Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 93 reacties

De ip-adressen die in november 2014 werden gekaapt door een groep Bulgaarse criminelen, blijken tijdelijk te zijn ontvreemd via het border gateway protocol. Dat heeft onderzoek uitgewezen, schrijft minister Koenders van Buitenlandse Zaken in een brief aan de Kamer.

In juli werd via de Volkskrant bekend dat verschillende ip-adressen in het blok 193.177.64.0/18 tussen 19 en 26 november 2014 in handen zijn geweest van Bulgaarse criminelen. De adressen behoren toe aan het ministerie van Buitenlandse Zaken. Naar aanleiding van deze gebeurtenis, stelde Kamerlid Oosenbrug van de PvdA vragen aan de minister. Donderdag deelde de minister zijn antwoorden schriftelijk mee.

Uit het schrijven blijkt dat onderzoek heeft uitgewezen dat de ip-adressen tijdelijk gekaapt zijn via bgp-hijacking. De adressen van BZ werden op dat moment niet actief gebruikt. Een kapingsmelding werd op 27 november 2014 door het Cyber Security Centrum ontvangen vanuit het Computer Emergency Response Team, CERT. De melding betrof een 'ongebruikelijke routering van de bewuste ip-adressen'.

Het onderzoek heeft niet weten te achterhalen of de ip-adressen in de bewuste periode zijn misbruikt. Uit de brief van de minister blijkt dat er verder geen onderzoek gedaan zal worden naar eventueel misbruik van de adressen omdat 'vanwege het wereldwijde karakter van het internet het niet realistisch is sluitend onderzoek te verrichten'. Het bedrijf Spamhaus, dat contact opnam met de Volkskrant na het plaatsen van de ip-adressen op een zwarte lijst, kon volgens het ministerie ook niet zeggen of er daadwerkelijk spam via de adressen verstuurd is.

Vragen met betrekking tot de beveiliging en veiligheid van de ict-systemen van de Rijksoverheid worden in alle gevallen positief beantwoord. Wat de minister niet uitlegt in zijn brief, is dat bgp-hijacking vrijwel niet te voorkomen is, zoals ook in het artikel 'De achilleshiel van het internet' dat onlangs op Tweakers verscheen, staat.

Ip-adressen BuZAIp-adressen BuZA

Moderatie-faq Wijzig weergave

Reacties (93)

Als er geen spam was verstuurd, waarom plaatste spamhaus het dan op hun blacklist?
Weet dat het een zeer luguber bedrijf is, maar dat is wel erg vaag... Zal wel op een blacklist geplaatst zijn omdat het routeerde naar een provider waar ze ruzie mee hadden...?

"Vragen met betrekking tot de beveiliging en veiligheid van de ict-systemen van de Rijksoverheid worden in alle gevallen positief beantwoord."

Dat het positief beantwoord wordt, maakt het nog niet waar. Ik ben benieuwd hoeveel analyses daar nou werkelijk op los gelaten worden, ook bij derde partijen waarvan ze afhankelijk zijn... Want daar was het in het verleden mis.

Het zou niet de eerste keer zijn dat het veilig geacht wordt, maar dat niet helemaal blijkt te zijn.

[Reactie gewijzigd door WhatsappHack op 27 augustus 2015 15:17]

Als er geen spam was verstuurd, waarom plaatste spamhaus het dan op hun blacklist?
Weet dat het een zeer luguber bedrijf is, maar dat is wel erg vaag... Zal wel op een blacklist geplaatst zijn omdat het routeerde naar een provider waar ze ruzie mee hadden...?
Hierom denk ik.
Ik citeer:
This allows your router equipment to block packets originating from IP addresses involved in certain types of malicious activity
En vervolgens hele uitleg over als er botnets op zitten, extreem veel spam wordt verstuurd, et cetera.
Dan moet er dus *toch* wat gebeurt zijn lijkt me, voordat die IP adressen op die lijst komen ;)
Het wijzigen van een route an sich moeten mensen namelijk helemaal zelf weten, dat kan Spamhaus niet zomaar ruiken of dat legitiem was of niet.
Er is ook wat gebeurd. De adressen waren gekaapt. Dat vind ik wel 'malicious'.
Maar dat kan SpamHaus niet van tevoren weten...
Dat is "in hindsight"... We *weten* nu dat het niet de bedoeling was, en dus is het inderdaad een malicious actie geweest ja. Maar hoe weet SpamHaus dat op dat moment al...?

Het veranderen van een route op BGP naar een andere ISP is niet per definitie al "malicious", dat kan ook door de provider/reeks eigenaar zelf zo zijn gedaan.
Stel ik heb de range 1.2.3.4/24 en ik heb een nieuw contract afgesloten bij een provider in een ander datacentrum, en wil dat zij m'n IP's gaan routen: dan kan dat gewoon. Beetje raar als Spamhaus dan zomaar m'n IP's gaat blacklisten...

SpamHaus kan dus niet van tevoren al ruiken of het wel of niet toegestaan was dat die route geadverteerd werd...
Maar dat kan SpamHaus niet van tevoren weten...
...
SpamHaus kan dus niet van tevoren al ruiken of het wel of niet toegestaan was dat die route geadverteerd werd...
Het is de vraag of Spamhaus de IP adressen alleen heeft geblokkeerd op basis van die BGP aanpassing. Als ze tevens op de hoogte waren van de eigenaar van die IP adressen en van de nationaliteit en reputatie van de provider die claimt ze vanaf dan af te handelen dan kan die optel som er in geresulteerd hebben dat ze voldoende aanwijzingen hadden om er van uit te gaan dat deze aanpassing frauduleus was.

Desondanks heb je wel een punt als je stelt dat Spamhaus waarschijnlijk niet zeker wist of het hier om een geval van hijacking ging. Ik weet dat er in het verleden nog als een wat partijen zijn geweest die zich beklaagd hebben omdat ze zonder goede/verklaarbare reden op de IP blacklist terecht gekomen waren. De partijen die met Spamhaus samenwerken zijn een stuk groter, machtiger en talrijker dan de partijen die er serieuze problemen mee hebben. Dat neemt echter niet weg dat niet iedereen zich kan vinden in hun manier van werken.
Dat het positief beantwoord wordt, maakt het nog niet waar. Ik ben benieuwd hoeveel analyses daar nou werkelijk op los gelaten worden, ook bij derde partijen waarvan ze afhankelijk zijn... Want daar was het in het verleden mis.
Waarom wordt er überhaupt gekeken naar de beveiliging van BuZa...? Rotzooien met BGP is in feite een vorm van DoS: "Die IP-adressen van jou... die zijn nu van mij". Er is op geen enkele manier zelfs maar contact met (laat staan inbreken op) servers van BuZa nodig om dit voor elkaar te krijgen.

Tenzij andere systemen toegang geven (onder andere) op basis van een lijst van vertrouwde IP-adressen, hebben ze er zelf niet eens echt last van. Dat de melding van Spamhaus komt klinkt alsof een stel criminelen ervan baalde dat hun eigen ranges geblacklist waren en een truc bedacht hebben om te kunnen spammen vanaf "betrouwbare" IP-adressen.
Hmmz, van BuZa verwacht ik nou juist wèl dat er interessante mogelijkheden ontstaan als je hun IP-adressen kaapt. De overige ministeries zullen niet vreselijk veel connecties met het buitenland hebben, maar BuZa heeft ongetwijfeld VPN verbindingen lopen naar ambassades en consulaten.
Zoals ik zei: "Tenzij andere systemen toegang geven (onder andere) op basis van een lijst van vertrouwde IP-adressen"

Maar ik mag hopen dat connecties niet worden geaccepteerd alleen op basis van IP-adres, toch? Tuurlijk, als er meerdere stappen zijn (waarbij de verbinding meteen wordt afgekapt, zonder zelfs maar om een password te vragen, als het IP-adres onbekend is), dan zou dit een stapje op weg naar een hack kunnen zijn. Maar dat is nog wel even een gigantisch verschil met dat de beveiliging helemaal gekraakt is.
En dan hebben we het nog niet gehad over het feit dat je zo'n whitelist waarschijnlijk met enige aandacht opstelt; niet alle IP-adressen die jouw organisatie in beheer heeft gaan daar automatisch op. (En deze range was echt alleen maar toegekend, niet eens in gebruik, dus die zou nooit op dat soort lijstjes mogen staan.)

Je hebt gelijk, er nog eens extra over nadenken kan geen kwaad, maar ik zie nog steeds geen reden voor de paniekzaaierij / wantrouwen / achterdocht in de post van WhatsappHack.
Je hebt gelijk, er nog eens extra over nadenken kan geen kwaad, maar ik zie nog steeds geen reden voor de paniekzaaierij / wantrouwen / achterdocht in de post van WhatsappHack.
Euh, pardon?
Paniekzaaierij omdat ik me afvraag hoe het met de beveiliging van de overheidsystemen gesteld is? Dat mag ik mij niet afvragen?
Zeker niet als we kijken dat in het verleden inderdaad er het een en ander mis is gegaan bij derde partijen waar de overheid hevig op leunde, en de mega IT-fails die de overheid tentoon heeft gesteld in de afgelopen jaren?

