Nieuws

ZeelandNet vangt "bot" bij Microsoft

maandag 18 januari 2010, 10:16 door Redactie, 13 reacties

Internetprovider ZeelandNet weet na weken van aandringen nog steeds niet waarom het in een beveiligingsrapport van Microsoft de zwartepiet toebedeeld kreeg. In de zevende editie van het Security Intelligence Report bleek dat van alle websites die bij ZeelandNet waren ondergebracht, er 5,5% bezoekers met malware probeerden te besmetten. Daarmee bevindt de Zeeuwse provider zich tussen aanbieders uit Kazachstan, Rusland en Roemenië. "We hebben meteen actie ondernomen, want dit is gewoon echt niet fris", zegt Serge Maandag tegenover Security.nl. Als senior systeem- en netwerkspecialist bij ZeelandNet is hij deels voor de beveiliging verantwoordelijk.

Naar aanleiding van het bericht op Security.nl werd er direct contact met Microsoft gelegd. "Vanaf dat moment loopt de communicatie met Microsoft", vult Igor Quik aan, Senior Product Manager. "De vragen die we stellen zijn tot nu toe niet beantwoord." ZeelandNet herkent zich absoluut niet in het geschetste beeld van besmette provider. "Omdat we zo schrokken, hebben we direct allerlei scans uitgevoerd op de websites die we zelf en voor andere partijen hosten", zegt Maandag. Dat leverde niets op. Hij acht het mogelijk dat Microsoft de notering deels op oude informatie heeft gebaseerd. Het zou dan om een uitbraak van het Gumblar-virus gaan, maar die was niet dusdanig groot dat het een plaatsing op de lijst verantwoordde.

Gumblar-virus
Het afgelopen jaar was het Gumblar-virus en aanverwante malware verantwoordelijk voor veel van de legitieme websites die malware verspreidden, zegt Maandag. Het virus steelt FTP-wachtwoorden, logt vervolgens in op de website en voegt daar een exploit aan toe die bezoekers via een ongepatcht lek in Adobe Flash, Adobe Reader of ander programma probeert te infecteren. "Dat is voor veel ISPs best wel een flink probleem geweest", merkt de netwerkspecialist op. Ook ZeelandNet kwam de malware steeds vaker tegen, waaronder infecties bij enkele belangrijke websitebeheerders.

Als oplossing ontwikkelde de provider een systeem waarmee niet meer van over de hele wereld op het FTP-account van de gebruiker is in te loggen, maar alleen vanaf de PC van de websitebeheerder. De klant kan verder via een whitelist uitzonderingen maken. "Daarmee was het probleem ook meteen opgelost", aldus Maandag. Hij vertelt dat de provider regelmatig met Nessus scans op de eigen servers uitvoert. Daarnaast zit de ISP in een convenant met andere providers om botnets te bestrijden. De systeemspecialist verwacht dat dit ook naar alle andere vormen van abuse zal worden uitgebreid.

Onduidelijk
De maatregelen die ZeelandNet neemt wijken niet af van wat andere providers doen, toch was het de enige Nederlandse ISP die in het overzicht van Microsoft verscheen. Het rapport van de softwaregigant viel dan ook behoorlijk rauw op het dak van de internetaanbieder. Ondanks de ernst van de situatie weet de provider niet wat Microsoft precies gescand heeft, maar het zou om de hele IP-range kunnen gaan. "Dan zou de besmetting op drie plekken kunnen zitten", gaat Maandag verder. Hij doelt op de eigen hosting van ZeelandNet, de colocated hosting of websites bij klanten thuis. "Zolang we geen antwoord van Microsoft hebben, kunnen we daar geen antwoord op geven." Een scan op de eigen hosting wees uit dat het probleem hier niet zat.

