Fox-IT: grote fouten bij botnet-actie Microsoft

Een actie van Microsoft tegen een Zeus-botnet was niet effectief. Dat stelt de Nederlandse ict-beveiliger Fox-IT. Ook zou Microsoft het vertrouwen van onder meer Fox-IT hebben geschonden door onderzoek van dat bedrijf te misbruiken.

Een actie van Microsoft waarbij Zeus-botnets offline zouden zijn gehaald, was weinig effectief. Dat stelt ict-beveiligingsbedrijf Fox-IT. "Een van de botnets was binnen 24 uur na de takedown online met een nieuwe command-and-control-server", schrijft beveiligingsexpert Michael Sandee van het bedrijf. Bovendien zouden de kwaadwillenden achter de botnets gealarmeerd zijn door de takedown, waardoor ze nieuwe valse identiteiten hebben kunnen aannemen.

Bij de actie werden domeinnamen overgenomen die door de botnets zouden zijn gebruikt, maar ook daarbij zijn fouten gemaakt, stelt Fox-IT. Zo zaten er legitieme domeinnamen tussen, die waarschijnlijk niet zijn gebruikt door het botnet, maar bijvoorbeeld door beveiligingsonderzoekers die onderzoek deden naar de botnets.

Microsoft, dat de domeinnamen heeft overgenomen, onderschept bovendien misschien gegevens die door botnet-leden naar het botnet werden verzonden. Microsoft claimt dat het zijn servers zo heeft ingesteld dat ze geen inkomende traffic accepteren, maar Fox-IT zegt op basis van eigen onderzoek dat de servers dat wel doen.

Bovendien heeft Microsoft in het onderzoek informatie gebruikt, en in de rechtbankdocumenten gepubliceerd, die het niet uit eigen onderzoek had. Een deel van de informatie kwam van Fox-IT, dat deze informatie had gedeeld via een mailinglijst. Informatie die over die mailinglijst wordt verzonden mag niet zomaar worden gebruikt, stelt Fox-IT. Daardoor zou het vertrouwen binnen de security-sector ernstige schade hebben opgelopen. Microsoft heeft nog niet op de aantijgingen gereageerd.

IT-banen

Reacties (37)

erikloman 12 april 2012 13:34

Zie ook:
http://www.nu.nl/internet...zeus-botnets-mislukt.html
http://www.honeynet.org/node/830

Ook op Twitter uit botnet-specialist Andre DiMino dezelfde kritiek op Microsoft.

frankhan 12 april 2012 13:49

Fox-IT is naar mijn idee de grote boosdoenner in deze. Direct uitschakelen een dreiging. Niks in kaart brengen. Ik heb geen uitslagen gezien van enig onderzoek. Had Fox-IT geen back-up van de server?

Verwijderd @frankhan • 12 april 2012 13:56

Sorry maar dat is toch juist dom? Als jij niet de mensen achter het Botnet pakt dan gaan ze toch net zo hard weer verder. In het nu.nl artikelhttp://www.nu.nl/internet...zeus-botnets-mislukt.html staat duidelijk dat wat MS bereikt heeft nutteloos was.
Ze hebben welgeteld 24 uur een gedeelte van het botnet uit de lucht gehaald. Deze is nu weer compleet operationeel. Je hebt misschien een kleine slag gewonnen en publiciteit. That's it.
Grondig onderzoek, infiltratie en het brein erachter oppakken. Dan pas trek je een compleet botnet eruit. Kijk maar eens naar dit artikel: nieuws: 'Dagelijks aantal spamberichten in jaar tijd met 56 miljard gedaald'

Onder meer doordat ze dus een compleet botnet uit de lucht hebben gehaald en niet maar een paar servers. Alleen mogelijk door het brein erachter op te pakken..

Bonez0r @frankhan • 12 april 2012 20:23

Van nu.nl:

"De beste strategie om botnets aan te pakken is niet door domweg Command & Control servers uit het netwerk te trekken. Veel belangrijker is het om ook in te zetten op aanhouding en vervolging van de daders. Juist door de geringe pakkans zie je steeds meer criminelen zich bezighouden met cybercrime", legt Prins uit.

Jouw 'oplossing' is als een druppel op een steeds heter wordende plaat. De pakkans verminder je er niet door, waardoor er steeds meer criminelen bij komen die elk een eigen botnet gaan opzetten. Het is niet zo moeilijk te begrijpen dat op een gegeven moment er niet meer genoeg mankracht is om continu servers in beslag te nemen.

Als er een gat in een dijk zit waardoor er grote hoeveelheden water het binnenland in stromen, wat doe je dan? Ga je als een gek proberen het water weer terug over de dijk in de zee te pompen terwijl het gat steeds groter wordt? Of is het toch slimmer om het gat te dichten en daarmee de oorzaak van het probleem te verhelpen?

mschol 12 april 2012 13:37

ik krijg een beetje een "beste stuurlui staan aan wal" idee bij dit bericht...

Fox-IT beschuldig MS van iets terwijl ze geen/weinig idee zullen hebben WAT MS (en de amerikaanse justitie) precies gedaan zouden hebben (ze weten wel iets, maar wie zegt dat dat alles is, het is niet onmogelijk dat ze geprobeerd hebben om bijvoorbeeld de boel de tent uit te lokken/verwarring zaaien/whatever)

Belgar @mschol • 12 april 2012 13:50

De kritiek gaat dan ook grotendeels over de aanpak, niet OF er actie moest worden ondernomen.

Een aantal beveiligers vinden een botnet en de organisatie erachter. De doelstelling is de mensen te identificeren en op te pakken. Microsoft staat op de lijst als partner in security.

Microsoft neemt de lijst met namen, roept "bedankt jongens" gooit het richting justitie in de VS en haalt daar wat servertjes neer. Grote overwinning!

Vervolgens weten de mensen achter het netwerk dat ze gevonden zijn, weten ze wie ze gevonden heeft, hoe ze gevonden zijn en blijft het netwerk buiten de VS nagenoeg totaal overeind. Het botnetwerk krijgt een nieuwe controlserver toegestuurd en ze zijn weer online.

MS krijgt de mooie schijnwerpers, de rest van de onderzoekers zijn al hun werk kwijt zonder compensatie en zonder resultaat en moeten weer vanaf niets hun onderzoek opbouwen.

Ze stonden niet aan wal, ze waren de onderzoekers en hun onderzoek is gestolen voor een publiciteitsstunt van microsoft! geen wonder dat ze pissig zijn.

Eomer @Belgar • 12 april 2012 14:57

Ter aanvulling, op de website http://www.zeuslegalnotice.com/ staan heel veel gegevens die beter geheim hadden kunnen blijven totdat de mensen daadwerkelijk gepakt hadden kunnen worden.

In het documentje www.zeuslegalnotice.com/images/Summons.pdf staan bijvoorbeeld nicknames en e-mail adressen.

yeadder @mschol • 12 april 2012 13:46

Daarom is het goed om ook even oa het artikel op Nu.nl te lezen. Hier kun je opmaken dat oa MS en FoxIT samen in een online taskforce zitten. Hierin is informatie gedeeld waarmee MS zijn voordeel heeft gedaan / gepakt. Zonder daarbij naar het algehele doel te kijken.

roy-t @yeadder • 12 april 2012 14:32

Ik vind het maar een beetje raar verhaal van FoxIT. Ze zitten samen in een taskforce en daar delen ze informatie (ik neem aan dat het om die mailinglijst gaat) en daarna gebruikt MS die informatie bij de rechter en is dat ineens fout? Waarom wordt niet verteld, behalve dat het 'niet zomaar gedeeld mocht worden'. Een rechter is toch niet zomaar iemand?

Alle claims van Fox-IT zijn nogal vaag, er staat geen enkele keer het antwoord op 'waarom dan' in iig dit nieuwsbericht.

