Internetproviders zitten volgens de Internet Engineering Task Force (IETF) in een unieke positie om het botnet probleem aan te pakken, maar het bereiken van besmette abonnees is lastiger dan het lijkt. De IETF publiceerde onlangs aanbevelingen die ISPs kunnen volgen voor het vinden en verwijderen van bots. Providers zien zowel de activiteit van bots en zijn in staat slachtoffers te waarschuwen. Dit kan de omvang van criminaliteit op het internet verminderen. Zodra internetgebruikers weten dat ze geïnfecteerd zijn, kunnen ze zelf stappen ondernemen om de infectie te verwijderen.
Het detecteren van kwaadaardig verkeer dat van bots afkomstig is, zou op een manier moeten gebeuren die de privacy van de abonnee respecteert. Er zou dus geen persoonlijk identificeerbare informatie verzameld mogen worden. Gebeurt dat toch, dan moet de provider die informatie goed beschermen. Daarnaast mag de provider tijdens de bot detectie ook geen legitiem verkeer blokkeren. Het hele proces moet dan ook transparant voor internetgebruikers en end-user applicaties zijn, aldus het IETF. Die laat verder weten dat veel tools om bots te detecteren nog in de kinderschoenen staan.
Waarschuwing
Zodra er bots binnen het netwerk van de ISP zijn aangetroffen, moet het betrokken klanten gaan waarschuwen en dat is geen eenvoudige opgave. Bij het kiezen van het juiste communicatiemiddel is belangrijk dat cybercriminelen de berichten niet kunnen vervalsen om zo aanvullende malware te installeren. Providers kunnen besmette abonnees e-mailen, maar dan is het de vraag of de abonnee het bericht op tijd ziet, of het e-mailadres van de persoon in kwestie bekend is en kunnen aanvallers zich als de ISP voordoen.
Een andere optie die het IETF noemt is het bellen van abonnees. Dit brengt echter hoge kosten met zich mee en zelfs als de ISP de abonnee weet te bereiken, is het zeer waarschijnlijk dat die de technische kennis mist om het probleem te begrijpen. Ook het waarschuwen per post is een kostbare en trage aangelegenheid. Dat geldt niet voor de "Walled garden" aanpak, waarbij de abonnee in een gecontroleerde omgeving wordt geplaatst. Zodoende kan de Command & Control server niet meer met de bot praten. Toch kent ook de Walled garden verschillende problemen, zoals wanneer laat de ISP de gebruiker eruit.
Andere mogelijke oplossingen zijn het waarschuwen via Instant Messaging en SMS, maar in deze gevallen moet de vereiste informatie bij de provider bekend zijn. De beste optie volgens het IETF is het inlichten van abonnees via hun browser. Het voordeel ten opzichte van de Walled garden is dat deze optie het verkeer en gebruik door de gebruiker niet ontregelt.
Formatteren
Geïnformeerde abonnees moeten vervolgens naar een pagina worden doorverwezen met advies, maar de enige optie om zeker te zijn dat de bot weg is, is het formatteren van het systeem, zo stelt het IETF. Het verwijderen van bots zal dan ook veel gebruikers boven de pet gaan. Zeker door de komst van BIOS-malware, waardoor zelfs het formatteren van de harde schijf niet meer voldoende is.
Deze posting is gelocked. Reageren is niet meer mogelijk.