image

Spamhaus wil dat cloudproviders meer doen tegen botnets

dinsdag 9 januari 2018, 11:52 door Redactie, 9 reacties

Spamhaus wil dat cloudproviders meer gaan doen aan de bestrijding van botnets, zo heeft de anti-spamorganisatie in het jaaroverzicht van providers met de meeste botnetcontrollers bekendgemaakt. Botnetcontrollers worden gebruikt voor het aansturen van computers die onderdeel van een botnet zijn.

Een botnetcontroller kan een gehackte server of website zijn, maar in steeds meer gevallen huren cybercriminelen met vervalste gegevens servers bij een hostingprovider. In 2017 werden meer dan 9500 botnetservers door Spamhaus geregistreerd, een stijging van 32 procent ten opzichte van het jaar daarvoor. Het aantal IoT-botnetcontrollers steeg zelfs van 393 in 2016 naar 943 in 2017. De meerderheid van de botnetcontrollers (68 procent) werd aangetroffen op servers die door cybercriminelen alleen voor dit doel waren gehuurd.

De Top 10 van providers met de meeste botnetcontrollers wordt aangevoerd door de Franse hostingprovider OVH. Het Nederlandse WorldStream staat op een negende plek in het overzicht. Volgens Spamhaus laat de groei van het aantal botnetcontrollers zien dat providers nog steeds moeite hebben om frauduleuze aanmeldingen tegen te gaan. Daarbij maakt de anti-spamorganisatie zich vooral zorgen over cloudproviders die de ip-adressen van botnetcontrollers roteren. Iets dat als een dreiging voor Spamhaus-gebruikers wordt genoemd.

"We hopen daarom dat cloudhostingproviders niet alleen sneller op abuseproblemen reageren, maar ook preventieve maatregelen nemen om frauduleuze aanmeldingen tegen te gaan", aldus Spamhaus, dat tevens hoopt dat hostingproviders hun abusepersoneel voorlichten om op op een professionelere manier met abuseproblemen om te gaan. Als voorbeeld wordt het misbruik van gehackte websites gegeven. Sommige providers verwijderen na een melding alleen de kwaadaardige bestanden, maar laten de oorzaak van de hack ongemoeid, waardoor de website op een later moment weer wordt gehackt en gebruikt voor malafide doeleinden.

Verder geeft Spamhaus vanwege het groeiend aantal botnetcontrollers het advies aan netwerkeigenaren om verkeer van anonimiseringsdiensten zoals Tor standaard te blokkeren. Gebruikers zouden dan alleen via een "opt-in" toegang kunnen krijgen. Daarnaast worden Registries en Registrars opgeroepen om maatregelen te nemen die frauduleuze domeinregistraties moeten tegengaan.

Reacties (9)
09-01-2018, 12:08 door Anoniem
Het is makkelijk klagen dat het niet schoon is en je zelf de bezem niet hoeft vast te houden.
09-01-2018, 12:36 door Anoniem
Door Anoniem: Het is makkelijk klagen dat het niet schoon is en je zelf de bezem niet hoeft vast te houden.

We hopen daarom dat cloudhostingproviders niet alleen sneller op abuseproblemen reageren, maar ook preventieve maatregelen nemen om frauduleuze aanmeldingen tegen te gaan

Spamhaus is wel degelijk zelf bezig met deze C&C's op te sporen en te melden.
09-01-2018, 14:26 door Anoniem
Het is makkelijk klagen dat het niet schoon is en je zelf de bezem niet hoeft vast te houden.

Dit is nou juist een bezigheid waarmee Spamhaus dag in, dag uit bezig is. Ook hebben ze goed zicht op de vraag welke providers wel/niet proactief optreden. Het is gemakkelijk altijd zeikreacties te plaatsen.
09-01-2018, 14:30 door Anoniem
Spamhaus is wel degelijk zelf bezig met deze C&C's op te sporen en te melden.

