Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 57, views: 22.112 •
Submitter: razzor

Volgens een Zwitserse beveiligingsonderzoeker was de actie van Microsoft en de FBI waarbij 1400 Citadel-botnets werden verstoord vooral een pr-stunt. De actie zou geen impact op Citadel hebben en de inbeslagname van domeinnamen zou veel beveiligingsprojecten hebben getroffen.

Donderdag maakten Microsoft en de FBI bekend veertienhonderd Citadel-botnets 'verstoord' te hebben. Hierbij zouden onder andere 4000 domeinnamen in beslag genomen zijn, die vervolgens naar servers van Microsoft verwijzen. Deze methode wordt sinkholing genoemd en wordt door tal van organisaties gebruikt om informatie over botnets te krijgen en geïnfecteerde zombiesystemen te waarschuwen.

Een van die organisaties is het Zwitserse hobbyproject Abuse.ch, dat de verkregen informatie verstrekt aan de non-profitorganisatie Shadowserver, die op haar beurt meer dan 1500 organisaties en 60 nationale Computer Emergency Response Teams informeert. Abuse.ch claimt nu echter dat meerdere domeinnamen die het gebruikte voor sinkholes, door Microsoft in beslag zijn genomen.

Navraag bij vergelijkbare projecten, doen de beheerder van de site schatten dat zelfs 1000 van de 4000 domeinnamen die Microsoft in beslag heeft genomen al gebruikt werden door beveiligingsonderzoekers voor sinkholing. Dit, terwijl er een Sinkhole Registry is en Microsoft vorig jaar bij een actie tegen ZeuS-botnets ook al enkele beveiligingsprojecten op deze wijze frustreerde.

Bovendien zou Microsoft configuratiebestanden naar geïnfecteerde systemen die onderdeel van het botnet zijn sturen, zonder dat de gebruiker daarvan op de hoogte wordt gesteld. Dit overschrijven van de Citadel-configuratie heeft als voordeel dat de systemen geen verbinding meer maken met de beheerservers van het kwaadaardige botnet en ook sites van antivirus-bedrijven weer kunnen benaderen, maar het aanpassen van de systemen zonder notificatie aan de gebruiker is strafbaar in veel landen. Daarnaast wijst Abuse.ch er op dat de internetciminelen nu waarschijnlijk hun strategie aan gaan passen, wat de bestrijding moeilijker gaat maken. 

Reacties (57)

Behalve dat ze gerechtelijke toestemming hadden en samenwerkte met de FBI heb je helemaal gelijk. Nu ja, dat ontkracht wel al je punten, maar toch. Nu vraag ik me toch af hoe "strafbaar" het is voor Microsoft om wijzigingen door te voeren op zijn eigen software. Ergens in de gebruikersrechtovereenkomst van Windows zal heus wel staan dat Microsoft zonder voorafgaande bekendmaking wijzigingen mag doorvoeren. Tevens: antivirus software past ook bestanden aan op je pc (updaten, weet je wel) zonder de gebruiker hier kennis van te geven (nu ja, de meeste toch).

[Reactie gewijzigd door Loller1 op 8 juni 2013 09:41]

met dat verschil dat de FBI alleen in de VS iets te zeggen heeft en met hun tengels van buitenlandse systemen af moet blijven
Tja, of je het nu wilt of niet, het DNS systeem is in handen van de VS. Microsoft is een Amerikaans bedrijf dat onder de Amerikaanse wet valt en voert in dit geval acties uit op het grondgebied van de VS. Dat wij met ze alle iedere keer aan de Amerikanen vragen om een domeinnaam te vertalen in een IP adres wil niet zeggen dat het ineens niet meer in handen is van de Amerikanen. Wij zijn ook niet verplicht om onze routers met BGP te koppelen aan hun systeem. We mogen ook gewoon ons eigen netwerkje maken.
dan word het dus tijd om een dns systeem te bedenken waarbij big brother niet de touwtjes in handen heeft...

