen is één voorstel, wat zijn de andere
mogelijkheden?


> Om uit te vinden wie daar de dader van is is het zeker
> niet ondenkbaar om justitie in te schakelen en uit te
> vinden wie er achter een IP-adres zit.

Dat zijn twee verschillende zaken. De eigenaar van het
IP-adres van een zombie PC is nooit de dader, en ook al zou
je zijn medewerking krijgen en zijn PC onderzoeken, dan komt
de beste speurneus er nog zelden achter wie de echte dader
is. En als hij daar al achterkomt, blijkt die dader
vaak vanuit een ander, niet zelden "rechteloos", land te
opereren. Kortom, dit is voor justitie niet alleen een
tijverslindendene opgave, het is ook nog eens zinloos omdat
je er zelden daders mee pakt. Daarom gebeurt dit niet en
gaat het ook niet gebeuren. Dus blijft de ISP als enige over
die wat aan het zombie probleem kan doen.

Hoewel ik het met je argumenten eens ben, verwerp ik toch de
conclusie. De ISP is niet de enige die wat aan het probleem
kan doen, de gebruikers zijn er ook nog. Ik vind het
redelijk dat je van een gebruiker verwacht dat die zijn PC
fatsoenlijk onderhoudt, zodat deze geen overlast
veroorzaakt. Net zoals je van een automobilist verwacht dat
die zijn auto onderhoudt, zodat hij niet onnodig iedereen in
gevaar brengt als hij de weg op gaat. Je mag het best
uitbesteden, maar het is wel jouw verantwoordelijkheid. Het
niet de schuld van de eigenaar van de weg als er een ongeluk
gebeurt vanwege een falende auto, en ik vind het net zo min
de schuld van de ISP als er ongelukken gebeuren wegens
slecht onderhouden PCs (behalve natuurlijk als de ISP
verantwoordelijk is voor het onderhoud ervan, zoals bij hun
eigen PCs).


> In elk geval kun je dan als slachtoffer de ISP inlichten,
> en ik denk dat je dan ook de redelijke verwachting kan
> hebben dat de ISP iets tegen het probleem zal doen

Daar zijn te veel problemen mee. Bijv. in het geval van een
DDoS attack zou je duizenden mails moeten versturen,
mits de afzender IP adressen betrouwbaar zijn.

Ja. DDoS is inderdaad een probleem, als je niet kunt
vaststellen waar de pakketjes echt vandaan komen.


Veel providers doen nauwelijks iets met klachten, of veel te
laat

En daar zou je ze zeker op kunnen aanspreken. En stappen
ondernemen als ze niet luisteren (juridisch of technisch).
En dat kun je natuurlijk altijd: als jij verkeer van een ISP
wil blokkeren, of een procedure tegen die ISP wil starten,
houd ik je niet tegen. Ik ben het misschien niet eens met je
motivatie, maar zolang ik geen betrokken partij ben is dat
geen reden om me ermee te gaan bemoeien.


> Bruce Schneier, een vooraanstaande
> computerbeveiligingsexpert, ziet het precies andersom
> van hoe jij het ziet: gericht verdachten bespioneren
> ok, algemene bespieding van iedereen niet ok.

Ik zie het helemaal niet anders dan Bruce Schneier.
Ook ik ben, net als bijv. Rop Gonggrijp, tegen de vergaande
inbreuk op de privacy die de overheid invoert (zoals je in
eerdere discussies op deze site kunt lezen). Ik heb het dan
ook expliciet gehad over technische inspectie, NIET
door mensen. IDS-achtige systemen dus, die pas alarm slaan
als een verdenking bestaat.

Is dat ook de mening van Bruce Schneier? Want dan heb ik het
verkeerd begrepen. Ik dacht juist dat Bruce altijd heel erg
tegen algemeen en automatisch (dus niet gericht) bespioneren
van iedereen was. Maar ik heb nog niet zoveel van 'm
gelezen, dus het kan best zijn dat ik ernaast zit.


> Dus toch actie ondernemen tegen de misbruiker. Ik denk
> dat we het daar in elk geval over eens zijn.