Klopt; ook leveren ze feeds aan bedrijven met indicatoren van dergelijke C&C's voor blokkeren/detecteren van gerelateerd netwerkverkeer. Ik krijg iedere dag netjes updates van hen binnen.
09-01-2018, 15:36 door Anoniem
Van o.a. Amazon AWS is het bekend dat zij abuse meldingen vrijwel niet oppakken. Hetzner zet je abuse melding 1-op-1 door naar de eigenaar van de betreffende cloud instantie; leuk als dat de crimineel zelf is...
Dus Spamhaus heeft gelijk: cloud-providers moeten veel meer doen om dit soort misbruik tegen te gaan. Bij een x-aantal abuse meldingen gewoon de instantie offline halen bijvoorbeeld, of het netwerk door een strenge wasstraat halen o.i.d. Keuzes genoeg, nu nog de wil.
09-01-2018, 19:04 door Anoniem
Als we nou toch aan het mekkeren zijn: hosting providers zouden ook eens wat moeten doen aan klanten die de hele
dag aan het portscannen zijn, zowel de malafide als de zogenaamd legitieme klanten. Je weet wel de researchers en
de sites die het nodig vinden om allerlei dingen in kaart te brengen zodat hun klanten er lekker makkelijk op kunnen zoeken.
(shodan.io, stretchoid.com, etc) Zet nou gewoon in je terms of use dat dat niet mag.

En oja, maak nou eindelijk dat BCP38 filter eens in orde! Al is het niet direct je eigen belang.
09-01-2018, 23:53 door Anoniem
@ Anoniem van 19:04,

Een ware proponent van security through obscurity, dat gewoon nooit werkt.
Als het hier niet mag, doet men het wel in een deel van de wereld waar men nog niet in security through obscurity gelooft.

Hackers en defacers houden echt niet op omdat u dat vindt en alleen staatsacteurs het in het geniep laten doen is wel een beetje flink onethisch. Daar profiteren eindgebruikers niet van.

Ik wil graag weten wat er onveilig is op de dikbetaalde CDN connecties. Ik wil weten waar security headers niet zijn geimplementeerd, waar http only cookies onveilig zijn, waar bij CMS user enumeration aan staat en directory listing,
wat kwetsbare plug-ins zijn, waar oude meuk code in jQuery niet is afgevoerd. Waar javascript errors geeft.

Ik wil zulke incompetentie niet de hand boven het hoof houden of onzichtbaar maken en twaalf keer meer betalen voor een iets veiliger hosting, waar niet elk subdomein het mijne kan zijn (gratis afraid dot org).

U bent iemand van.. wat niet weet wat niet deert. Dan rotzooien wij lekker onveilig verder en tracken en profileren wij u uit uw sokken. Zijn de vinkjes gezet voor uw bonus? Klopt uw service op papier, maar verder in de werkelijkheid minder?

Trek u zich dat dan aan. Anderen blijven fouten jagen, of u dat nu wilt of niet. VT en Google Safebrowsing zeker ook maar afschaffen, alleen maar lastig.

groetjes van anoniem met een iets ander geluid en insteek,

P.S. Wel tegen het misbruiken van bepaalde kennis tegen websites, maar wel voor verantwoorde disclosure van onveiligheid.
10-01-2018, 00:47 door Anoniem
Door Anoniem: Het is makkelijk klagen dat het niet schoon is en je zelf de bezem niet hoeft vast te houden.
Voor Spamhaus zijn de klachten over botnets een winstmaker (ja ook non profit kan geld verdienen om personeel goed te betalen en een leuke infrastructuur te onderhouden en uit te bouwen). Ze verdienen geld via klanten en sponsors en krijgen veel data aangeboden.
Voor hosters zijn de klachten over botnets winstverdampers. Ze winnen er geen sponsors mee en de klanten die de last veroorzaken kunnen makkelijk onder valse voorwenselen wereldwijd een hoster vinden.