snap sowieso niet dat de macht om het internet te ontwrichten bij een instantie kan liggen.
ja verdelen als in, niemand heeft 100% controle.
bitcoins en torrents zijn een prima voorbeeld, hierbij worden systemen uit alle landen gebruikt niemand heeft 100% controle, jammergenoeg zijn er mensen die denken dat ze overal controle op moeten behouden.

daarom worden er dingen als timing attacks voor tor uitgevonden.
stel je voor dat er data gedeeld kan worden zonder controle...
terwijl de echte smeerlappen allang de data verstopten in bitcoin data, onschuldige afbeeldingen, skype verkeer en gesprekken laat verlopen via online spelletjes.

waar vroeger de angst voor een fantasie wezen nog voldoende controle bij de hogere heren hield is dat steeds verder af gaan zakken tot een punt dat er andere middelen nodig waren.
pedofilie en terrorisme.
angst aanpraten
zelfstandig denkvermogen inperken
openbare informatie niet of met moeite verstrekken (denk aan onderzoek haren)
het bespelen van de media
dom houden van werknemers (aivd zegt gewoon, dit component moet daarop, wat het apparaat doet gaat je niets aan...)

terwijl heel europa verwikkeld zit in een piramide spel waarbij nog niet duidelijk is waar het geld nou eigenlijk naartoe gaat is het wel duidelijk dat er nu al gekeken word welke mensen een bedreiging kunnen vormen voor de graaiende top.
vroeger hadden ze in frankrijk een hele nette oplossing voor dat soort types maar tegenwoordig hoef je er maar naar te hinten en je word al 24/7 in de gaten gehouden.

zolang er ergens nog een overheid is dat verwoven zit in het bedrijfsleven en religie zullen we nooit leven naar de zin van het leven, in feite gaan we tegen onze natuur in en degraderen we onszelf tot een slaaf van het kapitalisme.

om eerlijk te zijn heb ik liever oorlog als dit want met oorlog weet je tenminste wie de vijand is.
Torrents zijn in sommige gevallen nog steeds afhankelijk van trackers, dus ook hier is in zekere mate nog controle mogelijk.
Het is toch niet zo dat de VS het laatste zegje heeft over alle domeinnamen?
ICANN, gevestigd in de VS, beheert dan wel de root zone maar de VS heeft toch echt geen 'bezit' van alle domeinnamen als ik mij niet vergis.
.nl domeinnamen zijn in handen van SIDN bijvoorbeeld, en dat zijn toch echt geen Amerikanen.
ICANN zou een heel TLD van het internet kunnen gooien (gezien ze beheer over de root zone hebben) maar volgens mij niet veel specifieker dan dat.
ICANN staat los van de amerikaanse regering.
ICANN kan ook niet bij de TLD's die niet onder hun verantwoording vallen.
De VS kan dus niet bij onze .nl TLD komen.

Mensen moeten zich daar maar eens wat meer over inleven hoe onze internetvoorgangers gevochten hebben voor onze vrijheden ondanks dat het controlepunt in de VS is.

Ook heeft de EU een backup klaar staan mocht de VS de stekker er willen uittrekken dat we zelf onze eigen domeinen, IPs en dergelijke hebben. Is allemaal a lang voorbereid. En in tegenstelling tot de jaren 90, word tegenwoordig genoeg in de EU zelf gehost.
Ergens in de gebruikersrechtovereenkomst van Windows zal heus wel staan dat Microsoft zonder voorafgaande bekendmaking wijzigingen mag doorvoeren. Tevens: antivirus software past ook bestanden aan op je pc (updaten, weet je wel) zonder de gebruiker hier kennis van te geven (nu ja, de meeste toch).
Die clausule waar jij het over hebt kan ik me niet herinneren. Ik denk ook dat voornamelijk grote bedrijven en overheden flink gaan protesteren als zo'n clausule inderdaad in de EULA wordt opgenomen. Van de andere kant, ik heb het ding niet opnieuw helemaal nagelezen om het te controleren, dus je zou gelijk kunnen hebben.