Ik heb het niet enkel over hun BGP, ik heb het over dat hele departement... Net als de minister dus. ;)

Maar excuses als ik me iets afvraag over de beveiliging van de overheid systemen hoor. :P

[Reactie gewijzigd door WhatsappHack op 27 augustus 2015 19:05]

Lees dit artikel eens: reviews: Border gateway protocol: de achilleshiel van internet
Het is als het ware te vergelijken met een stel criminelen dat met omleidingsborden op de wegen naar het ministerie gaat staan. Echt verkeer komt dan niet bij het ministerie aan, maar dat betekent niet dat de kluis meteen gekraakt is.
I know, ik weet hoe de protocollen werken.
Het probleem is echter wel dat er, mits de adressen actief waren, bijvoorbeeld verkeer onderschept had kunnen worden, er valse informatie uitgegeven had kunnen worden, websites leipe informatie hadden kunnen gaan vertonen, et cetera.

En dat is wel degelijk een probleem.
Maar daar had ik het eigenlijk niet over, ik had het meer over de beveiliging an sich; over de gehele linie dus. Niet enkel op het BGP vlak. :)
tuurlijk mag je afvragen of de beveiliging goed zit.
maar dat is in dit geval compleet irrelevant. in dit geval zul je bij de internet provider moeten zijn. aan het kapen van de ip reeks door middel van BGP kun je als eindgebruiker niets doen.
Wat robvanwijk terecht zegt is dat er bij dit incident ubehaupt geen aanval op een overheidssysteem is geweest. Dus de vraag kan je best stellen, maar is grotendeels ongerelateerd aan dit incident.

Het is alsof iemand in Bulgarije een kantoorgebouw huurt, en op de voordeur een bordje schroeft met "Nederlands ministerie van Buitenlandse Zaken". Dat er kamervragen gesteld worden snap ik nog wel, maar zouden er dan ook vragen gesteld worden of de toegangsbeveiliging van de kantoorgebouwen van BuZa wel op orde is? Dat is toch niet de aanvalsvector? Waarom worden nu wel vragen gesteld over de beveiling van een systeem dat niet aangevallen is?

(Ja, ik weet dat je hier wel iets tegen kan doen, namelijk zorgen dat je RIPE database up-to-date is en je BGP route announcements signen. Dat voorkomt niet dat er een BGP hijack is, maar zorgt wel dat het makkelijker voor anderen is om deze als 'hijack' te herkennen.)

[Reactie gewijzigd door MacFreek op 28 augustus 2015 09:07]

Weet dat het een zeer luguber bedrijf is, maar dat is wel erg vaag...

Wat bedoel je precies, dat Spamhaus een luguber bedrijf is? Dacht dat het juist een bonafide spambestrijder was, reden waarom providers als xs4all gebruik maken van hun blacklists?

[Reactie gewijzigd door Eager op 27 augustus 2015 14:48]

In 2007 heeft Spamhaus de Oostenrijkse domein registratie organisatie erop gewezen dat een aantal van de door hun uitgegeven domeinen actief werden misbruikt voor phishing. De Oostenrijkers weigerde vervolgens om hier tegen op te treden, waarop Spamhaus de e-mail adressen van die organisatie op de zwarte lijst had geplaatst vanwege het bewust helpen en ondersteunen van criminelen.

Hoewel het een beetje twijfelachtig is, klopt dat in principe wel, en vind ik persoonlijk dat het een prima actie was. Andere denken daar anders over, zoals WhatsappHack dus.
Zolang je een dienst afneemt (domeinnaam) en je houd je aan de voorwaarden die erbij horen kan de dienstverlener niet optreden. Ik ken geen enkele registrar die verbied om bulk mailing te doen vanaf een domein dat door hen is uitgegeven. Daarnaast zijn domeinnamen (zeker bij e-mail) enorm eenvoudig te vervalsen. De registrat dan maar op de zwarte lijst zetten is gewoon foutief.
Het ging om phishing, niet om spam. En als registrars spamming niet verbieden (dat is wat anders dan bulk mailing natuurlijk), moeten ze misschien hun gebruiksvoorwaarden veranderen. Er was ook geen enkele twijfel dat deze domeinen door hun waren uitgegeven, en ze voor criminele activiteiten werden gebruikt. Dan kan de registrar dat lekker door laten gaan ja. Maar dan je e-mail geblokkeerd zien worden vanwege helpen van criminelen lijkt mij ook niet vreemd.
Hier heeft UPC ook een aantal problemen gehad in het verleden. Een van de e-mail servers stond op deze blacklist en hierdoor ontstonden problemen. Snap hun redenering wel maar af en toe kort door de bocht als je het mij vraagt.
Het is op zich wel een bonafide spambestrijder maar wel eentje met radicale methodes die sommigen als chantage zien. Ze volgen de "wie niet met ons is, die is tegen ons en dus een spammer" redenatie. Door hun radicale aanpak vallen er regelmatig onschuldige slachtoffers. Zo is menig bedrijf op de zwarte lijst gekomen omdat ze internet af namen van een provider die ook zaken deed met spammers.

Overigens is minstens de helft van het probleem dat nogal wat mailservers blind vertrouwen op het oordeel van Spamhaus. Slimme beheerders vertrouwen niet op een enkele blacklist maar combineren verschillende methodes en blokkeren pas als er meerdere aanwijzingen zij dat het om spam gaat. Als iedereen dat zou doen dan was de radicale aanpak van Spamhaus niet zo erg maar nu zorgt het voor nogal wat "collateral damage".
Als er geen spam was verstuurd, waarom plaatste spamhaus het dan op hun blacklist?
Weet dat het een zeer luguber bedrijf is, maar dat is wel erg vaag... Zal wel op een blacklist geplaatst zijn omdat het routeerde naar een provider waar ze ruzie mee hadden...?
In het artikel valt te lezen dat Spamhaus het niet kan zeggen. Dat kan natuurlijk meerdere redenen hebben... contract overeenkomsten tussen ministeries en derde partijen bijvoorbeeld, waarin expliciet staat vermeld dat ze dit soort informatie niet naar buiten mogen brengen tenzij ze schriftelijk toestemming hebben. Ik zeg niet dat dit het geval is, maar dit zou verklaren waarom Spamhaus niets verteld over de oorzaak van de blokkade.
Volgens mij kan je altijd nog gewoon zelf nieuwe entries in Spamhaus laten plaatsen.
Ik vermoed dat iemand zelf de records daar heeft toegevoegd, ook al zou er geen spam verstuurd zijn.

Weet niet precies hoe het zit.. neem aan dat niet zomaar iedereen dingen kan toevoegen, maar bepaalde instanties zullen dat vast kunnen.
Bits for Freedom ofzo waarschijnlijk? (daar zitten mensen tussen, waar ik niet over te spreken ben, maar dat terzijde).. Verschrikkelijk ontoepasselijke Christelijke nasmaak had die persoon, bah.
(verder prima organisatie, maar sommige zijn zo ontzettend kinderlijk / doen het voor portfolio uitbreidingen)

- edit .. in het screenshot lijkt de context te zeggen, dat de bulgaren het zelf hebben aangegeven.. maar dat zal wel nie. (mooi trouwens. "Marketing") :p

[Reactie gewijzigd door WDMeaun op 27 augustus 2015 14:59]

Bits of Freedom heeft niks met spam te maken, die komen op voor digitale burgerrechten. Volgens mij hebben die totaal geen contacten met spamhaus of andere organisaties die operationele taken of diensten op internet hebben. Ze zijn meer politiek bezig.
Nee oke.. maar ik ken verder de organisaties allemaal niet.. ging mij meer om het feit, dat ook losse meldingen gedaan kunnen worden. (tenminste dat dacht ik dan)
@WhatsappHack
Als er geen spam was verstuurd, waarom plaatste spamhaus het dan op hun blacklist?
Weet dat het een zeer luguber bedrijf is, maar dat is wel erg vaag... Zal wel op een blacklist geplaatst zijn omdat het routeerde naar een provider waar ze ruzie mee hadden...?
Graag wil ik je helpen je "kennis" wat uit te breiden. Over wie en wat Spamhaus is kan je hier https://en.wikipedia.org/wiki/The_Spamhaus_Project en hier lezen https://www.spamhaus.org/organization/

Welke bedrijven Spamhaus allemaal sponsoren kan je hier zien: https://www.spamhaus.org/organization/sponsors/

De saillante zaken heb ik nog even kort voor je samengevat:
(1) Spamhaus is geen bedrijf, maar een non-profit organisatie
(2) De sponsorlijst omvat namen als XS4ALL, Surfnet, en Amazon Web services, NordUNet, en Tele2.
(3) Spamhaus heeft diverse conflicten gehad met spammers en malafide of onverantwoordelijke internet providers, maar is steeds brandschoon uit de strijd tevoorschijn gekomen

Conclusie:
- Spamhaus is helemaal geen bedrijf, zoals jij denkt
- er is helemaal niks "lugubers" aan Spamhaus, want anders had dat wel op Wikipedia gestaan en hadden ze niet zulke gerenommeerde sponsors gehad
- zonder Spamhaus hadden we nu veel en veel meer spam gehad, en zou zelfs jouw inboxje allang zijn volgespamd

[Reactie gewijzigd door Golodh op 27 augustus 2015 20:38]

Hallo Golodh,

Dank voor je "objectieve" wij van WC-eend linkjes.
Ook handig om te zien dat er kennelijk wat sponsoren weg zijn!