Het contact werd eerst gelegd met het SIR-team, dat het beveiligingsrapport schreef. Dat liet weten dat het niet op detailvragen kon ingaan, omdat het daarvoor onvoldoende bemand was. De Zeeuwse provider vindt het typisch dat een bedrijf als Microsoft wel iets roept in een rapport, zonder dat naar de genoemde partijen toe te onderbouwen. Quik maakt duidelijk dat het de softwaregigant niet wil zwart maken. "Wij willen onze klanten zo goed als mogelijk helpen en zorgen dat er voor iedereen een schone omgeving is." Hij verklaart de vermelding door de omvang van ZeelandNet, dat niet zo'n grote provider is, waardoor het
aantal infecties relatief gezien mogelijk uit z'n verband is getrokken.

Ook Quik is nieuwsgierig naar hoe en wat Microsoft precies heeft gemeten. Maandag vermoedt niet dat Microsoft meetfouten maakt, maar dat het misschien is misgegaan bij de berekening ervan. "Als we weten wat het probleem is, kunnen we er een oplossing voor vinden. Maar als je niet weet waar het aan ligt, is het moeilijk om een oplossing toe te passen."

Inzage
Microsoft is inmiddels met de achtste editie van het rapport bezig en liet de provider al weten dat er weinig kans is dat ze de informatie nog krijgen. Iets waar Quik weinig waardering voor heeft. De provider zit nog te kijken hoe het de situatie verder zal aanpakken. Het heeft Microsoft al gevraagd dat het de nieuwste editie van tevoren wil inzien, maar de kans daarop is zeer klein. ZeelandNet zegt een goede klant van Microsoft te zijn die eerlijk wil worden behandeld. "Het is voor ons belangrijk dat we daar wel informatie krijgen." Met alleen een naamsvermelding in een lijstje kunnen we niet zoveel, merkt Quik op.

Juridische stappen
ZeelandNet wil de onderste steen boven krijgen en wacht daarbij niet alleen op Microsoft. Zo wordt het eigen meetproces onder handen genomen en is er contact met juridische zaken. "Die zijn al een goede maand opgeschaald." Toch verwacht Quik niet dat het tot juridische stappen komt. "We willen de informatie boven water krijgen en op het moment zouden juridische stappen hiervoor nog geen goed middel zijn, dat mogelijk eerder averechts werkt." Wel is er continu met juridische zaken contact om het beoogde doel te bereiken. De provider heeft voor zichzelf nog geen deadline gesteld. "Die gaan we vandaag of morgen wel stellen", aldus Quik. "Er komt een moment dat het klaar is en we het op een andere manier proberen." Maandag vindt dat Microsoft de informatie wel moet geven, aangezien ze niet zonder onderbouwing een partij kunnen beschuldigen.

Microsoft laat bij monde van Ruud de Jonge weten dat het al "druk bezig" met de volgende editie is. Volgens hem is er gescand op domeinnamen per provider en sprong ZeelandNet eruit. Het is in ieder geval niet de taak van Microsoft om genoemde partijen proactief te benaderen, zo gaat de Jonge verder. Hij acht het zeer onwaarschijnlijk dat ZeelandNet de gewenste specifieke informatie zal krijgen. "Ik denk niet dat we verder zullen komen." De volgende versie van het SIR staat voor maart gepland, maar als het aan de Zeeuwse provider ligt zal het in deze editie wel ontbreken.

Chinese hackers ook op mijn netwerk?

Wikileaks op zwart wegens geldtekort

Reacties (13)

18-01-2010, 10:27 door Anoniem

Het is in ieder geval niet de taak van Microsoft om genoemde partijen proactief te benaderen, zo gaat de Jonge verder. Hij acht het zeer onwaarschijnlijk dat ZeelandNet de gewenste specifieke informatie zal krijgen.

Nou, blijkbaar vind Microsoft het beter dat iedereen met malware besmet wordt... Eerder denk ik dat de ranking op oude en/of foute gegevens gebaseerd was, of gewoon niet zo precies is. En dat ze dit liever niet publiek maken om eventuele schadeclaims te voorkomen...