Auto update van virusscanners (en, wat dat betreft, Windows Update) brengt inderdaad wijzigingen aan, maar alleen met toestemming. Als jij Windows Update uitzet (of op "eerst om toestemming vragen") dan zal ie niks aanpassen. Als je het instelt op "Automatisch", ja dan natuurlijk wel, maar daar geef je toestemming voor op het moment dat je automatische updates aanzet. Hetzelfde voor virusscanners, bij mijn beste weten hebben die allemaal de mogelijkheid om auto update van virusdefinities uit te zetten.
Het is niet eigen software van MS, het is de botnet software waar MS wijzigingen op aan brengt. En ja, antivirus software brengt ook wijzigingen aan, maar dat progje heb je zelf ge´nstalleerd. Tevens vragen meeste antivirus programma's eerst toestemming voordat ze iets verwijderen of in quarantaine zetten.
De beste bedoelingen kunnen het grootste kwaad tot gevolg hebben.
Microsoft heeft dit waarschijnlijk gedaan als PR-stunt en ook om de mensen te helpen. Maar als ik het goed begrijp zorgt dit ervoor dat veel beveiligingsonderzoekers nu veel verlies lijden. En dat de internetcriminelen hun strategie gaan aanpassen, waardoor bestrijding moeilijker wordt.
En dat de internetcriminelen hun strategie gaan aanpassen, waardoor bestrijding moeilijker wordt.
Op welke manier je de internetcriminelen ook aanpakt, ze zullen altijd hun strategie aanpassen. Of Microsoft het nu doet op een misschien lompe wijze of dat botnets op andere manieren worden aangepakt, de beheerders van die botnets zullen altijd reageren en hun strategie aanpassen.

Het kat en muis spelletje zal altijd blijven bestaan.

Het zo moeilijk mogelijk maken en op grote schaal aanpakken is misschien de beste manier om zoveel mogelijk schade te beperken.
Ik vraag me af in hoeverre je dit nog een PR-stunt kan noemen, dit is gewoon een poging van Microsoft Ún de FBI (ik heb de FBI nog niet zoveel PR-stunts zien doen) om het platform veiliger te maken en de burgers te beschermen tegen criminaliteit (dat is tenslotte de reden dat er zoiets bestaat als de FBI).
Het is geen poging veiligheid te verbeteren. Als ze de veiligheid echt wouden verbeteren, hadden ze niks gedaan. Immers, niks doen zorgt ervoor dat je de mensen achter botnets kunt opsporen. Nu passen de mensen achter botnets zich aan en moeten alle organisaties en onderzoekers weer vanaf 0 beginnen met het opsporen.
Immers, niks doen zorgt ervoor dat je de mensen achter botnets kunt opsporen.
Wie moet dit dan opsporen, een opsporingsinstantie... de FBI misschien?

Een groot deel van de botnets draaien op simpele exploits met standaard software, daar zit niemand achter die je wilt pakken. Want leuk, maar 14-jarigen kun je niet zomaar oppakken en de vraag is 'hoe fout' deze 'kinderen' zijn. Ik heb ook 'fikkie gestookt', maar dat maakt mij niet een pyromaan die in een gesticht moet.

Ik vind het goed dat MS & FBI (en eigenlijk zouden meer partijen daaraan mee moeten doen) af en toe gewoon alle bekende botnets sluiten. Daarmee pak je van de 14-jarigen hun speeltje af en dwing de pro's om opnieuw te beginnen, waarbij de kans weer even groter is dat ze traceerbaar zijn. (Nu kan elke script-kiddie ook het 'meesterbrein' zijn, zijn er maar enkele (technisch nieuwe) botnets actief dan zitten daar dus wel mensen achter die je wilt pakken)

Maar goed, ik zou het ook een goed plan vinden om alle pc's die actief worden in een botnet zo snel mogelijk van het internet te krijgen. Nu zijn er zoveel zombie pc's die al jaren actief blijven en overlast bezorgen...

