XS4ALL: we bekijken geen internetverkeer
Naarmate providers klanten van meer informatie voorzien, neemt ook het aantal telefoontjes naar de helpdesk af in het geval een abonnee wegens malware in een 'Walled Garden' is geplaatst. "Een groot deel van de klanten die in deze situatie belanden kunnen het af zonder de helpdesk te bellen". zegt XS4ALL-woordvoerder Niels Huijbregts in een interview met Security.nl.
Hij merkt op dat malware een probleem is dat altijd helpdeskgesprekken met zich meebrengt en dan ook altijd geld zal kosten. XS4ALL werkt aan een systeem dat het aantal helpdeskgesprekken moet gaan verminderen doordat mensen in de Walled Garden automatisch worden geholpen.
De Walled Garden is een afgeschermd deel van het netwerk dat klanten naar een waarschuwingspagina leidt waarop staat dat ze besmet zijn, aangevuld met een verwijzing naar de mailbox waar aanvullende informatie en instructies wachten.
Lees ook het eerste en tweede deel van het interview
Door een scan in de Walled Garden in te bouwen zou dit niet alleen een hoop menselijk handelen moeten schelen, maar kan de ISP ook met grotere zekerheid zeggen of het probleem is opgelost. "Vroeger communiceerden veel Trojaanse paarden via IRC, dat kun je zien. Doordat het nu veel minder is geworden spelen waarschuwingen naar kwaadaardige IRC-server een kleinere rol in het detecteren."
Huijbregts benadrukt dat XS4ALL geen internetverkeer bekijkt, maar alleen naar bepaalde patronen in het verkeer kijkt. "We kijken zeker niet naar al het verkeer. Dat is iets wat we principieel niet willen en wat technisch niet realistisch is." Het nieuwe systeem waar XS4ALL aan werkt kijkt naar DNS-requests die vanaf IP-adressen in de Walled Garden naar de DNS-servers van de provider worden gestuurd.
Campagne
De afgelopen jaren is er veel aandacht aan internetveiligheid gegeven en hebben er verschillende campagnes plaatsgevonden. Toch raken mensen nog steeds besmet met malware, maar volgens Huijbregts is er niet één kernoorzaak van het probleem. "Eén categorie die al jaren voorkomt en nog steeds voor problemen zorgt is software uit illegale bron." Bijvoorbeeld een 'gratis' versie van een duur programma dat via een torrent of downloadsite wordt binnengehaald. "Als je dat soort dure pakketten downloadt weet je bijna zeker dat je daar helemaal gratis een systeembeheerder in Roemenië bij krijgt."
Huijbregts laat weten dat er vaak in dit soort programma's een backdoor zit verstopt. "Het is al jaren een reden waardoor mensen troep op hun systeem krijgen." Deze manier van besmetten wordt wel steeds minder. Een groter probleem zijn de drive-by dowloads. Infecties via verouderde software.
"Waar het vroeger meestal zo was dat mensen 'door hun eigen schuld' besmet raakten, bijvoorbeeld door 'gratis' software te downloaden of onbetrouwbare plugins te installeren, schuiven de malwareprogrammeurs steeds meer op naar professionele methodes, waardoor ze een veel groter publiek bereiken", stelt Huijbregts.
Verantwoordelijkheid
Volgens de woordvoerder is het meer de verantwoordelijkheid van de beheerder van zo'n website waar een drive-by download op staat dan van de gebruiker om te voorkomen dat het probleem optreedt. "Het kan iedereen overkomen, ook de mensen die goed opletten maar vergeten hun updates te installeren."
Toch zijn de campagnes om mensen voor te lichten zinvol, gaat Huijbregts verder. "Maar het is een wedloop. De malwaremakers vinden altijd wel weer een manier om er doorheen te glippen. Door de jaren heen heb je altijd een aantal pieken dat het op grote schaal misgaat. De campagnes leiden er toe dat mensen er meer verstand van hebben en begrijpen waarom het zo belangrijk is."