SPee @roy-t • 12 april 2012 14:47

Omdat nu de botnet beheerders erachter zijn gekomen en en zo tegenmaatregelen hebben kunnen nemen.
Het onderzoek dat ze hebben gedaan is nu 'afgelopen' en moeten (dankzij MS) weer opnieuw beginnen. Anders kon het onderzoek gewoon doorgaan en hadden ze de beheerders mogelijk achterhaald. En dan kon het hele netwerk uitschakelen worden zonder dat die (zoals nu) weer en op een andere manier in de lucht komt.

Dat de resultaten onderling tussen de onderzoekers werd gedeeld (via de mailinglijst) was alleen maar positief. Je had dan al een vergaande kennis om verder mee te gaan. Maar nu is het onderlinge vertrouwen geschaad.

jrfloor @mschol • 12 april 2012 13:46

Hoe kom je erbij dat Fox-IT niet weet waar ze het over hebben? Alleen al indirect ondervinden ze hinder aan de actie van MS omdat het hun eigen werk tegen botnets stoort. Daarnaast zijn de rechtbank documenten openbaar. Dat is juist onderdeel van het probleem want nu weet iedereen wat MS gedaan heeft. Ik merk hier maar een stuurlui die aan wal staat...ok, wellicht zijn we dat hier allemaal.

Perkouw Moderator GCC 12 april 2012 13:28

Goed dus er is zonder bronvermelding informatie gebruikt en eigenlijk mocht deze informatie dus al helemaal niet gebruikt worden ?

We horen nu natuurlijk één kant van het verhaal, ben benieuwd hoe het precies in elkaar steekt wel jammer dat er zulke fouten zijn gemaakt. Niet echt effectief op deze manier.

Kama @Perkouw • 12 april 2012 13:33

Niet effectief tegen botnets. Wel effectief voor het "security imago" van Microsoft. Een groot deel van hun publiek zal (helaas) de kritische kanttekeningen van Fox-IT nooit lezen.

Marketing dus.

LOTG @Kama • 12 april 2012 14:28

Fox-IT heeft er natuurlijk ook helemaal geen belang bij informatie te publiceren over de onveiligheid van het internet. Dit is even goed marketing. Ik zie ook overal info staan die niet is geverifieerd of alleen door Fox-IT, een hoog het zou zo kunnen zijn gehalte.

Punt blijft dat deze actie is goedgekeurd en ondersteund door de Amerikaanse authoriteiten.

Ik mis hier ook even wat Fox-IT dan wel had willen zien gebeuren? Gewoon het botnet laten doorlopen tot dat Fox-IT een zelfde actie had gedaan?

Belgar @LOTG • 12 april 2012 16:23

Dat is juist onderdeel van de kritiek. "goedgekeurd door de Amerikaanse autoriteiten". En de rest van de wereld dan? Zijn de werkelijke operators Amerikaans?

Om het reeds gebruikte voorbeeld van een drugscartel te gebruiken. De DEA en interpol werken aan een zaak. De FBI wordt op de hoogte gehouden van het onderzoek.

Vervolgens gebruikt de FBI de informatie om de dealers in de US op te pakken. Groot tamtam: "Amerikaanse tak drugsbende opgerold. De aanhoudingingen zijn verricht door onderzoek van Peter van de Nederlandse politie en door een telefoontap op adres x in Oostenrijk en adres y in New York".

En dan vervolgens raar opkijken dat het netwerk een tijdje later weer doorgaat met wat nieuwe vervangbare dealers in de States en dat het eigenlijke netwerk nog steeds bestaat en nu publiekelijk heeft kunnen lezen dat er taps waren op locatie X en Y. Good luck om de echte hoofdpersonen nu nog te vinden.

BvDorp @Perkouw • 12 april 2012 14:30

Trots dat Fox-It internationaal zo'n positie heeft, en het zelfs publiekelijk aandurft Microsoft op de vingers te tikken. Petje af, helden!

