Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 21 reacties, 10.420 views •
Submitter: TheMe

KPN, Solcon, Tele2, UPC, Xs4all, Zeelandnet en Ziggo gaan samen met registrar SIDN informatie over botnetbesmettingen en andere abuse-problemen centraal verzamelen en deze delen. Met de zogeheten Abuse IX moeten onder andere botnets effectiever bestreden kunnen worden.

Volgens de initiatiefnemers vormt Abuse IX een loket waar botnetbesmettingen verzameld en gesorteerd worden. Vervolgens wordt de informatie doorgestuurd naar de deelnemende isp's. Volgens Abuse IX, dat begin volgend jaar moet draaien, kunnen internetproviders zo sneller beschikken over actuele abuse-meldingen. Daarmee zouden kosten bespaard worden omdat isp's niet langer zelf deze informatie hoeven in te zamelen en te verwerken.

Abuse IX heeft KPN, Solcon, Tele2, UPC, Xs4all, Zeelandnet en Ziggo als deelnemende providers. Ook registrar SIDN en het Platform Internetveiligheid doen mee, waarbij de SIDN samen met het ministerie van Economie, Landbouw en Innovatie de opstartkosten voor hun rekening zullen nemen. Deze bedragen in totaal een kleine 400.000 euro.

Volgens Niels Huijbregts, werkzaam bij Xs4all en woordvoerder voor Abuse IX, is het meldpunt vooral nuttig bij grote abuse-problemen, zoals hardnekkige botnets of grootschalige virusuitbraken. Het loket heeft echter niet het recht om internetabonnees direct aan te spreken; deze taak blijft bij de betreffende provider liggen. Verder hoopt Huijbregts dat andere isp's zich nog bij Abuse IX zullen aansluiten, waaronder de mobiele aanbieders Vodafone en T-Mobile. Ook ziet hij een rol weggelegd voor instanties als de Nederlandse Vereniging van Banken.

Reacties (21)

Ik wens ze veel succes. Gaat ze nooit lukken om meer dan 30-50% in kaart te brengen. Veel botnets draaien op RAT's als posion ivey, darkorbit etc. Die zijn makkelijk in kaart te brengen omdat die vrij populair zijn bij script kiddies omdat ze makkelijk zijn op te zetten. Natuurlijk kunnen ze zelf nog een encryptie slag eroverheen gooien of zorgen dat de C&C maar 1 keer per dag word aangesproken om moeilijker te vinden zijn.
"Echte" botnets die geschreven zijn door een handje vol programmeurs zullen niet gevonden worden. Deze encrypten en liften mee. Dit betekent dat ze niet te onderscheiden zijn van normaal verkeer.

Deze 30-50% is wel interessant om een kaart te maken van besmettingen maar het is niet accuraat als het om aantallen gaat.
Uiteindelijk gebruiken bijna alle botnets DNS-servers om informatie op te halen over controlservers. Aangezien deze servers vaak bij ISPs staan valt er heel veel informatie te verzamelen over botnets, vooral ook omdat het verzamelen van informatie over DNS-requests niet onder DPI valt als het gewoon de servers van de ISP zelf zijn.

Zelfs al wordt de C&C-server maar ééns per dag aangeroepen, dan nog komt zo'n request gewoon in de logs van de DNS-server te staan.

[Reactie gewijzigd door TvdW op 24 oktober 2012 14:24]

Meestal gebruiken ze een NoIP subdomein. Dit betekent dat je niet weet waar de C&C server staat.
Nee, maar je kunt wel direct zien welke van je klanten een botnet-client op hun computer hebben staan, op basis van de DNS-requests.
niet als ze een eigen DNS hebben draaien in het botnet
Ik denk niet dat jij helemaal begrijpt hoe DNS precies werkt.
Volgens mij bedoelt hij dat de geinfecteerde computers een andere dns server ingesteld krijgen door de botnet software. Dat kan nu bijv ook je kunt bijv opendns of google gebruiken. Dan komen er dus helemaal geen dns requests bij je provider terecht.
Er word ook in het artikel gezegd dat dit het voornaamste doel is samen met kostenbesparing dus ik snap niet zo goed wat je wil zeggen.