Dus ze kijken wel naar bepaald verkeer, terwijl ze strikt genomen een doorgeeffunctie hebben en niet naar de inhoud mogen kijken van wat ze doorgeven. De postbode mag ook niet naar je post kijken, ook al denken ze dat er misschien iets illegaals of gevaarlijks in zit. Ze moeten daar de politie bij halen en niet zelf pro-actief gaan zitten kijken. Wat hier omschreven wordt lijkt op DPI en de glijdende schaal die je daar mee krijgt zie ik persoonlijk niet zo zitten. Het is ontzettend vervelend als mensen zich laten besmetten, maar de verantwoordelijkheid hiervoor mag niet bij de internetproviders liggen en het aanpakken van dit soort problemen moet bij de eindgebruiker liggen en niet bij de ISP.
Als de ISP klachten krijgt over een bepaalde gebruiker, zou er naar mijn mening een hoor en wederhoor proces moeten worden opgestart. Pas als daar onenigheid en onduidelijkheid bij ontstaat, zou de ISP moeten kunnen beslissen of er naar het verkeer gekeken moet worden, of dat een gebruiker (gedeeltelijk) afgesloten moet worden. Wat nu gebeurt is dat de providers automatisch politieagentje gaan spelen en mensen op basis van meldingen van derden zonder wederhoor in een walled garden zetten. Dat er "erg weinig" fals positives in die meldingen zitten is wat mij betreft niet relevant. Wat ze nu doen is zichzelf een taak aanmeten die niet bij ze hoort en de weg vrij maakt voor ISPs en de overheid om steeds meer controle over het dataverkeer van hun klanten te krijgen.
Vreselijk he, dat ze kijken of je computer geinfecteerd is met een banking trojan, en je computer in quarantaine gooien om te voorkomen dat je bankrekening wordt leeggeplunderd. Wat kunnen sommige mensen toch goed azijn pissen.
"De postbode mag ook niet naar je post kijken, ook al denken ze dat er misschien iets illegaals of gevaarlijks in zit."
De postbode mag inderdaad je pakketje niet openmaken. Wel mag (moet) men pakketten in postsorteercentra scannen op gevaarlijke stoffen, zonder dat er naar de verdere inhoud van je pakketje gekeken wordt. Dit is net zo iets, maar dan op internet.
"Wat hier omschreven wordt lijkt op DPI en de glijdende schaal die je daar mee krijgt zie ik persoonlijk niet zo zitten."
Moeten providers volgens jou ook stoppen met het gebruik van DPI in Quality of Service t.b.v. het zorgen van kwalitatief goede Voice over IP gesprekken ? En snap je wel wat DPI inhoudt ? Als network engineer kan ik je verzekeren dat je er niet blij van zal worden indien DPI op geen enkele wijze meer gebruikt zou mogen worden.
"Wat ze nu doen is zichzelf een taak aanmeten die niet bij ze hoort en de weg vrij maakt voor ISPs en de overheid om steeds meer controle over het dataverkeer van hun klanten te krijgen."
Nee, ze zorgen voor meer veiligheid op internet en voorkomen dat je slachtoffer wordt van cybercriminelen, danwel dat criminelen jouw computer misbruiken om andere slachtoffers te maken. Verder boeit het de provider weinig wat jij doet zolang jij niet zorgt dat er klachten over jouw internet gebruik bij de abuse desk binnen komen.
Ik vind het terecht dat een systeem dat geïnfecteerd zo snel mogelijk in een walled garden geplaatst wordt; het alternatief is om dat systeem nog meer schade aan te laten richten (of spam te laten versturen.) Wel de opmerking dat een systeem uit de walled garden halen net zo snel moet gebeuren als het er in gegaan is.
Dus ze kijken wel naar bepaald verkeer, terwijl ze strikt genomen een doorgeeffunctie hebben en niet naar de inhoud mogen kijken van wat ze doorgeven. De postbode mag ook niet naar je post kijken, ook al denken ze dat er misschien iets illegaals of gevaarlijks in zit. Ze moeten daar de politie bij halen en niet zelf pro-actief gaan zitten kijken. Wat hier omschreven wordt lijkt op DPI en de glijdende schaal die je daar mee krijgt zie ik persoonlijk niet zo zitten. Het is ontzettend vervelend als mensen zich laten besmetten, maar de verantwoordelijkheid hiervoor mag niet bij de internetproviders liggen en het aanpakken van dit soort problemen moet bij de eindgebruiker liggen en niet bij de ISP.