1.) Lekker boeiend, of je het nu een Elstar of een Jonagold noemt: het blijft een appel..
2.) Toppie. En? In welk opzicht moet dat mijn mening over dit criminele bedrijfje beinvloeden?
3.) Brandschoon? Dat is jou mening, en daar zijn de meningen heel erg sterk over verdeeld. Onverantwoordelijk is ook een belachelijke beschuldiging waar je nul komma nul bewijs voor hebt.

Conclusie:
- Ja, semantics.
- Er is extreem veel lugubers aan de bijna criminele organisatie Spamhaus. Staat het een en ander op wiki, maar je kan moeilijk objectief over SpamHaus publiceren op een site als WikiPedia; voor ze het weten verdwijnen ze in een blackhole. :) Vandaar dat de history heel vaak gewijzigd is.
- Mijn inbox wordt dagelijks helemaal volgespammed, SpamHaus draagt heel erg weinig bij aan het daadwerkelijke spam probleem op het internet. Ze presenteren zich als de messiah, maar halen eigenlijk bijna niets uit: zelfs niet na al hun criminele praktijken... Kan je nagaan hoe nutteloos het is dat SpamHaus zoveel mensen bedreigt, bedriegt en afperst.

Als SpamHaus niet zo'n achterbakse en extreem gevaarlijke strategie had die het gehele internet bedreigd: dan hadden ze een stuk meer kunnen uithalen en was het een veel betere provider geweest. Helaas gedragen ze zich liever als een stel criminelen...
Maarja, het is een beetje hypocriet om de (net geen officiele, scheelde een haar) crimineel SpamHaus wel te omarmen, puur en alleen om de crimineel die spamt weg te duwen. The enemy of my enemy is my friend, ofzo?

Naja...

[Reactie gewijzigd door WhatsappHack op 27 augustus 2015 21:05]

@WhatsappHack

(1) Wikipedia besteed er veel energie aan om hun artikelen te beschermen tegen subjectief editen en zich angstvallig houden aan verifieerbare feiten.

Maar dat betekent niet dat ze (zoals typisch Nederlands schijnt te zijn) bij alles wat ze horen zeggen "och, beide partijen zullen wel wat gelijk hebben, dus laten we maar (zonder ergens iets van af te weten) aannemen dat de waarheid in het midden ligt. Op sommigen kan dat inderdaad overkomen als "niet objectief".

Hoor jij daar soms ook toe?

(2) Je zou bijvoorbeeld eens kunnen gaan nadenken of je (luid geventileerde) mening misschien niet onderbouwd zou moeten worden.

(3) Ongefundeerde meningen (ook die van jou) heb ik niet zoveel aan. Als SpamHaus rechtszakenverloren had dan stond dat wel op Wikipedia.

Ad "semantics". Misschien is het je ontgaan dat "semantics" gaat over de *betekenis* van woorden. Maar voor jou schijnt die betekenis niet van belang te zijn?

Ad "lugubers": als je geen linkje (naar een feitelijk traceerbaar verhaal, dus geen echo van wat jij schrijft) kan bijsluiten dan zou ik maar even ophouden met sterke verhalen als waarheid neer te zetten. Ik zit b.v. niet te wachten op de mening van Cyberbunker sympathisanten.

Ad "jouw inboxje": blijkbaar doet SpamHaus niet genoeg en wordt het niet voldoende gevolgd. Boycotten van onveratnwoordelijke ISP's (waar zij zo tegen schijnt te zijn) zou flink kunnen helpen.

Voor de rest van je betoog: "put up or shut up" (oftewel: linkje graag, want jou geloof ik niet).
(1) Wikipedia besteed er veel energie aan om hun artikelen te beschermen tegen subjectief editen en zich angstvallig houden aan verifieerbare feiten.
Dat hebben we vorige week gezien ja...
Maar goed, over het algemeen doen ze erg hun best ja.
Maar dat betekent niet dat ze (zoals typisch Nederlands schijnt te zijn) bij alles wat ze horen zeggen "och, beide partijen zullen wel wat gelijk hebben, dus laten we maar (zonder ergens iets van af te weten) aannemen dat de waarheid in het midden ligt. Op sommigen kan dat inderdaad overkomen als "niet objectief".

Hoor jij daar soms ook toe?
Nee hoor, ik baseer me gewoon op de feiten.
SpamHaus heeft providers gechanteerd, zo simpel is het.

Daardoor zijn ze in 1 klap heel erg hard gekelderd in mijn respect, en vind ik ze inderdaad zeer luguber.

De waarheid ligt ook in het midden. SpamHaus doet een aantal goede dingen, en blokkeert ook daadwerkelijk een aantal notoire spammers, en dat is prima.
Maar SpamHaus doet ook zeer foute dingen, zoals providers chanteren.

Er zijn mensen die dat willen ontkennen en vinden dat "het doel heiligt de middelen", ik gok dat ik er nu eentje tegenover me heb. :)

Je kan moeilijk ontkennen dat er zeeeen aan bewijs is voor het wangedrag van SpamHaus. Als je dat wil ontkennen, dan behoor jij dus *zelf* tot die groep. :X
Jij neemt dan van SpamHaus aan dat het allemaal onzin is, ongeacht dat er duizenden mensen en bedrijven zijn die het slachtoffer zijn geworden van chantage praktijken van SpamHaus.
(2) Je zou bijvoorbeeld eens kunnen gaan nadenken of je (luid geventileerde) mening misschien niet onderbouwd zou moeten worden.
Dat heb ik al meerdere malen gedaan, en er zijn hier door meerdere mensen links gegeven naar voorbeelden van de chantage praktijken.
Ik heb jou echter nog geen enkele link zien geven die het tegendeel bewijst, enkel een linkje naar SpamHaus eigen website waar ze zeggen super goed en smetteloos te zijn.

Is het niet wat hypocriet om te stellen dat ik maar wat roep, terwijl je zelf totaal geen moeite neemt om je verhaal te onderbouwen?
(3) Ongefundeerde meningen (ook die van jou) heb ik niet zoveel aan. Als SpamHaus rechtszakenverloren had dan stond dat wel op Wikipedia.
Dat staat ook op Wikipedia...
Spamhaus heeft meerdere rechtszaken verloren. Ze staan niet *allemaal* op WikiPedia, dat klopt.
SpamHaus is zelfs een keer veroordeeld tot het betalen van $11 miljoen schadevergoeding en de rechters dachten eraan om SpamHaus domeinen bij ICANN te laten droppen... Uiteindelijk is het gesettled iirc.

Wel grappig dat je mijn mening ongefundeerd noemt, terwijl die van jou juist geheel ongefundeerd blijkt te zijn, en zelfs de feiten die voor je neus liggen nog negeren door te stellen dat Spamhaus helemaal nooit iets fout doet... Maarja.
Ad "lugubers": als je geen linkje (naar een feitelijk traceerbaar verhaal, dus geen echo van wat jij schrijft) kan bijsluiten dan zou ik maar even ophouden met sterke verhalen als waarheid neer te zetten. Ik zit b.v. niet te wachten op de mening van Cyberbunker sympathisanten.
Ik beslis zelf wat ik wel of niet post, wel een beetje freaky dat je er nu een SpamHaus tactiek op nahoudt.

Anyway, wil je nu beweren omdat ik tegen de chantage praktijken van SpamHaus ben dus maar een sympathisant moet zijn van CyberBunker? Zo'n "you're with us, or you're against us" argument? Ik snap wel waarom je een fan van SpamHaus bent. o0

Er zijn al meerdere linkjes geplaatst, ik zal voor de lol ook een hele kleine selectie aan wat horrorverhalen met je delen:

https://isc.sans.edu/forums/diary/Blacklists+Politics/3042/
http://linux.andreagozzi.com/content/spamhaus_article.php
http://www.lowendtalk.com...4/spamhaus-is-at-it-again
http://webb.resilans.se/d...-incident-20140227-en.pdf
Login benodigd om de attachments te lezen, maar zeer interessant: http://www.webhostingtalk.com/showthread.php?t=1423951
http://www.ripoffreport.c...ing-ip-space-owne-1146014
Ad "jouw inboxje": blijkbaar doet SpamHaus niet genoeg en wordt het niet voldoende gevolgd. Boycotten van onveratnwoordelijke ISP's (waar zij zo tegen schijnt te zijn) zou flink kunnen helpen.
Nee hoor, het blokkeren van totaal onschuldige IP adressen van onschuldige bedrijven en onschuldige particulieren draagt absoluut NIET bij aan het oplossen van een spam probleem.
Hoe jij kan denken van wel is mij een raadsel, wat heb je eraan om IP adressen die nooit spam versturen op je blacklist te hebben?
Mag je mij toch eens ff uitleggen hoe dat in godsnaam nuttig is.
Voor de rest van je betoog: "put up or shut up" (oftewel: linkje graag, want jou geloof ik niet).
Ja, hier idem dito.
Onderbouw je verhaal eens, in plaats van enkel constant te schreeuwen dat ik ongelijk heb en dat SpamHaus een extreem super coole bedrijfje organisatie is die nog nooit van hun leven ook maar iets fout hebben gedaan, nog nooit aangeklaagd zijn, nog nooit rechtszaken hebben verloren en al helemaal nog nooit iemand hebben gechanteerd...

Put up or shut up, want jou geloof ik niet.
Spamhaus is meer dan alleen spam. Het is een blacklist van abusers. Ik gebruik die list ook op mijn machines, dus toegang zal ook geweigerd worden vanaf of naar die ip-adressen.

