image

ISP waarschuwt botnet abonnees via browser

vrijdag 9 oktober 2009, 10:53 door Redactie, 10 reacties

De grootste Amerikaanse internetprovider gaat abonnees die onderdeel van een botnet uitmaken via browser popups waarschuwen. Het “Constant Guard” programma van Comcast zou het resultaat van jarenlang werk zijn en moet gebruikers tegen bots, virussen en andere online dreigingen beschermen. In eerste instantie gaat het nog om een proef, waarbij abonnees via de browser worden gewaarschuwd. Vervolgens krijgt men de gelegenheid om naar het "Anti-Virus Center" te gaan en verschillende instructies te volgen om de malware van het systeem te verwijderen. Om er zeker van te zijn dat de waarschuwing van Comcast afkomstig is, krijgt men ook een e-mail op het comcast.net adres, zoals de provider hier uitlegt.

Waarschuwing
Het Constant Guard programma bestaat uit drie onderdelen. Een team dat abonnees proactief voor bots, malware en andere beveiligingsproblemen waarschuwt, een verzameling programma's om malware te verwijderen en het netwerk schoon te houden en een website met tips, waarschuwingen en uitleg om gebruikers te onderwijzen. Om te bepalen of een machine besmet is, kijkt men naar verschillende zaken, bijvoorbeeld de hoeveelheid verkeer die een machine plotseling doet.

"Als we computers op ons netwerk zien die bekende botnet activiteiten vertonen, zoals het versturen van duizenden spamberichten, dan verschijnt er een waarschuwing", zegt Jay Opperman, hoofd beveiliging en privacy bij Comcast. De provider grijpt ook in als één van de IP-adressen op een blacklist verschijnt. In totaal heeft de ISP 15,3 miljoen klanten. Een aantal jaren geleden was het nog de grootste spambron op het internet.

Reacties (10)
09-10-2009, 11:02 door Anoniem
Misschien nog niet zo'n slecht idee. Mits men natuurlijk niet naar de inhoud van pakketjes kijkt, maar alleen naar die oppervlakkige kenmerken, die genoeg vertellen. Overigens is het goed dat er ook een mailtje wordt verzonden. Pop-ups zouden nl. standaard moeten worden geblokt
09-10-2009, 12:02 door Skizmo
moet je tegenwoordig al abonnee worden van een botnet ?
09-10-2009, 14:11 door Preddie
Door Skizmo: moet je tegenwoordig al abonnee worden van een botnet ?

lol ....


Ze zouden wel aan pakketinspectie of manipulatie moeten doen lijkt mij.

Je zou in mijn ogen de datastream moeten manipuleren om een pop-up naar voren te laten komen ....
09-10-2009, 14:45 door H.King
hahaha elke gebruiker denk....damn weer zo'n kut popup en klikt hem gelijk weg. :P En het email wordt aangezien voor spam.
09-10-2009, 15:53 door MrBil
Handig om te weten voor de phishers -:)
09-10-2009, 16:44 door Anoniem
Door H.King: hahaha elke gebruiker denk....damn weer zo'n kut popup en klikt hem gelijk weg. :P En het email wordt aangezien voor spam.

Wie zegt dat je die weg kunt klikken. Het lijkt wel een beetje op wat er op de Universiteit Twente is ontwikkeld en wat nu als Quarantainenet door het leven gaat. De provider merkt dat de PC besmet is en routeert al het verkeer van die PC/klant naar een website. En dan kan die klant vervolgens niets anders meer doen dan zijn machine opschonen, updaten e.d.

En nee, de provider doet niet aan deep-packet-inspection. Hij krijgt meldingen van externe partijen en/of ziet dat een klant spam aan het versturen is.

Peter
09-10-2009, 17:57 door spatieman
dat klinkt als rootkit praktijken van de ISP, die natuurlijk ook overheid spyware bevat.
10-10-2009, 00:11 door Anoniem
Door Skizmo: moet je tegenwoordig al abonnee worden van een botnet ?

Jazeker, er zijn tegenwoordig botnets die niet "oficieel" geregistreerde leden van valse infomatie voorzien zodat botnet analyses moeilijker worden...
10-10-2009, 12:14 door Anoniem
Door spatieman: dat klinkt als rootkit praktijken van de ISP, die natuurlijk ook overheid spyware bevat.
rootkit-praktijken? Gewoon een database met besmettingen en een transparante http-proxy en je bent klaar. Dit proces is bij providers zoals Demon en XS4ALL al jaren praktijk waarbij je in een apart netwerk wordt gezet vol automatisch en je de eerste keer uit kan komen door op een webpagina te zeggen dat het probleem is opgelost. Bij de tweede keer in een redelijke tijd moet je de helpdesk bellen om te bevestigen dat het probleem is opgelost.

Het heeft niks met spyware te maken of deep packet inspection. Mensen moeten eens stoppen met het kijken van series zoals NCIS ofzo. Maar veel mensen laten liever voor hun denken dan dat ze dat zelf doen.
10-10-2009, 12:48 door SavageTiger
Als dit geen Quarantainenet achtige constructie is, kan deze technologie erg goed misbruikt worden. Net als iframe injection krijg je dan Comcast popups (als het ip uit hun range vandaan komt bijvoorbeeld) op vertrouwde websites. En die zeggen dat je deze virus scanner moet installeren om de malware te verwijderen. FakeVirusScannerXPPro2000Plus_VistaEdition.exe bijvoorbeeld ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.