Als de ISP klachten krijgt over een bepaalde gebruiker, zou er naar mijn mening een hoor en wederhoor proces moeten worden opgestart. Pas als daar onenigheid en onduidelijkheid bij ontstaat, zou de ISP moeten kunnen beslissen of er naar het verkeer gekeken moet worden, of dat een gebruiker (gedeeltelijk) afgesloten moet worden. Wat nu gebeurt is dat de providers automatisch politieagentje gaan spelen en mensen op basis van meldingen van derden zonder wederhoor in een walled garden zetten. Dat er "erg weinig" fals positives in die meldingen zitten is wat mij betreft niet relevant. Wat ze nu doen is zichzelf een taak aanmeten die niet bij ze hoort en de weg vrij maakt voor ISPs en de overheid om steeds meer controle over het dataverkeer van hun klanten te krijgen.
Wat de postbode, of het postbedrijf, mag en niet mag staat onder andere in de Postwet. Wat de postbode tegenhoudt om gesloten(!!) poststukken te openen is het zogenaamde briefgeheim. Niet gesloten poststukken mogen worden bekeken.
Het briefgeheim is leuk en het lijkt op telefoon- en telegraafgeheim. Maar voor internet gaat deze vlieger niet op. Hoewel je door normale privacy wetgeving wordt beschermd is er niet zo iets als een internetgeheim. Er zijn afspraken over wat websites met jouw gegevens mogen doen... Maar als het gaat om wat de provider wel of niet mag doen dan is het niet zo eenvoudig. Het is zeker de moeite waard om de Telecommunicatiewet eens door te lezen. Het is een geweldig uitgebreid ding...
Artikel 11.2a: 2.De aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst onthouden zich van het aftappen, afluisteren of anderszins onderscheppen of controleren van de communicatie via een openbaar elektronisch communicatienetwerk of openbare elektronische communicatiedienst en de daarmee verband houdende gegevens tenzij en voor zover:
a. de betrokken abonnee voor deze handelingen zijn uitdrukkelijke toestemming heeft gegeven;
b. deze handelingen noodzakelijk zijn om de integriteit en de veiligheid van de netwerken en diensten van de betrokken aanbieder te waarborgen;
c. deze handelingen noodzakelijk zijn voor het overbrengen van informatie via de netwerken en diensten van de betrokken aanbieder, of
d. deze handelingen noodzakelijk zijn ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.
Je ziet dus dat er best ruimte is voor providers om iets te doen met de communicatie.
Wat is nu je probleem man? Als je ervoor zorgt dat je alles netjes op orde hebt wordt je niet eens afgesloten.
Verders zou je ze dankbaar mogen zijn als dat wel het geval is, wat heb je liever? Dat je pc in een botnet gebruikt wordt, of dat je pc even in quarantaine wordt geplaatst zodat je het probleem kan oplossen?
En als het je dan alsnog niet bevalt ga je toch lekker bij een andere provider.
Mag de postbode ook niet naar de geadresseerde kijken (header) om te zien waar hij het pakketje moet afleveren?
Dan wordt het erg leeg in de straten en komt er nooit meer post aan!
Het bekijken van dataverkeer is complex, maar geen rocketscience. Als je goede regels betracht, en dit goed vastlegt dan mag je als bedrijf of organisatie best veel.
De tweede zin spreekt volgens mij de eerste al tegen.
1. We bekijken geen internetverkeer, toch best vreemd voor een ISP, het is toch hun werk om 't verkeer te bekijken en op de juiste plaats te brengen?
2. We kijken niet naar al het verkeer. Dus een deel wel, en een deel niet.
Natuurlijk is het logisch dat XS4ALL zegt het verkeer niet te bekijken, maar eerlijkgezegd geloof ik daar helemaal niks van.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