Het is nu al niet veilig geacht:
Wat de minister niet uitlegt in zijn brief, is dat bgp-hijacking vrijwel niet te voorkomen is, zoals ook in het artikel 'De achilleshiel van het internet' dat onlangs op Tweakers verscheen, staat.

bgp kan alleen hard worden aangepakt met validatiepunten, maar dit zou weer veel geld kosten. De overheid kan hierop inspelen, maar de kans dat het weer gebeurd is aanwezig. Bepaalde ranges blokkeren heeft ook niet veel zin, overnemen kan altijd.

Onderzoek verrichten kan juridisch misschien handig zijn, technisch gezien, als het bgp is, heeft het echt weinig zin.
IK vind het vreemd om te horen dat de overheid gewoon een ipv4 subnet heeft waar ze helemaal niets mee doen. Ik zou zeggen lever ze in zo dat ze ergens anders nuttig gebruikt kunnen worden voor nu.
Misschien dat de overheid een beetje voorraad achter de hand wil houden.

Daarnaast is het inleveren van kleine blokjes relatief duur. De inleveraar moet waarschijnlijk een hoop werk doen (bv firewalls aanpassen) en krijgt daar niks voor terug.

Tegenwoordig kun je adresssen ook nog verkopen, zo'n /18 is 1 á 2 ton waard. Dat lijkt veel geld maar als dat betekent dat er in 400 gemeentes een systeembeheerder z'n firewall moet aanpassen dan is het natuurlijk niet de moeite waard.

Tenslotte moet je beseffen dat zo'n /18 niet echt zoden aan de dijk zet, die adressen zijn binnen de kortste keren weer vergeven. Zelfs als de adresruimte 100% efficient gebruikt was en er nooit een enkel adres zou zijn verspild dan zou het nog niet genoeg zijn om de hele wereld van internet te voorzien. Dan moet je je afvragen hoeveel tijd, geld en moeite de overheid moet besteden om het IPv4-internet een paar dagen langer in stand te houden. IMHO kunnen ze beter investeren in moderne technieken.

[Reactie gewijzigd door CAPSLOCK2000 op 27 augustus 2015 17:54]

Als iedereen nou eens stopt met moeilijk doen over IPv6 is dat probleem ook opgelost
Hoe kan Spamhaus het nu op een zwarte lijst zetten als er geen spam over is verstuurd?
Spamhaus plaatst zo een heel datacenter op de zwarte lijst, doen ze niet moeilijk over. Spamhaus is niet echt een heel net bedrijf.

https://en.wikipedia.org/wiki/CyberBunker#Spamhaus
Wat ik opmaak uit dat wikipedia-artikel is dat CyberBunker een stel smeerlappen zijn, en dat Spamhaus aan de kant van de "goeien" strijdt. Ik snap niet wat je nu hier mee wilt zeggen.
Cyberbunker is een bedrijf dat rackspace, VPS'en en andere services aan bied aan mensen die betalen. Dat de manier waarop misschien niet net is en de afhandeling van dit geval ook niet net is, heb je gelijk in. Maar er zitten naast het tuig ook gewoon bedrijven in dat datcenter. Dat ze spammers aanpakken betekent niet dat ze een volledig datacenter op de zwarte lijst mogen zetten, ondanks dat de manier waarop het bedrijf handelt niet net is. In dat opzicht is Spamhaus in mijn ogen net zo fout als de DDoS'ers.
Dat ze spammers aanpakken betekent niet dat ze een volledig datacenter op de zwarte lijst mogen zetten, ondanks dat de manier waarop het bedrijf handelt niet net is.
Het Internet is een samenwerkings-verband. Niemand is de baas. Er is geen Internet-politie. Alles wat gebeurt, alle vooruitgang, alles is erop gebaseerd dat mensen samenwerken.

Ik vroeg ooit aan iemand (in 1990!) wat er zou gebeuren als iemand zich misdraagt op het net. Onze lokale Internet-guru zei toen: "dan vraagt iedereen aan de buurman van de overtreder of hij die persoon van het net wil afsluiten". Dat klonk me toen als een hele redelijke oplossing.

Tegenwoordig is de topologie van het Internet een stuk een stuk meer "dense". Alle delen zijn via veel meer paden met elkaar verbonden. De meeste ASs hebben meer dan 1 buurman. Je kunt dus niet iemand afsluiten van het net, omdat hij zich slecht gedraagt, door een enkel link af te sluiten. Maar via een blacklist, verspreid via BGP, gaat het een stuk makkelijker. Niemand is verplicht om die blacklist te volgen. En toch zijn er veel gebruikers.

Het principe werkt eigenlijk nog steeds hetzelfde als in 1990.
Als iemand zich misdraagt, dan vraag je aan zijn provider om hem af te sluiten.
Als die provider daar schijt aan heeft, dan vraag je aan z'n buren om die provider af te sluiten.
Enzovoorts.

Als ergens in die keten end-customers de dupe worden, dan is dat jammer. Dan hebben ze hun business naar de verkeerde provider gebracht. Gewoon van provider wisselen. Is misschien iets duurder, maar dan krijg je wel een provider die een stuk meer ethisch is. En de niet-ethische provider zal dan misschien uiteindelijk toch zijn semi-criminele klanten afstoten, om zijn brave klanten te behouden.

Er is geen Internet-politie.
Als je dit soort samenwerking van de rest van het net wilt verbieden, hoe moet je dan schuins-marcheerders in het gareel krijgen ?
Maar wie ben jij of ik om te bepalen dat iemand anders zich misdraagd? Waarom zouden wij ineens het recht in eigen handen mogen nemen?

Er is inderdaad geen internetpolitie, maar organisaties zoals spamhaus denken wel dat zij het recht hebben om hun macht te misbruiken om zo anderen de les te lezen. En je kan er simpelweg niet tegen opboksen.
Niemand neemt het recht in eigen handen. Maar iedereen mag wel bepalen wet wie hij zaken doet. En met wie niet. En dus ook met wie op het Internet hij traffic uitwisselt.

De meerderheid zegt dat jij (of een van je klanten) zich misdraagt. De meerderheid zegt: op houden, of je praten niet meer met je. Toch doorgaan ? Dan zul je de consequenties moeten accepteren. Alleen spelen, in je eigen zandbak in je eigen achtertuin. De andere kindertjes willen je er niet meer bij hebben.

Denk je dat Spamhaus de baas is ? Tuurlijk niet. Die leveren een service. Als hun klanten, of een groot deel daarvan het niet met Spamhaus eens zijn, dan is Spamhaus zo zijn klanten kwijt. Als Spamhaus onredelijk is, dan bestaan ze niet lang.

Het gaat altijd om grijze gebieden. Iemand denkt dat hij slim is, en geld kan verdienen door iets grijzigs te doen. Er zijn geen wetten tegen, of het ligt internationaal op onontgonnen terrein. En dan zeggen anderen: "dat willen we niet, rot maar op". En dan gaan de gluiperds huilen dat ze "volgens de letter van de wet niets illegaals doen".

Email-spam is ook zo begonnen. Iedereen snapt binnen een seconde dat email-spam een negatief iets is. Het verspilt miljoenen manuren van mensen die hun spam moeten wegklikken. Het maakte email van de killer-app van het Internet tot iets wat eigenlijk niet meer leuk is. Maar de wet zei er niks over. Totdat wetten werden aangepast. En toen gingen advocaten zich er mee bemoeien. Etc, etc.

Spammers zijn gluiperige smeerlappen. En als ze gaan janken als anderen hun smeerlapperij minder effectief maken, dan zijn het ook nog eens hypocriete huichelachtige smeerlappen.
De meerderheid zegt dat jij (of een van je klanten) zich misdraagt. De meerderheid zegt: op houden, of je praten niet meer met je. Toch doorgaan ?
Dat zegt de meerderheid dus niet, dat zegt enkel SpamHaus. ;)
Als hun klanten, of een groot deel daarvan het niet met Spamhaus eens zijn, dan is Spamhaus zo zijn klanten kwijt. Als Spamhaus onredelijk is, dan bestaan ze niet lang.
Het is inderdaad een enorm grote prestatie dat ze uberhaupt nog bestaan. Hoe ze het flikken weet ik niet, maar weet wel dat het juridisch daar een beetje vaag in elkaar zit. Eigenlijk houdt Spamhaus er de praktijken op na van de personen die ze zo graag bestrijden... Afijn.

Het klopt echter wel dat steeds minder mensen blind die lijsten van SpamHaus vertrouwen, en terecht ook.
Dat kan Spamhaus niet boeien, want die zegt dan gewoon dat die providers waarschijnlijk iets te verbergen hebben ofzo.

Als ze zo doorgaan en nog vaker providers gaan chanteren dan ze nu al doen, dan zal het inderdaad nog harder bergafwaarts gaan en zijn we hopelijk snel verlost van deze lugubere figuren.

Er zijn tig blacklists die prima en netjes IP's blokkeren die daadwerkelijk schuldig zijn, maar geen onschuldige reeksen gaan blacklisten om providers te chanteren.
Dat zijn de betere blacklists om mee te werken. :)

Dat is eerlijk voor iedereen... Je hoeft geen crimineel te zijn om criminelen te blokkeren, maar het is wel gek dat veel providers (voornamelijk in het verleden) wel een borderline crimineel bedrijf hebben vertrouwd en toegejuicht... Tot aan het licht kwam hoe diep de chantage werkelijk ging.
Dus er zijn volgens jou andere black-lists die het beter doen ? Prima toch. Dan gaan die de markt overnemen, en Spamhaus zal zich beter moeten gedragen, of ze zijn binnenkort failliet.