Het uitblijven van een reactie van Microsoft is tekekend; wellicht moet er intern ook even overlegd worden en een 'way forward' bepaald worden. Ik kan me goed voorstellen dat de afweging daar intern door een kleine groep (baas ergens in de VS) gemaakt is, terwijl de voorwaarden voor deelneming aan de onderzoeksopzet door een compleet andere onderzoeksgroep (bijv. in NL?) ondertekend zijn. Die botsende contexten kunnen dan een dergelijk verhaal opleveren.

TDeK

Beveiliging

@BvDorp • 12 april 2012 14:35

Zal er ook wel mee te maken hebben dat de AMS-IX internationaal één van de grotere knoppunten is en daarom per definitie belangrijk is in de netwerk wereld. Ik hoor iig zeer wisselende geluiden over de kennis en kunde van FOX-IT.

SKiLLa @TDeK • 13 april 2012 12:21

Amen. Helden is een beetje groot woord voor een bedrijf dat zaken doet met schemerige overheden die mensenrechten schenden (en dan doel ik echt niet alleen op de USA ofzo) en af & toe zelf aardige blunders maken. Ze hebben daar zeker enkele slimme jongens zitten, maar Fox-IT als bedrijf heb ik zeker niet hoger dan MS zitten, ze zijn minstens net zo glad & gluiperig, zo niet erger ...

[Reactie gewijzigd door SKiLLa op 24 juli 2024 01:20]

killercow @BvDorp • 13 april 2012 12:27

Fox-it heeft ook genoeg nare kanten hoor, om ze nou helden te noemen gaat me wat ver tbh.

Verkoop van spionage software aan landen die dat volgens onze normen en waarden voor onwenselijke activiteiten gebruiken, of het in samenwerking met het OM illegaal in inbreken in computers van nederlanders, en buitenlanders om botnets te kunnen breken, of kinderporno netwerken te kunnen infilteren.

Dat laatste is vast goed bedoeld, maar nog steeds illegaal in ons rechtssysteem.

Geertsema83 @Perkouw • 12 april 2012 13:41

Het gaat Fox-IT denk ik niet zozeer om die informatie die gebruikt is, maar meer om de overname van de domeinen, waar ook beveiligingsonderzoekers op zitten die juist het onderzoek doen naar die botnets.

Uiteraard is het niet netjes van Microsoft dat ze documentatie publiceren die van Fox-IT afkomstig is. Dit kunnen ze hooguit vanuit Microsoft rectificeren.

Roland684 @Perkouw • 12 april 2012 13:45

Bronvermelding doet niets af aan het auteursrecht. Hooguit dat een auteur het soms toestaat om zijn tekst te kopiëren op voorwaarde dat je hem vermeldt als bron, maar dan heb je gewoon (onder voorwaarden) toestemming gekregen. Die toestemming was hier blijkbaar helemaal niet.

SuperDre @Perkouw • 12 april 2012 18:43

Wie zegt dat er geen bronvermelding is gedaan? En wij moeten maar aannemen dat er een disclamer ergens staat dat die informatie niet gebruikt mag worden..

SinergyX

Microsoft

12 april 2012 13:42

Dit snap ik niet helemaal, ze geven nu MS de schuld dat zij bezig waren met het in kaart brengen van het botnet terwijl die op dat moment doodleuk in bedrijf bleven. Snap nu best dat ze dit graag willen zien, maar ik zie liever dat ze dat ding direct offline halen.

In die zin zie ik de situatie hetzelfde als drugkartels, je kan wel jaren gaan inflitreren of onderzoeken, haal gewoon die zooi plaat en kijk of je uit het ingenomen materiaal nog informatie kan vinden. Natuurlijk staat er direct weer een nieuwe op, maar zou dat opeens niet het geval zijn als Fox-IT het hele netwerk in kaart had gebracht en daarna zou gaan neerhalen?

Roland684 @SinergyX • 12 april 2012 13:48

Je moet natuurlijk wel eerst weten wat je neer moet halen. Hetzelfde voor drugkartels: infilteren doe je om in kaart te brengen welke spelers er zijn. Met steeds maar wat dealertjes oppakken, roei je het kartel niet bij de wortel uit.

