Russische provider negeert cybercrime-klachten van Cisco
Een Russische provider die klachten over cybercrime op het netwerk negeerde is door Cisco en OpenDNS op een zwarte lijst geplaatst. Cisco deed onlangs onderzoek naar het gebruik van de RIG-exploitkit. Deze exploitkit maakt gebruik van bekende lekken in Flash Player om pc's met malware te infecteren.
Via gehackte websites en besmette advertenties kunnen internetgebruikers zonder dat ze het doorhebben met de RIG-exploitkit in aanraking komen. De kwaadaardige code op de gehackte website of in de advertentie laadt vervolgens van een server een pagina met de RIG-exploitkit, die de gebruiker probeert te infecteren. Onderzoekers van Cisco zagen dat alle IP-adressen die de cybercriminelen voor deze operatie gebruikten bij de Russische provider Eurobyte waren ondergebracht. Cisco besloot zowel Eurobyte in te lichten als de partij die de IP-adressen aan Eurobyte leaste.
Deze partij, Webzilla, reageerde op de klachten van Cisco en blokkeerde de hosts die bij de activiteiten van de exploitkit waren betrokken. Eurobyte gaf geen enkele reactie, terwijl er wel allerlei nieuwe IP-adressen verschenen waarop de exploitkit werd gehost. Volgens Cisco zijn kleinere 'leaf providers' als Eurobyte tegenwoordig een groot probleem. De grotere providers reageren over het algemeen op klachten, maar door kleine providers die dit niet doen kunnen cybercriminelen hun gang blijven gaan. Daardoor konden de criminelen achter de RIG-exploitkit niet succesvol worden aangepakt, aldus Cisco.
Verder onderzoek naar Eurobyte wees uit dat het over verschillende IP-reeksen bezit die een slechte reputatie hebben. Aangezien het bedrijf niet op de klachten reageerde en gezien de slechte reputatie van de verschillende IP-reeksen hebben Cisco en OpenDNS besloten om verschillende netten van Eurobyte voor een periode van 30 dagen op een blacklist te zetten. Hierna zal worden bekeken of dit moet worden verlengd. De blacklist van Cisco wordt door verschillende producten en diensten van de netwerkgigant gebruikt.
Laat Cisco liever dat NSA tuig op een blacklist zetten.
@johanw: Helaas voor Cisco hebben ze tenminste de schijn tegen zich als het gaat om de NSA.
Laat Cisco liever dat NSA tuig op een blacklist zetten.
Het alternatief: niemand doet iets en bouwt alleen maar nog hogere, dikkere firewalls om zich achter te verschuilen. Dan verwordt het internet tot een ghetto waar alles vogelvrij is verklaard en alleen "de rijken" met het geld voor goede bescherming nog gebruik van kunnen maken. Da's vast niet wat men in de jaren '70 voor ogen had...
Heeft het noemen van een abuse mail adres bij een domein nog zin op het moment dat er toch niet naar geluisterd hoeft te worden? Was mailen naar zo'n abuse adres niet als water naar de zee dragen? Nu heeft Cisco een stok (stokje) gevonden in de vorm van OpenDNS en nou hebben we ineens een probleem? Ik denk dat problemen sneller opgelost worden als niet alleen OpenDNS maar ook die cowboys van Spamhaus mee zouden doen...
Heeft het noemen van een abuse mail adres bij een domein nog zin op het moment dat er toch niet naar geluisterd hoeft te worden? Was mailen naar zo'n abuse adres niet als water naar de zee dragen? Nu heeft Cisco een stok (stokje) gevonden in de vorm van OpenDNS en nou hebben we ineens een probleem? Ik denk dat problemen sneller opgelost worden als niet alleen OpenDNS maar ook die cowboys van Spamhaus mee zouden doen...
Veel zin heeft het niet nee, maar ik vraag me wel af of het nou zo'n goed idee is om afpersing te gebruiken als wapen
daartegen. In feite zegt men tegen Eurobyte "er zitten wat misdadigers op jullie netwerk en die halen jullie niet eraf, weet
je wat we doen we sluiten gewoon de toegang naar al jullie klanten af en dan gaan we kijken of je dan wat gaat doen".
Dat kan effectief zijn maar erg kies is het niet.
Als er klanten van Cisco overlast geven door bijvoorbeeld een fout in hun firmware, en Cisco lost dat niet snel genoeg
op, dan zal Cisco het ook niet op prijs stellen als externe partijen Cisco.com gaan blokkeren om op die manier de boel
onder druk te zetten.
Dit soort bulletproof ISP's zorgen voor grote overlast op het internet, daarnaast ga ik er vanuit dat de beslissing niet lichtvaardig is genomen (anders was dit dagelijks nieuws geweest).
Goeie zet van Cisco dus, blokkeren is het enige wat op een gegeven moment nog helpt.
Dit soort bulletproof ISP's zorgen voor grote overlast op het internet, daarnaast ga ik er vanuit dat de beslissing niet lichtvaardig is genomen (anders was dit dagelijks nieuws geweest).
En dan nog, hebben ze ECATEL dan ook geblokkeerd?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
