image

"Provider moet botnet-slachtoffers waarschuwen"

donderdag 11 november 2010, 12:37 door Redactie, 7 reacties

Niet politie of commerciele beveiligingsbedrijven, maar internetproviders moeten botnet-slachtoffers waarschuwen. Dat zegt Rik Ferguson van Trend Micro in een interview me Security.nl. De Brit heeft met verbazing gekeken naar het oprollen van het Bredolab-botnet en het waarschuwen van de besmette gebruikers. Zo kun je je afvragen of het uploaden van de software die gebrnuikers waarschuwde wel ethisch is. "Een van de mbelangrijkere vragen is, is het legaal?" Ferguson is niet bekend met de Nederlandse wetgeving, maar weet dat het zeker in Engeland strafbaar is. "Ongeacht of het ethisch of fout is."

Hij denkt dat ook in Nederland ongeautoriseerde toegang tot of gebruik van andermans computer niet is toegestaan. Het uploaden van de software is volgens Ferguson vanuit een ethisch perspectief eenvoudig te verantwoorden. "Feit blijft dat het niet is toegestaan." Juist politiediensten zouden zich aan de wet moeten houden.

Een ander vraagstuk is, misschien theoretisch, hoe goed de geüploade software getest is, zowel qua werking als beveiligingslekken. In theorie zou men daardoor nieuwe lekken op het systeem kunnen introduceren, net als met de Greendam software in China.

De virusbestrijder merkt op dat de anti-virus en beveiligingsindustrie al jaren met dezelfde vraagstukken worstelt. Ferguson denkt niet dat het aan anti-virus of commerciële bedrijven is om als digitale politieagent op te treden. "Aan het eind van de dag willen we allemaal dingen verkopen." Daardoor bestaat altijd de verdenking dat de beveiligingsbedrijven er een dubbele agenda op nahouden. Waar de Brit wel voorstander van is, is dat providers klanten proactief gaan waarschuwen als ze vermoeden dat een pc geïnfecteerd is. "Ze hoeven dan niets op de computer aan te passen." De provider kan zien als abonnees met bekende c&c servers verbinding maken. Het grote voordeel is dat providers over de contactgegevens van de klant beschikken. "Ze kunnen je bellen, een e-mail of sms sturen ."

Daarbij hoeft de provider niet de privacy van de abonnees te schenden. "Je kunt naar headers kijken zonder de payload te bekijken. Het is heel eenvoudig om te zien wie er met wie praat, zonder de inhoud van het gesprek af te luisteren. Zolang er niet naar content wordt gekeken is het goed." Deze aanpak, die zowel in de VS, Duitsland als bij Nederlandse providers wordt toegepast, is een effectievere en meer ethische aanpak, merkt Ferguson op. "Mensen die zich zorgen over het bekijken van verkeer maken, moeten zich beseffen dat als iemand al remote control over de computer heeft, dit een veel groter privacyprobleem is dan iemand die kijkt welke websites je bezoekt."

Ferguson vraagt zich af, net als veel andere beveiligers, waarom de Bredolab botnetbeheerder 143 servers bij hostingprovider onderbracht Leaseweb. De provider houdt zich niet bezig met bulletproof hosting, zoals die bij veel schimmige providers wordt aangeboden. Het onderbrengen van 143 servers in die omgeving is dan ook opmerkelijk. De Britse virusbestrijder zou dan ook graag van de Armeense verdachte willen weten waarom hij het heeft gedaan.

Bredolab was een zeer actief downloadplatform, waarbij Trend Micro dagelijks 200 tot 500 unieke exemplaren ontdekte. In september stopt die activiteit, en ging het nog maar om vier nieuwe exemplaren en daarna verdween de malware. Op de dag van de ontmanteling werd echter een andere C&C server in Rusland ontdekt. "En waar er een is, zijn er meer." Toch is het de vraag of deze c&c server ook onderdeel uitmaakte van het botnet dat de Armenier bestuurde. Volgens sommige experts zijn er meer Bredolab botnets, elk met hun eigen c&C servers. De Russische C&C server zou dan ook niet de door Nederland uitgeschakelde bots kunnen besturen. Ferguson denkt niet dat Bredolab als een downloadplatform dood is en denkt dat er meer mensen achter zitten dan alleen de aangehouden Armenier.

Ook voor Ferguson is het onduidelijk hoe groot het botnet werkelijk was. 30 miljoen besmette machines in een periode van 10 maanden zou kunnen, maar op het zelfde moment is zo goed als onmogelijk. Daarnaast is het ook zeer lastig om het aantal besmette machines te tellen. IP-adressen zijn bijvoorbeeld geen goede graadmeter. Een machine kan een nieuw IP krijgen en zo dubbel worden geteld, of bij bedrijven kunnen meerdere besmette machines staan, maar is er een IP-adres.