Het aantal keer dat ik Zeelandnet tegenkom bij onderzoek is ook nihil dus ik vond het al erg vreemd.

18-01-2010, 10:37 door Anoniem

Ik heb al een jaar last van ellende van een bepaald Zeelandnet adres.
heb het gemeld bij de abuse afdeling per email en inmiddels al 4 keer telefonisch.
het interesseert ze geen ene zeeuwsche ui daar bij zeelandnet.
heel terecht dus dat ze een oneervolle vermelding hebben gekregen

18-01-2010, 10:47 door [Account Verwijderd]

Het is in ieder geval niet de taak van Microsoft om genoemde partijen proactief te benaderen, zo gaat de Jonge verder.

Wat is dan het doel van het rapport? Gewoon gratis publiciteit door een paar providers zwart te maken?

18-01-2010, 11:31 door sjonniev

Huur Spong of Bram Moskovic in, dan krabbelen ze wel terug... Als het inderdaad flauwekul is.

18-01-2010, 11:40 door fd0

proef ik hier enige arrogantie van Microsoft?

18-01-2010, 12:10 door Anoniem

Leuk bij MS. mensen aan de schandpaal nagelen en vervolgens niet zeggen waarom. Maar goed het zelfde ge-ouwehoer heb je
bij hot/live-mail. Servers worden zomaar geblacklist (wij zijn isp) maar de redenen (headers oid) tonen ze niet eens.

18-01-2010, 12:48 door [Account Verwijderd]

[Verwijderd]

18-01-2010, 13:49 door cjkos

Dus wel wijzen, maar niet vertellen waarnaar je wijst. Een beetje slordig en misschien zelfs een stuk misleiding.

Misschien staan ze wel op de lijst omdat ze van iemand van Zeelandnet een vervelend mailtje kregen. Ze zeggen van niet, maar als je niet kunt aantonen hoe je aan de gegevens komt (log etc) kan je wel alles beweren.

18-01-2010, 14:09 door Anoniem

Zo typisch MS, ZeelandNet heeft vast nog een rekening niet betaald ofzo.

Zolang MS niet laat zien hoe ze de lijst samen stellen, gaat het rapport bij mij in het postvak FUD/rommel.

18-01-2010, 19:53 door Marti van Lin

Nee nou wordt ie mooi. Microsoft produceert een brak OS en een brakke browser, waardoor hun klanten het slachtoffer van mallware worden en nu wordt er met het vingertje naar een willekeurige ISP gewezen?

ZeelandNet kan het heel eenvoudig testen. Zet iemand achter een Linux of BSD computer en laat deze persoon naar de "geïnfecteerde" websites surfen.

Als uit deze sessie blijkt dat de gebruiker geen last heeft van de mallware, dan ligt het toch duidelijk aan Microsoft Windows. De enige die blaam treft in dat geval is Microsoft zelf.

18-01-2010, 23:14 door ceewee

Ik heb al sinds het begin al Zeelandnet kabel en kan me ook niet herkennen in die kritiek. Zeelandnet staat niet toe dat er dingen op haar netwerk worden uitgehaald en terecht. Bovendien heb ik goede contacten met de helpdesk, ook als ik bezig ben met computers van anderen met problemen die bij Zeelandnet zitten.

Ken wel andere providers met veel meer problemen, die ik dan juist aanraad naar Zeelandnet te gaan omdat ik hun beveiliging
goed vind.

12-09-2011, 12:50 door Anoniem

MicroSoft is zo'n beetje van de Amerikaanse overheid, ik vermoed dat je die richting uit moet zoeken, dus ook geen info.

21-10-2011, 21:31 door Anoniem

Leuk hoor Zeeland.net maar wij worden gespamd door een ip adres met 1000en yahoo.com en mailinator.com accounts met echte namen en adressen die staan geregistreerd bij..jawel Zeeland.net.

Wij hebben nu alle ip adressen van Zeeland.net moeten blokkeren op onze website en gaan dit verder onderzoeken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

32 reacties

Lees meer