image

Minister: botnets blokkeren geen schending netneutraliteit

vrijdag 10 mei 2013, 11:04 door Redactie, 11 reacties

Het blokkeren van verkeer naar command en conrol-servers (C&C-servers) waarmee botnets besmette computers aansturen is een effectieve optie om dit soort platformen te bestrijden en is ook nog eens wettelijk toegestaan, aldus Minister Opstelten van Veiligheid en Justitie. Die reageerde op vragen van PvdA-Kamerleden Oosenbrug en Recourt over het Pobelka-botnet.

Volgens Opstelten is het blokkeren van botnetverkeer niet in strijd met de netneutraliteit die internetproviders moeten naleven. Netneutraliteit bepaalt dat providers bepaalde soorten internetverkeer niet met voorrang dan wel met vertraging mogen behandelen. Nederland is het eerste Europese land dat netneutraliteit in de wet heeft vastgelegd.

Uitzondering
De minister wijst naar uitzonderingsbepalingen die voor netneutraliteit gelden. Deze bepalingen hebben betrekking op het blokkeren van verkeer dat de veiligheid of integriteit van het netwerk of het randapparaat van de eindgebruiker aantast.

Het kan dan gaan om bijvoorbeeld verkeer dat afkomstig is van computers die onderdeel uitmaken van een botnet, dan wel ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.

Waarschuwing
Wat betreft het Pobelka-botnet, waarbij zo'n 150.000 computers deel van uitmaakten, kan de minister nog niet zeggen of bedrijven verplicht zijn hun klanten in te lichten dat hun gegevens mogelijk zijn gestolen. Het onderzoek naar de getroffen bedrijven loopt namelijk nog.

"Daarmee is ook nog niet te zeggen onder welk juridisch regime de getroffen bedrijven opereren en of zij op grond daarvan verplicht zijn hun klanten in te lichten."

Reacties (11)
10-05-2013, 11:51 door [Account Verwijderd]
[Verwijderd]
10-05-2013, 11:54 door Anoniem
Ik herinner me toch een zekere grote softwarefabrikant die victorie kraaide in het neerhalen van een botnet... dat even later toch gewoon weer bleek te bestaan.

Wat ivo nu weer wil mag dan niet in strijd zijn met de netneutraliteitswet, of het wenselijk is gaat nog maar helemaal de vraag zijn. En bijvoorbeeld afhangen van hoe precies ze denken dit soort blokkades op te werpen. Maargoed, hij & z'n uiterst competente maatje fred zullen zich niet door mineure details laten afhouden van stevig doorstomen, dat wisten we al.
10-05-2013, 12:29 door Anoniem
Logisch dat hij dat zegt want ministerie Economische Zaken, Landbouw & Innovatie is daar al een hele tijd actief mee bezig.
http://www.rijksoverheid.nl/nieuws/2012/10/24/internetproviders-strijden-tegen-computervirussen.html
10-05-2013, 13:12 door mvh69
Tuurlijk ;)
10-05-2013, 13:15 door Anoniem
Door Windmolentje:
Minister: botnets blokkeren geen schending netneutraliteit
En wat een minister zegt is natuurlijk altijd waar..

Er zijn verschillende manieren waarop een minister wat kan zeggen m.b.t. tot een wet. De eerste is in de wet zelf. Dat staat dan vast. De tweede mogelijkheid is als toelichting bij een wet. Rechters volgen die toelichting in 99% van de gevallen. Een andere manier is als AMvB. Dat moet dan wel in de wet zijn geregeld. Dat is hier niet het geval, dus deze optie vervalt. Daarnaast staat het als minister vrij om nadere toelichting te geven over de wet. Hiermee staat hij niet zo sterk als bij een toelichting die gegeven wordt op het moment dat de wet wordt gepubliceerd, maar het geeft wel een richtlijn aan de gest van de wet.

Door de minister: Wat betreft het Pobelka-botnet, waarbij zo'n 150.000 computers deel van uitmaakten, kan de minister nog niet zeggen of bedrijven verplicht zijn hun klanten in te lichten dat hun gegevens mogelijk zijn gestolen. Het onderzoek naar de getroffen bedrijven loopt namelijk nog.

Er geldt een zorgplicht voor internetproviders. Dat zou kunnen betekenen dat een provider, als hij op de hoogte is van een besmetting, zijn klant hierover hoort in te lichten. Dit heeft verder niets met Pobelka te maken. Het punt met Pobelka is dat er meer bekend is dan alleen "dat IP adres was op dat tijdstip waarschijnlijk besmet". Bij Pobelka is veel illegaal verkregen materiaal "beschikbaar". Als provider dit materiaal verwerken om de gebruikers in kennis te stellen, is hoogstwaarschijnlijk illegaal.

Peter
10-05-2013, 13:29 door sjonniev
Bij wijze van uitzondering ben ik het deze keer met de minister eens. Ik ben alleen bang voor de gebruikelijke bijverschijnselen van dit soort overheidsacties, zoals false positives en function creep.
10-05-2013, 14:17 door Anoniem
bijv een C&C die fastflux gebruikt zou op deze manier onder de radar door gaan omdat deze een willekeurige bot kiest als C&C en as die geblokeerd word nou dan springen ze gewoon naar een andere.

https://en.wikipedia.org/wiki/Fast_flux

ook kunnen deze C&C's op gehackte servers gezet worden waardoor deze bedrijven die gehackt zijn ook blocked worden.
10-05-2013, 14:25 door Anoniem
Door sjonniev: Bij wijze van uitzondering ben ik het deze keer met de minister eens. Ik ben alleen bang voor de gebruikelijke bijverschijnselen van dit soort overheidsacties, zoals false positives en function creep.