"30 miljoen zou al een ongekend groot botnet zijn. Ik was al sceptisch over Mariposa met 13 miljoen." Bredolab was volgens Ferguson wel een succesvol botnet en werd apart door de virusbestrijder gemonitord. Naast P2P, dat al lange tijd wordt toegepast, verwacht de Brit ook dat botnetbeheerders sociale netwerken zullen gebruiken voor het aansturen van de bots. Denk aan Twitter, Facebook en Google Groups. Het grote voordeel is dat het uitgaande netwerkverkeer niet meer opvalt, terwijl dat vroeger met IRC wel het geval was. Het is vrij normaal dat bepaalde profielen meerdere keren per dag worden bezocht. "Bot tactieken zijn altijd aan het veranderen."

Terughacken
Wat betreft het terughacken door beveiligingsbedrijven Vindt Ferguson dat de primaire taak van beveiligingsbedrijven het verzamelen van bewijs is. Daarbij kan best de wet worden aangepast als de burger dit wil, maar tot die tijd moeten ook opsporingsdiensten zich aan de wet houden. Daarbij is het belangrijk dat de onderliggende basis op orde is. Zo is het cybercrimeverdrag uit 2001 door niet alle Europese landen getekend en door nog minder geratificeerd. "We moeten een juridisch raamwerk hebben." Zodoende weten beveiligingsbedrijven wat voor wetgeving ze in een land kunnen verwachten en op wat voor manier ze met bewijs en andere zaken moeten omgaan.

Een van de adviezen die op de pagina van het NHTCC te vinden was, was het opnieuw installeren van de computer. Veel bedrijven en beveiligers hanteren de regel dat als een machine is besmet, die gewiped en opnieuw geïnstalleerd moet worden. Ferguson merkt op dat als een virusscanner de malware specifiek detecteert, die alle sporen zou moeten kunnen verwijderen. Gaat het om een generieke detectie, dan is het maar de vraag op de schoonmaak succesvol zal zijn. Zelf zou Ferguson zijn machines opnieuw installeren na een infectie, maar dat is voor de meeste eindgebruikers niet haalbaar.

Beveiligingsbedrijven zijn volgens Ferguson druk bezig met het aanpakken van nieuwe botnets. Niet alleen omdat het goede PR is, maar ook goede security. "Als je een botnet uitschakelt help je een groot aantal mensen."

Reacties (7)
11-11-2010, 14:51 door N4ppy
Hoe gaat de provider dat doen dan?
Remote pc's scannen?
Deep packet inspection (ga ervan uit dat botnets "gewone" protocollen gebruiken zoals http dus aan poort scan heb je ook niets)

Het eerste mag niet, het tweede zouden o.a. brien en pr0ncops graag (mis)gebruiken en gaat kruiwagens met geld kosten.
11-11-2010, 16:27 door SirDice
Door N4ppy: Hoe gaat de provider dat doen dan?
Als politie/justitie (of een commercieel bedrijf) de controle heeft over een botnet is het een koud kunstje om even te kijken wie er allemaal geinfecteerd is. Men kan dan de provider waarschuwen die op haar beurt haar klanten informeert.
11-11-2010, 18:42 door Anoniem
Door N4ppy: Hoe gaat de provider dat doen dan?
Remote pc's scannen?
Deep packet inspection (ga ervan uit dat botnets "gewone" protocollen gebruiken zoals http dus aan poort scan heb je ook niets)

Het eerste mag niet, het tweede zouden o.a. brien en pr0ncops graag (mis)gebruiken en gaat kruiwagens met geld kosten.
Simpel, gewoon kijken welke clients connectie proberen te maken met het IP dat bij een bekende C&C server hoort. Hopenlijk worden de agenten die deze wetten hebben overtreden vervolgd en/of uitgelevered.
11-11-2010, 19:54 door spatieman
opgerolt ?
van eigenaar verwisselt..
11-11-2010, 20:59 door Anoniem
Door SirDice:
Door N4ppy: Hoe gaat de provider dat doen dan?
Als politie/justitie (of een commercieel bedrijf) de controle heeft over een botnet is het een koud kunstje om even te kijken wie er allemaal geinfecteerd is. Men kan dan de provider waarschuwen die op haar beurt haar klanten informeert.
Je kijkt naar een lijst van known servers, welke van je klanten hier naartoe connect.

Geeft de klant een telefonische waarschuwing om dit binnen 4 uur op te lossen. En anders zet je deze klant vervolgens in een vlan waar ze alleen bij updatesites en anti-virus websites kunnen komen.

Issue solved.
15-11-2010, 15:50 door Anoniem
... ja hoor, en wie gaat dat betalen? Dat is toch het hele verhaal. ISPs hebben daar helemaal geen zin in. Kost ze klauwen met geld. Er moet eerst een business model voor komen anders gaat niemand helemaal niks doen. Of wet- en regelgeving.
16-11-2010, 15:18 door Anoniem
Door spatieman: opgerolt ?
van eigenaar verwisselt..

*opgerold
*verwisseld
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.