Ps. ik ben trouwens wel benieuwd wat er gebeurd als dadelijk tablets meer gebruikt gaan worden, want de pc staat steeds vaker uit en een tablet is wat minder geschikt voor dit soort werk, qua power etc. Je trekt zo de batterij leeg als je vol gaat spammen/DoS-en vanaf een mobiel device.
Die 14 jarige scriptkiddies hebben echt geen toegang tot 'een groot deel van de botnets'.
Leuk die beveiligingsonderzoekers, maar die bestaan bij de gratie van bedrijven met "lekkende" software. Dus is het logisch dat wanneer die bedrijven eens iets gaan doen om de veiligheid te vergroten ze gaan zeuren; Ze zijn gewoon bang voor hun baan.
beveiligingsonderzoekers bestaan er om te onderzoeken, als MS willens en wetens alleen om reden van zogenaamde PR echte beveiligers om zeep hept door die lijsten te negeren tja dan kun je niet roepen dat ze eens wat gingen doen ... dat is larie...

vergelijk het met een veldspal stel toch dat jan-wilhelm van vredeschijn-tot-vurendoope jr. bestluit zich met de oorlog van zijn vader te bemoeien, daarmee vooral eigen mannen dodend en de manen die in een hinnderlaag liepen daarmee waachuwend .. zal zijn pappie vast niet blij zijn geweest met die 3 vijandelijke soldaten die bij deze geniale slag zijn overwonnen
"Daarnaast wijst Abuse.ch er op dat de internetciminelen nu waarschijnlijk hun strategie aan gaan passen, wat de bestrijding moeilijker gaat maken."

Dat kan je bij alles wat gedaan wordt wel zeggen, niets doen zou dus de beste optie zijn ? Klinkt als een blogger die gepikeerd is dat Microsoft het durft iets te doen zonder hem eerst raad te plegen.
Het is nog veel erger, ze houden nu juist de hand boven al die scriptkiddies die standaard scriptjes gebruiken om machines over te nemen.

Als we alleen nog maar internetcriminelen actief hadden dan kon de politie/opsporing zich daarop richten. Nu hebben we (alsof het rellen zijn) nog een heleboel meelopers die alleen de problemen groter maken dan ze zijn. Schop de meelopers eruit en dan hoef je ook niet bang te zijn dat een DoS van een 14-jarige komt die het niet eens met de kleur van de website van een bedrijf (en de rel die daarna ontstaat als je die oppakt).
"Bovendien zou Microsoft configuratiebestanden naar ge´nfecteerde systemen die onderdeel van het botnet sturen"


Of die systemen nu ge´nfecteerd zijn of niet, wat mij bezorgd maakt is dat Microsoft de mogelijk heeft om configuratiebestanden naar systemen te sturen.
De trojan gebruikt door het botnet heeft die mogelijkheid waarschijnlijk voorzien. Zodat ze kunnen communiceren met alle bots en die aanpasen wanneer nodig.
MS heeft hier vermoedelijk van diezelfde mogelijkheid (van de gebruikte trojans) gebruik gemaakt om de configuratie zo goed mogelijk terug te zetten zodat, zoals in het artikel omschreven, die pc's weer gewoon naar de website van een antivirusmaker kunnen surfen enz.

Het is dus niet dat MS dat voor iedere willekeurige windows PC zou kunnen.

[Reactie gewijzigd door bomberboy op 8 juni 2013 09:45]

Waarschijnlijk gebruikte Microsoft dezelfde ingang die het botnet had gecreŰerd. Immers wisten ze dor onderzoek hoe het botnet werkte, dus hadden ze waarschijnlijk op die manier ook toegang.