Lunacy @Roland684 • 12 april 2012 16:21

Klopt helemaal, met de aanpak van SinergyX dun je het netwerk alleen maar tijdelijk uit waarna het later toch terug aangroeid. Het is precies hetzelfde als met een drugsnetwerk. Je wilt de kern aanpakken, anders alarmeer je ze enkel maar en wordt het hoogstwaarschijnlijk nog moeilijker om ze te pakken.

Kalief @SinergyX • 12 april 2012 13:53

Fox-IT pleit er juist voor niet eerst het netwerk onderuit te halen maar om eerst de mensen die er achter zitten te identificeren en te vervolgen.

Bonez0r @SinergyX • 12 april 2012 20:11

Snap nu best dat ze dit graag willen zien, maar ik zie liever dat ze dat ding direct offline halen.

Het heeft alleen zo weinig zin als dezelfde criminelen gewoon naar een andere server verhuizen en 24 uur later weer online zijn. Daarbij weten de criminelen nu ook dankzij MS hoe ver het onderzoek was gevorderd en hoe men ze op het spoor heeft kunnen komen. Dus ja, de botnets zijn 24 ur offline geweest. Maar het onderzoek heeft dankzij MS zoveel schade geleden dat het lang gaat duren (wat moet ik me bij lang voorstellen trouwens, maanden? Jaren? Iemand?) voordat ze weer zo dichtbij het identificeren van de daders zitten. Die solo actie van MS was dus niet zo slim. Het heeft ze op de korte termijn wat positieve publiciteit opgeleverd, maar nu zie je dus de backlash hiervan. En het staat echt niet alleen op tweakers-achtige sites, zelfs nu.nl heeft er een heel artikel over.

cork87 12 april 2012 14:02

Het is een apart verhaal waarbij er een aantal vragen in mij opkomen, waarom hebben Microsoft en Fox-it niet samen gewerkt? Sinds wanneer doet Microsoft dit soort zaken op eigen initiatief?
Zijn hier niet meer bedrijven bij betrokken geweest behalve Microsoft en de betreffende ISP's? Welke overheidsinstantie heeft Microsoft het recht gegeven om dit te doen?

Zeer benieuwd naar de reactie van Microsoft op deze actie, echter naar mijn verwachting zal er geen officieel tegenbericht komen.

arjankoole

Beveiliging

@cork87 • 13 april 2012 11:17

Fox werkt samen. Ze delen hun resultaten en bevindingen onder voorwaarden op een besloten mailllinglist. Microsoft heeft dat vertrouwen vervolgens geschonden door wat met het materiaal van Fox te gaan gebruiken. Met als klap op de vuurpijl dat Zeus nog bestaat, alle onderzoek waardeloos is geworden, en door de methodiek van Microsoft ook duidelijk is geworden voor de gehele wereld hoe Fox aan hun informatie is gekomen, waar de criminelen weer van kunnen leren. Vooral die data had NOOIT publiek mogen worden, maar gezien de regels omtrent juridische procedures in de USA, is dat niet meer te voorkomen.

Bedankt Microsoft, heel erg bedankt.

Loller1

Microsoft

12 april 2012 14:23

Tja, Microsoft doet tenminste iets aan het probleem, of probeerd het toch, dat kunnen we niet van iedereen zeggen...

Bonez0r @Loller1 • 12 april 2012 20:27

Ze doen inderdaad iets aan het probleem. Namelijk het erger maken ervan. De kans om de daders op te pakken is nu zo'n beetje verkeken en voor wat? Voor 24 uur downtime en een beetje publiciteit voor MS. Nogal arrogant van ze om onderzoek van anderen daarvoor te misbruiken.

Verwijderd 12 april 2012 13:44

Lijkt mij eerder dat Fox-IT de publiciteit en erkenning wil omdat zij veel onderzoek hadden gedaan maar naar hun zeggen niet voldoende worden vermeld.