Zeker! Maar hoe strookt dat met jouw eerdere opmerking voor
die gevallen waar een juridische procedure te omslachtig is:

> Je kunt je afvragen of het dan überhaupt nodig is
> om stappen te ondernemen.

Nou, precies wat ik zei (en eerder in deze post ook): als
het teveel moeite kost is het het misschien gewoon niet
waard. En anders zijn er nog andere alternatieven behalve
algemene inspecties, waarvan ik vind dat we daar eerst naar
zouden moeten kijken.


> Maar die derde kan zichzelf natuurlijk wel degelijk
> verdedigen

Dat kan juist vaak niet. Bijvoorbeeld als jouw site met een
DDoS attack uit de lucht wordt geschoten of als er spam
wordt verzonden met jouw naam (of fake accounts van een
bestaande mailserver die jij beheert) in het return-path
(met soms enorme aantallen bounces als gevolg).

Tegen DDoS attacks kun je je inderdaad niet verdedigen.
Tegen identity theft bestaan wel middelen; op z'n minst kun
je ontkennen dat iets van jou afkomstig is, en als je het
beter wil doen kun je digitale ondertekening gebruiken en
duidelijk maken dat alles wat niet door jou digitaal is
ondertekent ook niet van jou afkomstig is. In elk geval is
het probleem met identity theft niet dat ISPs het verkeer
van gebruikers niet filteren, maar dat de gebruikte
protocollen gewoon niet goed zijn.


Het probleem hier is dat iedereen roept dat "iemand"
onbenullige gebruikers zou moeten voorlichten en ze op de
vingers zou moeten tikken indien hun gedrag derden schade
berokkent, zonder helder te maken wie dat moet doen, wie dat
moet betalen, en hoe het wangedrag moet worden gedetecteerd.

Op zich was dat niet mijn oorspronkelijke punt: mijn punt
was dat ik het slecht vond om ISPs verantwoordelijk te
stellen voor wat hun gebruikers wel of niet doen.

Ik stel wel een alternatief voor, want ik vind het niet
prettig om te gaan roepen dat X fout is, zonder te zeggen
wat je er dan voor in de plaats wil.

Voor wat betreft de vragen die je stelde:

- Degene die het detecteert is degene die er last van
heeft, als altijd

- Degene die het moet betalen is de gebruiker die z'n PC
onverantwoordelijk gebruikt. Als ze de beveiliging niet zelf
willen doen, laat ze dan de beveiliging uitbesteden, een
verzekering afsluiten tegen de boetes, zoiets.

Wie de stappen onderneemt en hoe dat precies in z'n werk
gaat heb ik nog niet heel diep over nagedacht; ik denk ook
niet dat dat me heel veel uitmaakt.


En zolang diezelfde mensen zelf niets in willen
leveren, en bij het minste geringste naar woorden als
"privacy" grijpen (iets dat m.i. helemaal niet in het geding
hoeft te zijn), gaat er gewoon niets verbeteren.

De privacy is gewoon in het geding. Als je de ISP
verantwoordelijk stelt voor ongewenst verkeer, _moet_ de ISP
het verkeer van de gebruikers inspecteren. Of dat een
probleem is is een ander verhaal. En dit is niet "het minste
geringste", je hebt het hier over het inspecteren van al het
internetverkeer van alle gebruikers (zelfs als, zoals je
zegt, je niet naar de inhoud van de pakketjes kijkt).

Het is ook niet zo dat ik niets in wil leveren, maar ik wil
wel eerst weten waarom dat nodig is en of ik er genoeg voor
terugkrijg. Op dit moment is dat gewoon niet het geval: ik
heb erg weinig last van ongewenst verkeer, en ik zie dus
niet in waarom ik m'n privacy zou inleveren, in de hoop dat
het dan verbetert (wat nog maar de vraag is, want als _mijn_
ISP mijn verkeer filtert verlies ik wel privacy, maar zonder
dat ook het verkeer van alle andere mensen wordt gefilterd
zal ik nog steeds ongewenst verkeer binnenkrijgen).

