Nieuws

Providers krijgen richtlijn voor bestrijding botnets

vrijdag 7 augustus 2009, 13:24 door Redactie, 4 reacties

Een Amerikaanse werkgroep heeft richtlijnen gepubliceerd om internetproviders te helpen met het opruimen van geïnfecteerde computers in hun netwerk. De Messaging Anti-Abuse Working Group (MAAWG) is gericht op de bestrijding van spam en hanteert hierbij naar eigen zeggen een holistische aanpak, aangezien spam niet alleen een e-mailprobleem is. In de richtlijnen van de MAAWG wordt een driestappenplan besproken voor het detecteren van bots, waarschuwen van abonnees en hen helpen met het verwijderen van de malware.

"Bots zijn een wereldwijd probleem en deze richtlijnen zijn een belangrijke stap in het onderwijzen van de industrie over de juiste processen om abonnees te helpen. Wij delen de ervaringen van onze leden zodat ook andere providers agressiever dit probleem kunnen aanpakken", zegt MAAWG voorzitter Michael O'Reirdan. "Als industrie worden we steeds pro-actiever in het waarschuwen van klanten als bots op hun computer zijn gevonden en het helpen bij het verwijderen van de malware voordat het hen schade berokkent."

Afsluiten
Providers zouden verschillende tools kunnen gebruiken om te bepalen of de computer van een abonnee geïnfecteerd is, zonder hierbij zijn of haar privacy te schenden. Het gaat dan om zaken als DNS, verzamelen van IP-verkeer van bekende Command & Control (C&C) servers en het scannen van IP's om kwetsbare computers te identificeren. Besmette gebruikers kunnen vervolgens op allerlei manieren ingelicht worden, zoals e-mail, telefoon en zelfs per papieren brief. Een effectieve methode om klanten zover te krijgen dat ze hun PC ook controleren, is de 'walled garden' aanpak.

Een abonnee kan dan alleen nog bepaalde websites bereiken en is in feite van het web afgesloten, waardoor het geen nieuwe instructies van het botnet kan ontvangen. "Dit is een effectieve techniek, omdat het alle communicatie tussen de bot en C&C kanaal kan blokkeren. De gebruiker zal zeker de waarschuwing lezen en actie ondernemen om het probleem op te lossen." Technisch is deze aanpak lastig te implementeren. Wat het schoonmaken betreft, moeten providers een 'security portal' hebben waarin klanten wordt uitgelegd hoe ze hun computer kunnen ontsmetten.

Onderzoeker bekritiseert SSL-test Networking4all

XML-lekken in talloze applicaties

Reacties (4)

07-08-2009, 15:54 door spatieman

u hebt veel upstream op een onbekende poort, doeg!

tja, dan zou dus ook geen webcam met stream meer mogen draaien :)

07-08-2009, 16:28 door KoekeBakker

Webcam? Wat denk je van mijn download/upload server :(

Nee, maar er staat wel handige informatie in de paper. Tevens ook links!

08-08-2009, 10:44 door WhizzMan

Er zijn in Nederland providers die je keihard in een walled garden zetten waar nog geen kweekgras in wil groeien. Als je vervolgens belt om te vragen waarom ze dat gedaan hebben en wat ze geconstateerd hebben (alleen tijdens kantoortijd, terwijl het afsluiten wel 24/7 doorgaat) krijg je te horen dat ze je dat niet mogen vertellen om privacy-redenen. Hoezo privacy-redenen, vraag je je dan af? Het blijkt dat het zou kunnen zijn dat er een andere persoon of instantie geklaagd heeft en dat daarom de afsluiting gedaan zou kunnen zijn. Om te voorkomen dat die persoon of instantie bekend zou kunnen worden, krijg je gewoon niet te horen wat de reden van afsluiting is geweest. Dat je zulke informatie geanonimiseerd zou kunnen doorgeven, is niet iets waar de provider in kwestie op in wenst te gaan. Dat 99,9% van de afsluitingen aldaar gepleegd worden omdat er een detectiesysteem getriggered wordt en er bijna geen enkele klacht van externe partijen tot afsluiten leid, wordt al helemaal niet meegenomen in het verhaal. Als je dus voor een klant met problemen moet gaan uitzoeken wat er gaande is, kan je eerst 2 uur in de wacht hangen en vervolgens alle 20 computers die via NAT aan de DSL hangen ondersteboven keren tot je uiteindelijk een gehackte account vindt waar een hackertje mee geprobeert heeft om een rootkit te installeren.

Hulp/bewaking is een goed ding, maar mensen of bedrijven van het internet plonken omdat ze iets doen wat je niet thuis kan brengen of wat je niet bevalt, gaat mij echt te ver. Zeker als je dan ook nog eens niet wilt verklappen waarom je het hebt gedaan, diskwalificeer je je bij mij als serieus bedrijf.

09-08-2009, 01:16 door Anoniem

Door WhizzMan: R A N T

Daar zal toch wel een e-mail, of twee aan vooraf gegaan zijn ?!

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer