Minister: botnets blokkeren geen schending netneutraliteit
Het blokkeren van verkeer naar command en conrol-servers (C&C-servers) waarmee botnets besmette computers aansturen is een effectieve optie om dit soort platformen te bestrijden en is ook nog eens wettelijk toegestaan, aldus Minister Opstelten van Veiligheid en Justitie. Die reageerde op vragen van PvdA-Kamerleden Oosenbrug en Recourt over het Pobelka-botnet.
Volgens Opstelten is het blokkeren van botnetverkeer niet in strijd met de netneutraliteit die internetproviders moeten naleven. Netneutraliteit bepaalt dat providers bepaalde soorten internetverkeer niet met voorrang dan wel met vertraging mogen behandelen. Nederland is het eerste Europese land dat netneutraliteit in de wet heeft vastgelegd.
Uitzondering
De minister wijst naar uitzonderingsbepalingen die voor netneutraliteit gelden. Deze bepalingen hebben betrekking op het blokkeren van verkeer dat de veiligheid of integriteit van het netwerk of het randapparaat van de eindgebruiker aantast.
Het kan dan gaan om bijvoorbeeld verkeer dat afkomstig is van computers die onderdeel uitmaken van een botnet, dan wel ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.
Waarschuwing
Wat betreft het Pobelka-botnet, waarbij zo'n 150.000 computers deel van uitmaakten, kan de minister nog niet zeggen of bedrijven verplicht zijn hun klanten in te lichten dat hun gegevens mogelijk zijn gestolen. Het onderzoek naar de getroffen bedrijven loopt namelijk nog.
"Daarmee is ook nog niet te zeggen onder welk juridisch regime de getroffen bedrijven opereren en of zij op grond daarvan verplicht zijn hun klanten in te lichten."
Wat ivo nu weer wil mag dan niet in strijd zijn met de netneutraliteitswet, of het wenselijk is gaat nog maar helemaal de vraag zijn. En bijvoorbeeld afhangen van hoe precies ze denken dit soort blokkades op te werpen. Maargoed, hij & z'n uiterst competente maatje fred zullen zich niet door mineure details laten afhouden van stevig doorstomen, dat wisten we al.
http://www.rijksoverheid.nl/nieuws/2012/10/24/internetproviders-strijden-tegen-computervirussen.html
Er zijn verschillende manieren waarop een minister wat kan zeggen m.b.t. tot een wet. De eerste is in de wet zelf. Dat staat dan vast. De tweede mogelijkheid is als toelichting bij een wet. Rechters volgen die toelichting in 99% van de gevallen. Een andere manier is als AMvB. Dat moet dan wel in de wet zijn geregeld. Dat is hier niet het geval, dus deze optie vervalt. Daarnaast staat het als minister vrij om nadere toelichting te geven over de wet. Hiermee staat hij niet zo sterk als bij een toelichting die gegeven wordt op het moment dat de wet wordt gepubliceerd, maar het geeft wel een richtlijn aan de gest van de wet.
Er geldt een zorgplicht voor internetproviders. Dat zou kunnen betekenen dat een provider, als hij op de hoogte is van een besmetting, zijn klant hierover hoort in te lichten. Dit heeft verder niets met Pobelka te maken. Het punt met Pobelka is dat er meer bekend is dan alleen "dat IP adres was op dat tijdstip waarschijnlijk besmet". Bij Pobelka is veel illegaal verkregen materiaal "beschikbaar". Als provider dit materiaal verwerken om de gebruikers in kennis te stellen, is hoogstwaarschijnlijk illegaal.
Peter
https://en.wikipedia.org/wiki/Fast_flux
ook kunnen deze C&C's op gehackte servers gezet worden waardoor deze bedrijven die gehackt zijn ook blocked worden.
Ik ben zelf nu aan het kijken hoe die false positives en function creep voorkomen kan worden. Blacklists bevatten namelijk domeinen en IP adressen van sites die eventueel ook legitiem verkeer kunnen trekken. Daarnaast maken de meeste lijsten geen onderscheid tussen malware en adware. Het is voor hen allemaal even slecht.