"Volgens Niels Huijbregts, werkzaam bij Xs4all en woordvoerder voor Abuse IX, is het meldpunt vooral nuttig bij grote abuse-problemen, zoals hardnekkige botnets of grootschalige virusuitbraken."
Dat de data die van een bot afkomt niet te onderscheiden valt van "gewone" data. Hierdoor is het lastig om een botnet in kaart te brengen.
Waar haal je '30-50%' vandaan?
Dit in de kaart brengen en dergelijke is natuurlijk mosterd na de maaltijd. Er had 20 jaar geleden al voor gezorgd moeten worden dat mensen die het internet in gevaar brachten (tijdelijk) afgesloten zouden worden. En dan bedoel ik, iedereen die probeert op andere computers binnen te dringen, andere computers aanvalt of virussen verspreid.
Op die manier krijg je wel mensen die eigenlijk niets van hun computer weten, en dan 'zomaar' afgesloten worden omdat ze overal op klikken, maar aan de andere kant, dan wist iedereen een stuk beter met dingen als internet om te gaan, simpelweg omdat het dan noodzakelijk is om te weten.
Bovendien krijg je dan ook dat je dan ook dat makers van besturingssystemen en andere software meer verantwoordelijkheid krijgen, omdat mensen dan niet meer zullen accepteren dat software zo lek als een mandje is, zoals het nu is met bijna alles.
Je maakt OSsen niet met een toverstokje veilig door een paar regels op te stellen.
Beetje kort door de bocht om de eindgebruiker dan maar internet te ontnemen.

Vaak gaat het om gebruikers die nog maar net de computer aan kunnen zetten en geen flauw idee hebben dat er iets gevaarlijks op hun pc is gekomen.

De meeste grote software bedrijven testen toch vrij aardig en komen ook redelijk snel (volgens sommigen niet snel genoeg) met een oplossing voor het probleem. Ik denk niet dat ze door afsluiten van eindgebruikers meer verantwoordelijkheid krijgen dan ze nu al hebben.
Providers moeten verkeer van bekende botnetservers blokkeren, en gebruikers waarschuwen / afsluiten als hun computer deel uitmaakt van een botnet, dit is de enige effectieve manier om ze te bestrijden.
Dat is precies wat Xs4all op dit moment dus al doet, echter willen ze nog meer bot netwerken gaan detecteren en hier met andere providers gezamelijk tegen optreden.
Dit soort dingen kan ik alleen maar toe juichen, omdat je op die manier juist de grote infectiehaarden goed kan isoleren :)

Bron: http://www.security.nl/ar...and_in_Walled_Garden.html

[Reactie gewijzigd door soundblast op 24 oktober 2012 19:23]

Geef me gewoon de source van deadalus.
http://www.youtube.com/watch?v=3u5u5A8_SE0
Ik monitor zelf wel.
Mooi, dan hier maar eens beginnen, vragen hoe deze jongen het voor elkaar krijgt.

http://www.exposedbotnets.com/

Hij heeft regelmatig live samples online staan die hij heeft uitgegraven van malware en trojans en bots enzo.
Stel dat dit een succes wordt, dit betekent ook dat ISPs extra investeringen moeten doen om te zorgen dat Abuse/Security meldingen op een goede manier en op tijd worden afgehandeld. Ik denk bijvoorbeeld aan het opzetten van een 'walled garden' (zoals Xs4all deze bijvoorbeeld heeft draaien), extra mankracht op de Abuse/Security afdeling, extra mankracht op de Servicedesk afdeling, extra server resources etc.

Ik vraag met af of ISPs bereid zijn om hierin te investeren, aangezien veel ISPs op dit moment al niet accuraat reageren op dit soort meldingen ben ik redelijk sceptisch wat betreft het success van dit meldpunt. Als je de juiste partners vindt kun je zowat alle problem binnen je netwerk inzichtelijk krijgen, maar hier efficient mee omspringen is een tweede.
Is er nou niemand positief over deze maatregelen?
Wat is er nou mis mee, ik bedoel dat ze iets gezamenlijk doen is altijd beter dan dat iedereen een ideetje heeft en dat uitvoert.
Het is toch veel beter dat in bijv het geval van het dorifel virus alle providers hun informatie delen zoals de verdacht ip adressen en aan de hand daarvan een gezamenlijke actie uitvoeren als het blokkeren van deze adressen.
De vraag of providers op eigen hand ip adressen mogen gaan blokkeren is een tweede vraagstuk aangezien het censuur is.
Er is niets mis mee dat providers gaan samen werken en informatie delen samen bereik je een stuk meer denk ik.

Of is het gewoon koel om te zeiken om zo de indruk te wekken dat je het veel beter weet.
Een RBL van geinfecteerde ip's zou welkom zijn...

Hiermee kunnen ze niet alleen elkaar helpen maar ook het bedrijfsleven...
Goede zaak! Ik hoop ook dat ze naast virus-botnets hun zinnen zetten op e-mail spam-botnets: deze zorgen voor behoorlijk wat werk bij ISPs (en uiteindelijk bij de eindklant). Als ze die ook kunnen aanpakken (wat andere bedrijven zoals F-secure en Microsoft al is gelukt met een aantal grote botnets) kan de hoeveelheid spam in de inbox ook omlaag. Iedereen wint :)

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True