Daarnaast heb ik het principiële bezwaar dat het gewoon niet
de verantwoordelijkheid van de ISP is wat gebruikers met hun
computer doen, en dat je dus de ISP daar niet voor
verantwoordelijk moet stellen.

Als je daarentegen de kosten die het gebruik van onveilige
software met zich meebrengt bij de gebruikers neerlegt,
zullen die gebruikers meer geneigd zijn hun beveiliging op
orde te krijgen, en daar wordt uiteindelijk iedereen beter van.
28-05-2006, 23:50 door Bitwiper
Wij gaan het niet eens worden vrees ik, en ik moet nog iets anders afmaken, dus een (verhoudingsgewijs :) korte reactie:

inglorion op zondag 28 mei 2006 22:18:
> Tegen identity theft bestaan wel middelen; op z'n
> minst kun je ontkennen dat iets van jou afkomstig is,
> en als je het beter wil doen kun je digitale
> ondertekening gebruiken en duidelijk maken dat
> alles wat niet door jou digitaal is ondertekent ook
> niet van jou afkomstig is.

Je begrijpt of kent het probleem niet. Open een willekeurige spam en kijk naar de eerste regel van de full headers. Ik doe dat ook en zie bijvoorbeeld:

From snaith.romyhvm.gmail.com Sun May 28 17:07:56 2006

(Die eerste regel in mbox formaat, kan ook met "Return-Path:" beginnen) waarbij ik de @ in het midden door een punt heb vervangen om het probleem voor die user niet te vergroten. Als ik ietsje verder kijk zie ik:

Received: from FAMILY (c-24-99-54-90.hsd1.ga.comcast.net [24.99.54.90]) by [mijn ISP bla bla]; Sun, 28 May 2006 17:07:52 +0200 (CEST)

Even checken: http://cbl.abuseat.org/lookup.cgi?ip=24.99.54.90&.submit=Lookup:
IP Address 24.99.54.90 was found in the CBL.
It was detected at 2006-05-24 12:00 GMT (+/- 30 minutes).

Die mail is niet verzonden via GMail, maar direct vanaf een Comcast zombie PC die al 4 dagen staat te spammen.

Hoewel je het niet zou zeggen is dit toch een probleem voor GMail, en als de user "snaith.romyhvm" bestaat, dan helemaal voor hem. Waarom? Omdat de meeste grote providers (waaronder Yahoo bijv.) alle email eerst accepteren, en als deze om de een of andere reden niet kan worden afgeleverd, "terugsturen". Naar GMail dus. En een feit is dat spammer databases gigantisch vervuild zijn met niet werkende adressen. Dat kan ze echter niets schelen zolang een deel van de mail maar aankomt, en zombies hebben ze zat.

Nu heb ik niet zo'n medelijden met GMail, maar wel met kleine bedrijven waarvan de mailserver zo bergen bounces te verwerken krijgt (ik heb dat zelf ondervonden met een klein servertje, 4 bounces per seconde is heel veel per dag). En je kunt er NIETS aan doen. Het is alsof je in het brandpunt van een holle spiegel zit die gevormd wordt door grote providers, en die wil je natuurlijk niet blokkeren (kun je net zo goed zelf je mailserver uitzetten).

Heel af en toe haalt dit probleem de publiciteit, zie bijv. (Duitstalig) http://www.heise.de/security/news/meldung/73106. Volgens dat artikel van 15 mei j.l. meldt de aanbieder van e-mail gateways IronPort in een rapport dat de schade door dit soort bounces in 2006 op meer dan 4 miljard Euro wordt geschat; het rapport zelf (van 24 april) heeft het over 5 miljard dollar: http://www.ironport.com/company/ironport_pr_2006-04-24.html. Laat dat een commercieel verhaal zijn en flink overdreven, dan is het toch nog altijd een flinke schadepost als gevolg van spam die we met z'n allen moeten ophoesten (de een meer dan de ander).

En ook bij de ouderwetse "Joe-job" heb je niets aan digitale handtekeningen. Je mailbox zit gewoon permanent vol en het is onmogelijk om legitieme mails er tussen uit te halen. Er zit niets anders op dan van email adres te wisselen. Erg lastig als dat een algemeen adres is als info@bedrijf.