Wat is het probleem ook al weer ?
Wat is het probleem ook al weer ?
Dat SpamHaus een luguber bedrijf is, daar ging het over. :)
Of het probleem niet op te lossen valt is wat mij betreft nooit aan de orde geweest, die is zelfs relatief simpel als er maar genoeg mensen meewerken.
@WhatsappHack
[...]
Dat zegt de meerderheid dus niet, dat zegt enkel SpamHaus. ;)
Wat Spamhaus "zegt" krijgt alleen maar effect als de afnemers van hun spamlijst daarin meegaan. En dat doen ze blijkbaar.
[...]
Het is inderdaad een enorm grote prestatie dat ze uberhaupt nog bestaan.
Inderdaad, ondanks de ruime hoeveelheid verdachtmakingen en achterklap.
Hoe ze het flikken weet ik niet,
Blijkbaar zijn ze zo waardevol dat men ze blijft steunen en hun werk blijft gebruiken.
maar weet wel dat het juridisch daar een beetje vaag in elkaar zit.
Zo, weet je dat? En wat is er zo "vaag" aan het onderbrengen van de verschilende activiteiten in verschillende LTD's (het is een Britse organisatie)?

Jij zou het ze dus wel aanraden om alle ctiviteiten onder 1 bedrijf te scharen? Beetje erg naief dus.

Als een spamcowboy die goed in de slappe was zit zowel de infra als alle activiteiten probeert te stoppen door 1 bedrijf failliet te procederen, wie gaat Spamhaus in zo'n geval helpen? Jij zeker?
Eigenlijk houdt Spamhaus er de praktijken op na van de personen die ze zo graag bestrijden... Afijn.
En dat kan je staven? Linkje graag!

Voor een goed begrip: als een ISP het vertikt om actie te ondernemen tegen een account dat willens en wetens als spamkannon optreedt dan zou het blacklisten van die ISP chantage zijn?

Kom nou! Als ISP heb je ook nog zoiets als verantwoordelijkheid. Ook als het je eens niet uitkomt en je ook de inkomsten van je spamaccounts eigenlijk niet wilt missen. Als je er zo met de pet naar gooit dan kan je als (andere) ISP heel goed besluiten daarmee geen zaken meer te doen.

Weet jij veel of die spamfacilitator niet een mooi dealtje voor die spammers heeft in de trant van: "als je account geblacklist wordt dan geven we je binnen 8 hr een vers IP nummer"?
Het klopt echter wel dat steeds minder mensen blind die lijsten van SpamHaus vertrouwen, en terecht ook.
Dat kan Spamhaus niet boeien, want die zegt dan gewoon dat die providers waarschijnlijk iets te verbergen hebben ofzo.
Niet "blind vertrouwen" is inderdaad terecht, maar om een totaal andere reden dan jij schijnt te denken. Als ISP ben je ook verantwoordelijk voor wie je blacklist. Als je vindt dat SpamHaus niet de alleenzaligmakende waarheid presenteert, dan moet je zelf een afweging maken van of je de indicatie van SpamHaus wilt volgen. Simpel heh?
Er zijn tig blacklists die prima en netjes IP's blokkeren die daadwerkelijk schuldig zijn, maar geen onschuldige reeksen gaan blacklisten om providers te chanteren.
Dat zijn de betere blacklists om mee te werken. :)
Of niet natuurlijk. Een combinatie van een kwaadwillende ISP en een stel spammers kan daarmee zo onder alle filters uit. Maar dat schjijn jij "eerlijk" te vinden. Tsja.

[Reactie gewijzigd door Golodh op 27 augustus 2015 21:37]

Wat Spamhaus "zegt" krijgt alleen maar effect als de afnemers van hun spamlijst daarin meegaan. En dat doen ze blijkbaar.
Dat klopt, omdat als je spamhaus automatisch importeert op je drop lijst: dan ga je daarin mee.
Dat is geen bewuste keuze.

Wat wel een bewuste keuze is, is om niet meer zonder twijfel te vertrouwen op SpamHaus.
Gelukkig doen steeds meer providers dat, en vergelijken meerdere droplists om te controleren of het werkelijk een feit is dat er iets mis is met een range.
Zo worden onschuldige partijen minder snel de dupe van chantage praktijken van Spamhaus.
Inderdaad, ondanks de ruime hoeveelheid verdachtmakingen en achterklap.
En ondanks alle feiten en de enorme chantage praktijken, ook niet vergeten te noemen! :)
Blijkbaar zijn ze zo waardevol dat men ze blijft steunen en hun werk blijft gebruiken.
Oh ze dragen zeker wel wat bij aan de spam bestrijding hoor, dat zal ik niet ontkennen.
Het is meer de manier waarop.

Ik maak zelf ook gebruik van Spamhaus, enkel vertrouw ik SpamHaus niet exclusief.
Dat kan ik ook moreel niet maken, omdat ik dan mede verantwoordelijk ben voor het faciliteren van de chantage praktijken die Spamhaus er op nahoudt, dat heb ik liever niet op mijn geweten.

Derhalve controleer ik meerdere droplists en moeten er meerdere voldoen voordat de drop werkelijk actief wordt.
Wel zo veilig, en het beschermt het internet tegen malafide praktijken van verder bonafide bedrijven.

Het idee achter SpamHaus is prima, de uitvoering is zeer discutabel.
Zo, weet je dat? En wat is er zo "vaag" aan het onderbrengen van de verschilende activiteiten in verschillende LTD's (het is een Britse organisatie)?

Jij zou het ze dus wel aanraden om alle ctiviteiten onder 1 bedrijf te scharen? Beetje erg naief dus.
Verschillende TLD's hebben er helemaal niets mee te maken.
Spamhaus is helemaal geen britse organisatie. Ik dacht dat je mijn kennis zo summier vond en me graag wilde bijspijkeren.
Allow me to return the favor: SpamHaus zit in Geneve, ze hebben enkel een kantoortje in Londen.

En euh, waarom zouden ze hun activiteiten onder verschillende bedrijven moeten onderbrengen?
Wat willen ze daarmee bereiken/omzeilen...? Ah...
Als een spamcowboy die goed in de slappe was zit zowel de infra als alle activiteiten probeert te stoppen door 1 bedrijf failliet te procederen, wie gaat Spamhaus in zo'n geval helpen? Jij zeker?
Ze hebben toch zo tig veel sponsors?
Maar dat terzijde, waarom zouden ze risico lopen als ze 100% legitiem zijn?
De advocaat kosten worden dan immers vergoed, so what's the problem?

Als ze er geen rare praktijken op na zouden houden, zou dat niet eens een risico zijn...
En dat kan je staven? Linkje graag!
Is er hier nog niet genoeg over gezegd en gelinkt door meerdere personen dan?
Als ik iets gemist hebt of je hebt wat linkjes gemist, dan hoor ik dat uiteraard graag; ik zou niet willen dat je onvoldoende geinformeerd bent.
Voor een goed begrip: als een ISP het vertikt om actie te ondernemen tegen een account dat willens en wetens als spamkannon optreedt dan zou het blacklisten van die ISP chantage zijn?
Dat is niet van toepassing, en derhalve niet relevant.
Kom nou! Als ISP heb je ook nog zoiets als verantwoordelijkheid. Ook als het je eens niet uitkomt en je ook de inkomsten van je spamaccounts eigenlijk niet wilt missen. Als je er zo met de pet naar gooit dan kan je als (andere) ISP heel goed besluiten daarmee geen zaken meer te doen.
Uiteraard heb je die, en terecht.
SpamHaus heeft ook een verantwoordelijkheid, maar die laten ze achterwege in het kielzog van hun macht omdat zoveel mensen blind op hun droplists vertrouwden.

Er zit een groot verschil tussen niets ondernemen tegen je eigen klanten, en het weigeren om te censureren wat er over je netwerk heengaat via een andere provider die daar geheel verantwoordelijk voor is. Of dat nou spam is of niet, providers mogen niet zomaar voor eigen rechtertje gaan spelen.
Dat vind ik geheel onwenselijk, ja.

Als je nu een notoire spammer bent, zoals CyberBunker: prima als je geblokkeerd wordt.
Het blokkeren van CyberBunker bijvoorbeeld vond ik dus een prima actie, waar niets mis mee is.

Echter, het moedwillig chanteren van de upstream providers (meerdere) en totaal onschuldige en ongerelateerde reeksen van die provider blokkeren om zo druk uit te oefenen en zo'n provider te chanteren zonder dat hier ook maar een rechter aan te pas komt: dat is voor eigen rechtertje spelen, zeer onverantwoord en extreem gevaarlijk.
Weet jij veel of die spamfacilitator niet een mooi dealtje voor die spammers heeft in de trant van: "als je account geblacklist wordt dan geven we je binnen 8 hr een vers IP nummer"?
Dat was echter niet het geval, gezien CB altijd dezelfde eigen IP reeksen had.
Ze proxyde wel eens het een en ander zelf door andere IP's heen: maar daar kan zo'n provider niets aan doen... Zo werkt het internet nu eenmaal.
Beetje lullig om dan gechanteerd te worden door een organisatie met een godcomplex.
Niet "blind vertrouwen" is inderdaad terecht, maar om een totaal andere reden dan jij schijnt te denken. Als ISP ben je ook verantwoordelijk voor wie je blacklist. Als je vindt dat SpamHaus niet de alleenzaligmakende waarheid presenteert, dan moet je zelf een weging afweging maken van of je de indicatie van SpamHaus wilt volgen. Simpel heh?
Precies. Maar dat heb ik ook niet ontkend. Sterker nog: dat heb ik onderschreven.
Zijn we het kennelijk toch met elkaar eens. :) Op dat punt dan, in ieder geval.