Al 20 jaar is hun bestaansrecht het ontvangen van sponsorgeld en servicefees, het verwerken van klachten en het betaald en gratis verspreiden van informatie van klachten. Hosters die klachten serieus nemen werken allang met elkaar samen, maar wel op hun eigen manier. Zoals iemand al schreef, je hebt ook hosters die hun meldingen in eerste instantie bij hun klanten neerleggen (de eigenaren van bijvoorbeeld dedicated servers of huurders van racks).

Daar mag Spamhaus best een mening over hebben maar Spamhaus draagt met hun mening niets bij aan de huidige situatie. Ze dragen weinig concrete oplossingen aan. Zeggen dat er sneller opvolging moet worden gegeven is geen oplossing. Die klacht is niet nieuw. Wat je nooit hoort is het gevoelige punt welke snelheid van opvolging verwacht mag worden. Want dan krijgen ze als eerste ruzie met klanten die Spamhaus van geld voorziet voor de feeds. Een ander controversieel punt van Spamhaus is het dicteren hoe een provider zou moeten schoonmaken. Spamhaus zit in de luxe positie dat ze klanten hun mening kunnen opdringen door die diplomatiek te verwoorden. Hosters hebben te maken met wetgeving, verlies van winst en verlies van omzet als ze maatregelen nemen. Ook is Spamhaus niet vies van een controversiele uitspraak als pleiten voor het bannen van anonieme bezoekers en klanten.

Spamhaus ontdoet problemen graag van nuances en presenteert dat dan als oplossingen. Hoe serieus kan je een organisatie als Spamhaus dan nemen in hun meningen? Spamhaus doet goed werk om informatiestromen over klachten te laten bestaan, maar hun informatiepositie en financiele positie is ze in 20 jaar tijd erg naar de bol gestegen. Dat zijn mede de redenen waarom er andere non-profit verwerkers van abuse informatie zijn ontstaan.
10-01-2018, 01:11 door Anoniem
Door Anoniem:Zet nou gewoon in je terms of use dat dat niet mag.
Wat wil je met die terms of use bereiken? Veel hosters hebben (al dan niet copy past) terms of use. Uiteindelijk is het aan de policy makers of die terms of use passen bij de hoster en aan de uitvoerders hoe ze die terms of use interpreteren binnen de hoster. Je abuse melding vergezellen met de mededeling dat een klant niet voldoet aan een tou van de hoster heeft geen waarde als je daarmee geen invloed kan uitoefenen op de snelheid en inhoudelijke behandeling van je klacht door die hoster.

Als we nou toch aan het mekkeren zijn: hosting providers zouden ook eens wat moeten doen aan klanten die de hele dag aan het portscannen zijn
Je kan als hosting provider je tijd maar een keer besteden. Er moet dus gekozen worden. Heb je liever dat ze die overlast van portscans aanpakken (met nauwelijks risico en wat je als ontvanger makkelijk zelf kan negeren) of heb je liever dat ze hard optreden om die phishing, c2 services en fraude beter bestrijden?

Als je een publiek adres hebt kan je verwachten dat het publiek daar ooit massaal voor de deur staat. Dus of het nou je publieke IP adressen zijn, je telefoonnummer of je voordeur. Neem zelf je maatregelen dat je geen last hebt dat iemand voor jou te vaak je aandacht probeert te vragen. Klagen dat een ander het maar moet verbieden en er iets aan moet doen is niet realistisch. En als je er echt last van hebt en meent dat je rechten worden geschonden dan doe je aangifte of sleep je zelf de tegenpartij voor de rechter. Kost je in het gunstigste geval slechts een paar honderd euro voor de moeite om er waarschijnlijk achter te komen dat er geen wet is overtreden en je zelf ook verantwoordelijkheid hebt om niet te gefrustreerd te raken van dat soort kattekwaad.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.