> ik heb erg weinig last van ongewenst verkeer

Ik hoop voor je dat dat zo blijft. Feit is dat de meeste mensen zo denken tot ze zelf met een probleem worden geconfronteerd (ik realiseerde me dit ook niet tot het me overkwam). Tenzij ze via sites als deze kennis vergaren natuurlijk, dan bestaat de kans dat ze op basis van nieuwe informatie hun mening een beetje bijstellen...

[edits: aanvulling "Return-Path" en url gefixed]
29-05-2006, 10:20 door Anoniem
Vreemde reacties op deze site.

Als u lastig word gevallen per telefoon, of iemand beld uit via u telefoon lijn,
dan is de KPN niet verantwoordelijk, tenzij u aannemelijk kan maken dat
KPN u gegevens heeft verstrekt of indien het uitgaande bel verkeer niet via
uw infrastructuur gaat.

De verantwoorlijkheid van je ISP houd op bij het IP adres + dns server +
benodige route waarover u kunt surfen.
Wat er over het IP adres gebeurd is geen zaak van de ISP, ook niet indien
er strafbare feiten worden gepleegd. Het in de gaten houden van IP
adressen zonder een gerechtelijkbevel is een inbruik op de privacy
namelijk.

Iedereen is verantwoordelijk voor haar eigen PC.

Je kan immers ook niet van je woningbouwvereniging verwachten dat ze
verantwoordelijkgehouden kunnen worden indien er een inbreker in je
huurhuis bevind.

Verder zullen ISP's alleen actie ondernemen indien er dusdanig veel
transit verkeer word gegeneerd dat de verbinding hen meer kost als dat ze
middels abonnement binnen halen, vandaar ook dat vrijwel elke ISP een
Fair Use Policy hebben. Deze FUP is de stok achter de deur om mensen
die veel traffic genereren (door P2P of door een geinstalleerde bot/trojan)
te kunnen weren van het netwerk.

Mensen die niet gepaste maatregelen hebben genomen moeten gewoon
een boete krijgen wegens nalatigheid.
Als iemand zijn auto niet goed afsluit kan hij een boete krijgen voor
nalatigheid/uitlokking.

Iemand die geen recente virusscanner op zijn pc heeft kan nalatigheid
worden verweten.

Alle onveiligheid die inherent is aan internet en computergebruik
afwentelen op ISP's zal er alleen maar voor zorgen dat ISP's hun prijzen
moeten vermogen en kleinere ISP's zullen verdwijnen omdat ze niet aan
alle wettelijke en maatschappelijke eisen kunnen voldoen.

Mensen moeten stoppen met het internet beschouwen als eerste
levensbehoefte, de eisen die men aan het internet stellen staan tot geen
enkele verhouding tot de eisen die men stelt aan gas/water/licht/post en
wegen infrastructuur, terwijl die vrijwel allemaal onze gezondheid kunnen
schaden.
29-05-2006, 12:07 door Anoniem
De woningbouwvereniging is verantwoordelijk voor de veiligheid in en
rondom de woning.

De beheerder van het stadion is verantwoordelijk voor toegangscontrole en
scheiding van de vakken.

De festival organisator is verantwoordelijk voor een EHBO en moet een
hinderwet vergunning hebben.

De wegbeheerder is verantwoordelijk voor goede belijning, een goed
wegdek en verlichting.

Het zwembad is verantwoordelijk voor het zwemwater, de glijbaan, stroeve
vloeren en toezicht.

etc. etc..

De ISP zou vergelijkbaar (maatschappelijk) verantwoordelijk moeten zijn.
30-05-2006, 17:01 door spatieman
/sarcasme aan
Mijn ISP heeft botnets, ze doen er niets aan.
ik wordt aangevallen, nu weiger ik te betalen, tot dat zij
iets wel er aan doen.
haalbaar?? ¿¿ denk ik niet.
want als klant hebben ze je snel afgesloten./

/sarcasme uit
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.