Het enige dat ik aangaf was dat voorheen het probleem was dat veel providers geheel vertrouwden op SpamHaus, en de afwegingen die zij maakten; zeker omdat ze in beginsel heel erg goed bezig waren en nog geen enkele shady praktijk er op nahielden.
Pas toen SpamHaus bij herhaling in het IT nieuws kwam voor het chanteren van respectable bedrijven: toen gingen mensen zich even achter hun oren krabben of 1 partij wel zo'n macht zou mogen hebben... Snapje?

Nogmaals, ik ben niet tegen SpamHaus an sich of welke droplist dan ook.
Maar het ontkennen dat SpamHaus geen enorm vieze praktijk er op na heeft gehouden: dat stuit me even tegen de borst ja, dat mensen zo in de ontkenning zitten en blind willen zijn voor het feit dat SpamHaus hun macht heeft misbruikt om respectabele en nette providers te chanteren, puur omdat die providers zich aan de wet hielden: dat maakt het een heel erg eng bedrijfje.
Of niet natuurlijk. Een combinatie van een kwaadwillende ISP en een stel spammers kan daarmee zo onder alle filters uit. Maar dat scjijn jij "eerlijk" te vinden. Tsja.
Natuurlijk kan dat niet, dat is nogal een slippery slope...
Als 1 van de tig upstream providers in een blend meteen "kwaadwillende ISP" genoemd worden is niet enkel een grof overstatement, maar ook een complete verdraaiing van de realiteit en de fundamenten waarop het internet leunt.

Laat ik het zo stellen... Als een dictator 50000 man executeert omdat er 100 man zijn die hem tegenwerken maar waarvan hij niet weet wie het zijn, en dus uit voorzorg maar al die 50k mensen afslacht: dan is dat heel redelijk en goed, toch?
Moeten die 50000 mensen die in dat land wonen maar zorgen dat ze precies weten wie die 100 mensen zijn of ergens anders gaan wonen!
In dit geval is het nog erger: SpamHaus weet heel goed wie die 100 man zijn, maar besluit de 50000 in z'n totaliteit te onderdrukken, in plaats van enkel die 100.

[Reactie gewijzigd door WhatsappHack op 27 augustus 2015 21:39]

Spamhaus heeft macht omdat hun blacklist veel gebruikt wordt. In het geval van cyberbunker is eerst gewoon gevraagd om criminele servers of websites neer te halen, maar als daar niet op ingegaan wordt gooien ze de partij die niet meewerkt op hun blacklist.
Ja daar zijn klanten niet blij mee, maar als je keer op keer nul op het rekest krijgt bij abuse meldingen is dat de enige mogelijkheid die over blijft.
Dat is een artikel op de website van a2b-internet.
Alles wat ik na een snelle google-search kan bedenken:
1) a2b-internet doet iets grijzigs
2) andere ISPs bevalt dat niet
3) andere ISPs besluiten om geen traffic van a2b-internet meer te accepteren
4) a2b-internet gaat een potje lopen janken

Het Internet is een samenwerkingsverband. Duizenden bedrijven uit de hele wereld werken iedere dag samen. Zonder al te veel drama. a2b-internet doet iets wat alle anderen niet bevalt. a2b-internet denkt dat ze gelijk hebben, en de hele wereld heeft ongelijk.

Zo werkt het dus niet.
Je samenvatting klopt niet. A2B is een transit leverancier in het voorbeeld. SpamHaus wil in dit geval dwingen A2B te stoppen met de dienstverlening aan een van haar klanten en misbruikt hierbij de macht die het heeft (ban op alle IPs van A2B). Dit is onacceptabel. Dit is vergelijkbaar met het bannen van alle IP ranges van KPN als 1 klant van een klant van KPN (die hun netwerk gebruikt) heeft gespamd.

[Reactie gewijzigd door rensariens op 27 augustus 2015 18:09]

Dit is vergelijkbaar met het bannen van alle IP ranges van KPN als 1 klant van een klant van KPN (die hun netwerk gebruikt) heeft gespamd.
Nee. Dit is vergelijkbaar met het bannen van KPN *nadat* men gevraagd heeft aan KPN om die ene slechte appel van hun netwerk af te gooien. Als de KPN weigert, dan heeft iedereen het recht om niet meer met KPN te willen praten.

Is misschien niet altijd leuk. Maar als de meerderheid je niet moet, dan pas je je maar aan. Of je mag alleen in je eigen achtertuin spelen.

Wat moeten we dan doen, als iemand zich misdraagt en niet wil luisteren ?
Als je het werkelijk een slim plan vindt dat 1 partij zo'n enorme macht heeft, en dus ook vaak providers blokkeert die zelf niets fout doen puur om ze te chanteren (en ook als ze anti-spamhaus zijn en er sites zijn die daar veel over publiceren binnen hun netwerk): dan is er iets heel erg mis.

Als meerdere providers dat onderling zo zouden beslissen: prima.
Maar hier maakt SpamHaus extreme misbruik van de macht die ze hebben gekregen op basis van vertrouwen.

In de loop der jaren zijn er steeds minder mensen de lijst van SpamHaus 1 op 1 over te nemen omdat ze zagen dat zeer respectabele en bevriende bedrijven ook onder druk werden gezet, of dat ze zelf gechanteerd werden door SpamHaus en doorkregen wat een enorm gevaarlijk en smerig borderline crimineel partijtje dat is...

Het is de fout geweest van veel providers om SpamHaus volledig te vertrouwen door hun lijst 1 op 1 over te nemen, zonder te kijken of het enkel SpamHaus was die het op de blocklist zette: of dat er vele waren die de IP's blackliste.
Daarom zijn er nu dus ook steeds meer die eerst kijken of het IP in meerdere lijsten voorkomt, of enkel in SpamHaus; en in het geval van dat laatste wordt het IP vervolgens niet gedropped.

Tegen SPAM vechten is een zeer goed plan en heel mooi initiatief natuurlijk, maar niet op de wijze zoals SpamHaus het doet. Dat is gewoon fout... Ik wil ook niet graag spam, maar een partij die mensen chanteert ga ik echt niet ondersteunen.

[Reactie gewijzigd door WhatsappHack op 27 augustus 2015 18:46]

Het probleem-IP (of alle IPs van het bedrijf in kwestie indien ze moedwillig troep hosten) in de spamhaus blocklist zetten i.p.v. een partij die zich enkel bezighoud met de infrastructuur verantwoordelijk te maken voor iedereen die er indirect gebruik van maakt.

[Reactie gewijzigd door rensariens op 27 augustus 2015 18:27]

Als ISP heb jij verantwoordelijkheid voor wat je klanten uitvreten. Als je je daar niet druk om maakt, dan kun je ook niet verwachten dat anderen zich druk om jou maken.

Je hebt je zaakjes op orde. Bv door geen spammers als klant te nemen. Of door spam te blokkeren. Of door spammers van je net te gooien. Of door uRPF op je access-networks te doen.

Als je je zaakjes niet op orde hebt, dan krijg je problemen. Misschien groter dan jij vind dat rechtvaardig is. Jammer dan. Snel je zaakjes op orde brengen, en rapporteren aan de wereld (via Spamhaus bv) dat het probleem is opgelost.

Moet Spamhaus nog preciezer te werk gaan ? Alleen /32s bannen ? Doet de politie ook niet. Hup, gewoon een beetje ruim ingrijpen, en daarna gaan kijken hoe het precies zat. Niet te veel tijd kwijt aan details die er niet toe doen. Gebeurd hier ook.
Na je laatste comments m.b.t. het maar een beetje ruim ingrijpen en alle collateral damage voor lief te nemen laat ik het er maar bij. Gaan we niet uitkomen :) Maar hopen dat niemand hier z'n belangrijke zakelijke data net naast een abuse-geval in het rack heeft hangen!
In geval van Spamhaus en A2B is dat nogal uit de hand gelopen. Spamhaus houdt (terecht) niet van Cyberbunker, aangezien Cyberbunker no questions asked hosting levert aan criminele organisaties (spammers en mensen die phishing sites hosten zijn crimineel). Advies van Spamhaus is om het netwerk van Cyberbunker niet te routeren. Tot zover heel normaal.

Vervolgens heeft Cyberbunker een partij gevonden die wel zijn netwerk wil routeren. Als straf wordt die hele partij op de blacklist gezet zonder dat ze iets verkeerd hebben gedaan. Die partij vraagt meerdere keren om bewijs van wat ze verkeerd doen en enige wat ze krijgen is "we delisten je range pas als je geen peering voor Cyberbunker meer doet".