Of het netjes is om dit zonder de gebruiker te waarschuwen, daar valt over te discussiŰren.
Je maakt je zorgen over configuratiebestanden die worden verstuurd door een bedrijf dat de software waarop het botnet is gericht maakt, via het botnet om datzelfde botnet neer te halen, maar je AV die je hele systeem door 1 fout update, die ook zonder waarschuwen komt, omzeep kan helpen, daar maak je je geen zorgen om?
Geinfecteerde systemen luisteren op een bepaalde poort, en voeren de commando's uit die ze op die poort krijgen toegestuurd. Dit is zodat de kwaadwillende opdrachten naar zijn slaves kan sturen. Microsoft kan niet zomaar naar elke PC commando's sturen, maar wel naar de geinfecteerde PC's. Microsoft stuurt een commando dat in principe het virus onschadelijk maakt. Netjes toch? (Maar niet helemaal legaal dus, want men mag geen wijzigingen aan andermans PC toebrengen zonder waarschuwing of toestemming)
...wat mij bezorgd maakt is dat Microsoft de mogelijk heeft om configuratiebestanden naar systemen te sturen.
Serieus? In potentie kan Microsoft via de reguliere Winows updates doen wat ze willen zonder dat de gebruiker er ook maar iets van merkt.
Dat gebeurt al sinds windows 95 genaamd: windows update.
Hoef je niet bang voor te zijn heur.
Mwah, WU bestaat inderdaad al wel zo lang maar tot ~'99 was het puur "pull" en in eerste instantie ook vooral van onzin-addons. Pas met WinME werden automatische updates uitgerold.
tja, jij maakt je zorgen om ms die dit doet? ik maak me meer zorgen dat so called onderzoekers dit doen zonder enige gerechtelijke tussenkomst, waarbij ms dit pas doet met gerechtelijke toestemming.
Gerechtelijke toestemming *in de VS*. Ik heb niks gelezen over toestemming om Nederlandse systemen te wijzigen.
Lijkt mij toch dat de FBI hierin het laatste woord heeft en niet Microsoft.
Typisch geval van actie - reactie. Toch ben ik blij dat er flink actie wordt ondernomen tegen die botnets en dan maar liever van een softwaregigant i.c.m. FBI dan overheden en ICT. :)
Even vanuit een ander perspectief. Leuk voor al die beveiligingsonderzoekers, en bedrijven die er gebruik van maakte en allemaal belangrijke informatie wisten te winnen. Maar de "gewone consument" is zonder het te weten gewoon lekker deel van een botnet...

Ik snap de frustratie, maar kwam dit niet ten goede voor de meeste mensen?

Daarnaast hadden verschillende organisaties meerdere domein namen... meerdere domein namen. En iedere onderzoeker had er dan een paar? Nu heeft een bedrijf 4000 domein namen. Daar zou toch veel meer informatie over gewonnen moeten kunnen worden?

Eerlijk, ik heb hier dan niet zo veel verstand van hoor, maar als er uit kwam: FBI en Microsoft wisten jaren lang van botnet en schakelde het niet uit, dan was het ook niet goed.
"Daarnaast wijst Abuse.ch er op dat de internetciminelen nu waarschijnlijk hun strategie aan gaan passen, wat de bestrijding moeilijker gaat maken. "

Mja, lijkt me nogal wiedes. Als dit een probleem is dan zou je ook geen spam-filtering mogen proberen want ja, dan gaan de spammers hun emails anders formateren.....

Het blijft een kat-en-muis spel, en botnets uit de lucht halen, ook al is het maar tijdelijk, is een goed idee. Het zou uiteraard beter zijn als MS software in hun Windows zou doen die kan detecteren dat er botnet-achtige activiteiten vanaf een computer plaats vinden, maar dat zal vermoedelijk niet zo simpel zijn.
het is een afweging, gebruiksvriendelijkheid v.s. beveiliging.
bijv. online browsen. wil je dat veiliger doen dan mag je bijna alle functies van je browser uitzetten (flash, java en andere plug-ins)

daarnaast maakt malware dankbaar gebruik van bijv. upnp in de firewall. uitzetten betekend alle poorten handmatig forwarden enz enz.

ook gebruiken zoveel mensen windows voor een ander doel dat er geen bepaald 'normaal' profiel is en zou dat er wel zijn dan moet je niet vergeten dat er al werkende proof of concepts waren waarbij de malware het hele os virtualiseerde en dus alle informatie kon vervalsen.

ach of ik nu word afgeluisterd door de nsa of een black hat uiteindelijk ben ik tot nu toe alleen nog maar bestolen door de nl overheid...

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013