Peter
Dat de deelnemers daarvan het slachtoffer worden (in de vorm van het kwijtraken van hun internet access)
daar kan ik niet zo mee zitten. Dan moeten ze maar zorgen dat ze niet in een botnet komen.
Dus laat men zich niet beperken tot C&C servers maar vooral ook de deelnemers in de aanpak betrekken.
Die function creep is inherent in dit willen doen, want BREIN heeft toch succesvol censuur ingevoerd. In het VK is er een (niet erg lekker werkende) kinderpornolijst van een "Internet Watch Foundation" die al aangegrepen is om ook andere dingen te filteren, door politici die even daarvoor nog vol beloofden nooit meer dan alleen kinderporno te willen filteren. En het bouwt op DNSBL technologie die weer uit de anti-spamhoek komt. Valt me nog mee dat je doorhebt dat zulke zwarte lijsten niet bruikbaar zijn voor andere zaken dan waar ze voor bedoeld zijn, dat heeft ook lang niet iedereen door.
Als je die argumenten niets vindt dan is er nog het argument dat de overheid zelf herhaaldelijk heeft laten zien onbetrouwbaar te zijn qua function creep, meer nog dan dat politieke beloftes vrijwel altijd loze beloftes blijken te zijn. En dat gaat heel ver, met alle belangrijke en een groot aantal minder belangrijke systemen binnen de overheid. Bijvoorbeeld hoe het SoFinummer echt waar alleen voor geldzaken was, maar nu toch tot een BSN opgerekt is. Met politiek goedvinden.
Dit levert heel direct bewijs voor onbetrouwbaarheid en gebrek aan integriteit. Doe het genoeg en je laat zien echt nooit meer met enigerlei informatie te vertrouwen te zijn, maakt niet uit welke. Dat punt is wat mij betreft al een tijdje geleden bereikt.
En die false positives zijn ook al niet uit te roeien. Een mooi voorbeeldje is hoe veel, zoniet alle, tor exit nodes als IP adressen van botnets te boek staan. Je moet er dus vanuitgaan dat de lijst imperfect is en dat'ie uiteindelijk voor meer dan waar'ie voor bedoeld was zal gaan dienen.
Beide factoren gaan nevenschade opleveren. Stug door blijven gaan met geloven dat het wel kan is je kop in het zand steken.
De enige manier waarop dit acceptabel zou zijn is op dezelfde manier waarop je spamfiltering hoort te doen, of hoe telcos je beschermen tegen 0900-dialers en meer van zulks: Met een opt-out voor jou klant. Of liever, een opt-in.
Het is dan ook niet iets wat door de overheid gerund zou moeten worden. Doen ze dat wel, belangenverstrengeling en controleverlies voor de burger.
Niet indien je beschikt over de IP's van de C&C servers, die in een botnet gebruikt worden. Bij een fastflux botnet zijn de gebruikte IP adressen ook bekend. Zie bijvoorbeeld https://zeustracker.abuse.ch/monitor.php?host=loongtaxitraid.pl
Overigens zal je bij het down halen van C&C servers vaak zien dat vervolgens de DNS records worden aangepast zodat er gebruik gemaakt kan worden van alternatieve vaak gecompromitteerde systemen. Om dat aan te pakken kan je de domain register weer inschakelen om het domein zelf te blokkeren zodat IP adressen niet meer aangepast kunnen worden.
Grappig trouwens hoe negatief er gereageerd wordt op het voorkomen van cybercriminaliteit door het blokkeren van verkeer naar de computers van de cybercriminelen. Willen mensen graag slachtoffer worden van bijvoorbeeld Zeus, SpyEye en Citadel botnetten, die gebruikt worden voor bankfraude, en voor het stelen van allerlij info van je PC ?
De voorgestelde akties t.b.v. het bestrijden van botnetten lijken mij een stap in de goede richting...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