Aan de ene kant snap ik de policy van Spamhaus: je faciliteert criminele activiteiten waar het internet last van heeft en je verdient daar goed geld aan. Aan de andere kant is het not done om gewoon een compleet ongerelateerd subnet te blacklisten puur om je zin door te drijven.
Ik denk dat er bijzonder weinig mensen op het internet er een traan om hebben gelaten toen Cyberbunker werd geblacklist. Ook vanwege wat er toen gebeurde was het wel duidelijk dat het compleet terecht was om die compleet te blacklisten.
Het blacklisten van Cyberbunker was geen probleem.
Het Blacklisten van ranges van upstream providers die er verder niets mee te maken hadden wat er op het Cyberbunker netwerk gebeurde was natuurlijk gewoon puur chantage en geheel onterecht, en daar waren wel degelijk een behoorlijk aantal mensen zeer pissig over.
Preventie wellicht, als zo'n IP range opeens wordt gehijacked kunnen ze misschien voorkomen dat er spam mee verstuurd wordt?
Wie nu nog blacklists van SpamHaus gebruikt is enorm naïef.

SpamHaus gebruikt haar blacklists als wapen voor eigenrichting tegenover ISPs / personen "die niet zouden deugen" of "weigeren mee te werken" dan als middel om spam tegen te houden. Complete blokken van ISP's worden van de ene op de andere dag zonder pardon geblacklist. En de netbeheerder moet maar er zelf achter komen wat er aan de hand is.
Dat is niet waar. Een ISP wordt inderdaad geblokkeerd omdat hun klanten massaal spam mogelijk versturen. Volgens mij is er altijd nog een melding dat email geblokkeerd wordt als je probeert te versturen naar een ontvanger. Daar staat in de headers ook duidelijk in dat je IP voorkomt in een blacklist. Dit stuur je gewoonweg door naar abuse afdeling en zij lossen dat op.

Het unblocken is niet zo lastig... Daar is gewoon een formulier voor die alle stappen weergeeft.

Een ISP voor je website sluit je ook af als je spam verstuurd. Waarom zou dat op ISP niveau anders moeten zijn ? :)
Een ISP kan inderdaad een website van hun netwerk weren omdat er spam verstuurd word, maar SpamHaus blokkeerd hele ip blokken waardoor en hele groep geblokkeerd word omdat een paar ip-addressen in de reeks spam zouden versturen. Dit is natuurlijk niet helemaal netjes.
Ik ben er redelijk zeker van dat wanneer ik nu spam ga versturen, niet compleet Ziggo geblokkeerd gaat worden. Het probleem is dat er een aantal ISPs zijn die geen ene drol doen aan spam die vanaf hun netwerk wordt verstuurd. En dan kom je op een punt uit waarbij het gewoon (imo) beter is om hele blokken te gaan blokkeren ipv elke keer een IP adresje totdat het IP adres weer wijzigt naar de volgende als het geen statisch IP adres is. En sowieso als de provider niet wil optreden, dan is het toch echt hun eigen probleem.
Als ziggo een contract afsluit met een partij waar een aantal spammers in het netwerk zetten, dan is Ziggo daar niet verantwoordelijk voor. Die levert enkel als doorgeefluik (upstream) bandwidth aan de IP's van die derde partij die een eigen netwerk heeft, samen met nog een paar andere providers. (Dat noemen ze een "blend")
Het is de verantwoordelijkheid van die provider om de spammende IP's te blokkeren.


Soms gaat dat goed, soms niet.
Wat doet Spamhaus in zo'n geval? Die eist van Ziggo dat ze alle verbindingen met die partij verbreken. (Contract of niet.) Doet Ziggo dat niet? Dan worden ALLE IP adressen van Ziggo (die er dus niets mee te maken heeft verder!) op de blacklist gegooid waardoor geen enkele ziggo klant meer naar buiten toe kan e-mailen.

Dat is dus chantage, en spelen voor eigen rechter.

[Reactie gewijzigd door WhatsappHack op 27 augustus 2015 18:52]

Waarom? Lijkt mij dat iedereen zelf mag bepalen van wie ze e-mail accepteren. En dus ook ervoor mogen kiezen om mail te blokkeren van een provider die willens en wetens spammers faciliteren. Ik zie niet in waarom het dan ineens de verantwoordelijkheid zou zijn om de (potentieel) continue veranderende externe IP adressen bij te houden: Als die provider zonodig niet wil optreden tegen spammers, dan maar hele blokken blokkeren, en ja dat zal ook wat legitieme mail kosten. Jammer dan.
Nouja, als jij dat soort chantage en dictator praktijken prima vindt en totaal geen bedreiging voor het normaal functioneren van het internet: dan zullen we het niet eens worden nee.

Maar nu zeg je weer dat het gaat om "niet optreden" en "spam faciliteren", maar dat is helemaal niet waar... Dat is echt absoluut niet waar, dan snap je denk ik de fundamenten van het internet niet helemaal. Dat is ook niet de verantwoordelijkheid van de upstream, dat is namelijk een juridische zaak...

Ik nog een poging om het uit te leggen:
Het waren NIET de IP adressen van CyberBunker die geblokkeerd werden, maar de IP reeksen van de TRANSIT PROVIDER. Snap je het enorm mega grote verschil?

Provider 1 is 1 van de 5 upstream providers van CyberBunker.
Deze provider is eigenaar van IP reeks 1.2.3.5 tot 2.3.4.255. Daar gebeurt niets illegaals, geen spam wordt verzonden, et cetera. Dat is een totaal legitieme IP reeks die nodig is voor die provider, en die 100% legaal wordt ingezet voor allerlei doeleinden van hunzelf en van hun klanten.

Nu komt CyberBunker aan met "Hoi, wij hebben connectiviteit nodig en willen graag met jullie peeren en bandwidth van jullie inkopen voor de routering. Is dat goed?" Ze sluiten een contract voor x jaar, Cyberbunker is zelf (juridisch) aansprakelijk en verantwoordelijk voor hun eigen IP reeks.
CyberBunker heeft hun eigen IP reeks: 3.4.5.6/24. Deze wordt gerouteerd via een blend aan providers (Providers 1, 2, 3, 4 en 5). De IP adressen zijn NIET het eigendom van de transit provider, deze routeert ze enkel en fungeert als doorgeefluik voor de traffic. Daar wordt voor betaald.

Nu komt SpamHaus om de hoek en zegt tegen de provider:
Hoi, jullie stoppen nu, ongeacht welk contract jullie ook hebben, met het fungeren als upstream provider voor CyberBunker.
Doen jullie dat niet, dan blokkeren wij jullie eigen reeks 1.2.3.5 tot 2.3.4.255, ook al doen jullie daar niets fouts mee. (En nogmaals: op die IP reeks, waar de provider eigenaar van is, wordt *niets* illegaals gedaan en is gewoon onderdeel van hun bedrijfsvoering; zitten honderden legitieme klanten op, et cetera.)

SpamHaus blokkeert dus niet de reeks 3.4.5.6/24 die eigendom is van CyberBunker, maar blokkeert 1.2.3.5 tot 2.3.4.255 van Provider 1 om hen zo te dwingen om hun contract met CyberBunker te verbreken: anders raken zij al hun klanten kwijt. En dat terwijl zij dus onschuldig zijn!
Ze kunnen nu dus niet anders, omdat alle klanten de dupe zijn van het feit dat Spamhaus hun provider chanteert.

... En jij vindt dat de normaalste gang van zaken, super netjes, totaal geen chantage/afpersing?
Ik kan me geen beter voorbeeld voorstellen van chantage! :X

Ik heb daar iets andere morele standaarden voor. Ik ben nogal tegen chantage en afpersingen, maar jij vindt kennelijk dat dit altijd zonder probleem mag en dat dat prima is want "het doel heiligt de middelen"., als ik het goed snap? :) Onschuldige mensen dwarszitten en isoleren, om die ene IP reeks (waar die provider verder helemaal niets mee te maken heeft en ook totaal niet verantwoordelijk voor is)

Jij zou het kennelijk dus ook heel normaal vinden als we alle spoorrails moeten afsluiten van de NS/ProRail, omdat ze ook wel eens mensen naar de zwarte markt in beverwijk vervoeren waar nogal wat illegale handel plaatsvindt; hierdoor kan niemand in Nederland nog gebruik maken van het spoor, op een paar kleine stukjes na. Een anti-zwarte markt provider met de macht om spoorrails te blokkeren doet dat dan, en blokkeert ook meteen alle andere ritten van andere bedrijven. En dat ze contracten hebben met buitenlandse treinmaatschappijen waar in dat land wel eens illegale handel plaatsvindt: dan moeten we alle treinen van alle maatschappijen op het spoor meteen geheel blokkeren om druk uit te oefenen dat ze enkel zaken mogen doen met wie de dictator dat dicteert... Dat is toch belachelijk?

Het is gewoon belachelijk om de onschuldige reeksen van een onschuldige provider te blokkeren omdat er een upstream contract ligt.

Als je dat fundamenteel anders ziet of het verschil niet snapt tussen de upstream en de daadwerkelijk verantwoordelijke provider: dan valt er weinig te discussieren ben ik bang.

Even goede vrienden trouwens verder hoor. :)
M'n post is in harde taal, maar ik bedoel het niet lullig ofzo... Je mag die mening er op na houden natuurlijk, ieder z'n ding; ik ben het er alleen 100% mee oneens.

[Reactie gewijzigd door WhatsappHack op 27 augustus 2015 20:50]

Tja en ik ben het 80% met jouw oneens. Niet 100%, ik snap je standpunt, ik begrijp de reden erachter, maar uiteindelijk blijft het voor mij het faciliteren van criminele praktijken. Ja dat deed die transit provider niet, dat deden de criminelen, Cyberbunker (technisch gezien de criminelen die bij Cyberbunker hun servers hadden staan/inkochten, maar laten we wel wezen, Cyberbunker was ook gewoon een stel criminelen).