Ik ben zelf nu aan het kijken hoe die false positives en function creep voorkomen kan worden. Blacklists bevatten namelijk domeinen en IP adressen van sites die eventueel ook legitiem verkeer kunnen trekken. Daarnaast maken de meeste lijsten geen onderscheid tussen malware en adware. Het is voor hen allemaal even slecht.

Peter
10-05-2013, 16:45 door Anoniem
Op zich vind ik het een goede zaak dat botnets hard worden aangepakt.
Dat de deelnemers daarvan het slachtoffer worden (in de vorm van het kwijtraken van hun internet access)
daar kan ik niet zo mee zitten. Dan moeten ze maar zorgen dat ze niet in een botnet komen.
Dus laat men zich niet beperken tot C&C servers maar vooral ook de deelnemers in de aanpak betrekken.
10-05-2013, 18:52 door Anoniem
Door een anonieme Peter: Ik ben zelf nu aan het kijken hoe die false positives en function creep voorkomen kan worden.
Kort antwoord? Niet.

Die function creep is inherent in dit willen doen, want BREIN heeft toch succesvol censuur ingevoerd. In het VK is er een (niet erg lekker werkende) kinderpornolijst van een "Internet Watch Foundation" die al aangegrepen is om ook andere dingen te filteren, door politici die even daarvoor nog vol beloofden nooit meer dan alleen kinderporno te willen filteren. En het bouwt op DNSBL technologie die weer uit de anti-spamhoek komt. Valt me nog mee dat je doorhebt dat zulke zwarte lijsten niet bruikbaar zijn voor andere zaken dan waar ze voor bedoeld zijn, dat heeft ook lang niet iedereen door.

Als je die argumenten niets vindt dan is er nog het argument dat de overheid zelf herhaaldelijk heeft laten zien onbetrouwbaar te zijn qua function creep, meer nog dan dat politieke beloftes vrijwel altijd loze beloftes blijken te zijn. En dat gaat heel ver, met alle belangrijke en een groot aantal minder belangrijke systemen binnen de overheid. Bijvoorbeeld hoe het SoFinummer echt waar alleen voor geldzaken was, maar nu toch tot een BSN opgerekt is. Met politiek goedvinden.

Dit levert heel direct bewijs voor onbetrouwbaarheid en gebrek aan integriteit. Doe het genoeg en je laat zien echt nooit meer met enigerlei informatie te vertrouwen te zijn, maakt niet uit welke. Dat punt is wat mij betreft al een tijdje geleden bereikt.

En die false positives zijn ook al niet uit te roeien. Een mooi voorbeeldje is hoe veel, zoniet alle, tor exit nodes als IP adressen van botnets te boek staan. Je moet er dus vanuitgaan dat de lijst imperfect is en dat'ie uiteindelijk voor meer dan waar'ie voor bedoeld was zal gaan dienen.

Beide factoren gaan nevenschade opleveren. Stug door blijven gaan met geloven dat het wel kan is je kop in het zand steken.

De enige manier waarop dit acceptabel zou zijn is op dezelfde manier waarop je spamfiltering hoort te doen, of hoe telcos je beschermen tegen 0900-dialers en meer van zulks: Met een opt-out voor jou klant. Of liever, een opt-in.

Het is dan ook niet iets wat door de overheid gerund zou moeten worden. Doen ze dat wel, belangenverstrengeling en controleverlies voor de burger.
12-05-2013, 23:48 door Anoniem
"bijv een C&C die fastflux gebruikt zou op deze manier onder de radar door gaan omdat deze een willekeurige bot kiest als C&C en as die geblokeerd word nou dan springen ze gewoon naar een andere"

Niet indien je beschikt over de IP's van de C&C servers, die in een botnet gebruikt worden. Bij een fastflux botnet zijn de gebruikte IP adressen ook bekend. Zie bijvoorbeeld https://zeustracker.abuse.ch/monitor.php?host=loongtaxitraid.pl

Overigens zal je bij het down halen van C&C servers vaak zien dat vervolgens de DNS records worden aangepast zodat er gebruik gemaakt kan worden van alternatieve vaak gecompromitteerde systemen. Om dat aan te pakken kan je de domain register weer inschakelen om het domein zelf te blokkeren zodat IP adressen niet meer aangepast kunnen worden.

Grappig trouwens hoe negatief er gereageerd wordt op het voorkomen van cybercriminaliteit door het blokkeren van verkeer naar de computers van de cybercriminelen. Willen mensen graag slachtoffer worden van bijvoorbeeld Zeus, SpyEye en Citadel botnetten, die gebruikt worden voor bankfraude, en voor het stelen van allerlij info van je PC ?

De voorgestelde akties t.b.v. het bestrijden van botnetten lijken mij een stap in de goede richting...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.