Als dan een derde partij een contract afsluit met Cyberbunker, en daarbij geen clausules erin doet om het op te kunnen zeggen bij (grootschalig) misbruik, dan is dat voor mij je eigen schuld. En als het dan maar op deze manier moet om spam, phishing, DDOS aanvallen, etc te stoppen, dan moet dat maar. Zolang er providers zijn die dat verkeer willens en wetens doorsturen is dat noodzakelijk imo.

Om ook maar een analogie erbij te pakken:
Stel je voor dat een luchtvaarmaatschappij een contract afsluit waarin ze beloven elke week een vrachtvlucht vanuit Colombia uit te voeren. En de eerste keer zit die vol met drugs, en de tweede keer, en de derde keer, etc. Dan na loop van tijd zal een luchthaven/land ook wel zeggen: Als jij enkel maar drugs hierheen vervoerd, dan gaan we je landingsrechten ontnemen. Dan kan die maatschappij zich wel verschuilen dat ze een contract hebben getekend waarin ze beloven die vracht te vervoeren, maar dat is hun probleem.

Als laatste: Wat ik zie als onschuldige mensen hinderen en dwarszitten is klakkeloos alle spam en troep naar ze doorsturen.
Als dan een derde partij een contract afsluit met Cyberbunker, en daarbij geen clausules erin doet om het op te kunnen zeggen bij (grootschalig) misbruik, dan is dat voor mij je eigen schuld. En als het dan maar op deze manier moet om spam, phishing, DDOS aanvallen, etc te stoppen, dan moet dat maar. Zolang er providers zijn die dat verkeer willens en wetens doorsturen is dat noodzakelijk imo.
Als die provider dat stelselmatig doet vanaf hun eigen IP reeksen: dan kan ik daar inkomen.
Maar SpamHaus kon prima enkel de CB ranges blokkeren. Dat deden ze niet. Ze eisten dat die provider alle verkeer van CB, waar ook zat legitiem verkeer tussenzat (ook van dissidenten in bepaalde minder fijne regimes, want CB waren dan zelf wel een behoorlijk luguber partijtje: het bleven enorm goede experts die dit soort mensen extreem goed konden beveiligen. Dat praat de rest van hun praktijken niet goed overigens hoor, dat wil ik niet zeggen.), zouden afsluiten van het internet.
Maar dat kan normaliter niet zomaar zonder dat er een rechter aan te pas komt die deze eis kracht bij zet.

SpamHaus vind dat zij boven de rechtelijke macht staan, en dus providers mogen chanteren door hun eigen reeksen, die dus geheel los staan van alles wat CB deed, te blacklisten. En dat voor *al* hun upstream providers.

En dat vind ik niet kunnen.
Stel je voor dat een luchtvaarmaatschappij een contract afsluit waarin ze beloven elke week een vrachtvlucht vanuit Colombia uit te voeren. En de eerste keer zit die vol met drugs, en de tweede keer, en de derde keer, etc. Dan na loop van tijd zal een luchthaven/land ook wel zeggen: Als jij enkel maar drugs hierheen vervoerd, dan gaan we je landingsrechten ontnemen. Dan kan die maatschappij zich wel verschuilen dat ze een contract hebben getekend waarin ze beloven die vracht te vervoeren, maar dat is hun probleem.
Het probleem is dat de luchtvaartmaatschappij weet wat er in elk pakket zit dat ze vervoeren, en dit mogen weigeren. Ze mogen dus nog wel prima zaken blijven doen met het bedrijf in Colombia, door enkel hun legitieme pakketten te vervoeren. Als de luchtvaartmaatschappij dus de pakketten met drugs weigert, maar de normale producten wel vervoert: dan worden hun rechten niet ontnomen.
En zo hoort het ook...

... Spamhaus zegt echter: "we willen dat je ook stopt met het vervoeren van die legitieme pakketjes. Doe je dat niet? Dan ontnemen we lekker alsnog je landingsrechten! En weet je wat!? We ontnemen meteen alle landingsrechten van iedereen op dit vliegveld zolang jij nog naar Columbia vliegt! We leggen heel de vluchthaven plat voor alle particulieren en bedrijven, totdat jij stopt met naar Columbia vliegen; of dat nou legitieme pakketten zijn of niet!"
Dat is even een andere situatie, niet waar? :)

Bij het internet is dat dan ook een heel stuk lastiger, zeker als het verkeer encrypt is.
De provider in kwestie werkte ook prima mee om blacklists van IP's die bewezen constant aan het spammen waren te honoreren, dat was het probleem niet. Ze werken op alle fronten mee op dat punt.

Maar ze weigerden om de legitieme IP's van CB ook te blokkeren, IP's waar Spamhaus totaal geen bewijs van had dat er ook maar iets illegaals mee gebeurde...

En omdat ze dat zonder rechtelijk bevel weigerde, besloot SpamHaus ze te chanteren door reeksen die niets met CB te maken hadden ook te blokkeren waardoor honderden, zo niet duizenden, mensen en bedrijven de dupe werden van een persoonlijke vete tussen SpamHaus en CB. En dat is even questionable als heel CB zelf.

Dat is toch heel andere koek? :)

Misschien worden we het nooit eens op dit punt hoor, maar als je even naar je eigen vliegtuig analogie kijkt, dan moet je toch snappen dat er iets niet in de haak is? Dan wordt er gewoon een persoonlijke vete uitgevochten over de rug van onschuldige mensen.

[Reactie gewijzigd door WhatsappHack op 27 augustus 2015 22:37]

Laten we het erop houden dat we het nooit eens gaan worden ;). Want mijn mening is nog niet veranderd, en volgens mij blijven we anders over en weer onze argumenten herhalen.
Als dat zo is, dan denk ik dat ook. :)
Toch bedankt voor de discussie! Fijne avond.
Laatste keer dat ik nog mat spamhaus te maken had hadden ze een uitgaande mailserver geblokkeerd die toevallig mail voor meerdere partij afhandelde. De blokkade was echter ee n enkel IP en geen heel blok.
Beetje off-topic, maar heb je wat pointers? De enige die in mijn optiek slecht bezig is, is SORBS, vanwege de 'boete' voor de-listing. Ik was er van uit gegaan dat Spamhaus redelijk objectieve criteria hanteerde voor hun lijsten.

Ik heb bij mijn keuze voor een RBL proberen te kijken naar de effectiviteit (weinig false negatives, en nog minder false positives). Bijvoorbeeld met http://stats.uceprotect.net/?page=cw, http://www.sdsc.edu/~jeff/spam/Blacklists_Compared.html of zelfs https://en.wikipedia.org/wiki/Comparison_of_DNS_blacklists.
Ik ben er nog steeds niet helemaal uit wat deze criminelen hier nou mee hebben bereikt. De adressen waren niet in gebruik dus als het goed is hebben ze weinig mogelijkheden gehad om zich valselijk als het ministerie voor te doen. En zeker aangezien ze niet in gebruik waren waren ze hopelijk ook nergens in een firewall aangegeven als een betrouwbare range.

Ik begrijp dat de Nederlandse overheid met de overgang naar IPv6 van plan is om één centrale range aanvraag te doen bij RIPE waardoor alle overheden en diensten van hoog tot laag binnen hetzelfde blok kunnen vallen. Als overheidsdienst doe je dan een aanvraag voor een stukje van dat blok bij één centrale dienst. Dat moet beheer en beveiliging wel makkelijker maken. Het zal BGP hacken niet voorkomen maar kan wel het alarm slaan zodra het gebeurt aanzienlijk vergemakkelijken.
Vermoedelijk zoeken ze naar ongebruikte prefixes vanaf waar ze illegale activiteiten kunnen ontplooien. Denk ook niet dat het specifiek gericht was tegen het ministerie.
Andere overheden hacken onder het ip-adres van Buitenlandse Zaken (met het spoofen van een ip krijg je geen gegevens terug)? Of om verder in te breken op verschillende netwerken? Er zijn natuurlijk talloze mogelijkheden en deuren die open gaan als (vertrouwelijk) verkeer naar andere computers gerouteerd wordt doordat de betreffende servers/computers te maken denken te hebben met computers van BuZa. Dat de betreffende range niet gebruikt werd, kan daarbij zowel een voordeel, als een nadeel zijn.

[Reactie gewijzigd door Arjoes op 27 augustus 2015 14:53]

Dus kort samengevat:

Iemand die op basis van IP gegevens een veroordeling krijgt kan dus gewoon als verdediging opdragen dat zijn IP is gekaapt. Tenslotte komt dit ook voor bij instanties waar dit niet voor MAG komen. Een instantie die als reactie opgeeft dat gedegen onderzoek onbegonnen werk is om te zien of er illegale activiteiten mee zijn gedaan.

Elke advocaat in een media zaak zal dit argument gaan aandragen (als men dat al niet deed).
Dan moet je eerst wel bewijzen dat je IP gehijacked was.
Met je thuis verbinding gaat dat hem sowieso al niet worden... ;) Dan moeten er complete ranges gehijacked zijn. :P 1 IP hijacken gaat een stuk lastiger dan een hele reeks... Zeker omdat je dan overlappend geadverteerde routes krijgt. En een gehele range kapen is al redelijk lastig...
Wat de minister niet uitlegt in zijn brief, is dat bgp-hijacking niet te voorkomen is
Ze hadden op z'n minst meer kunnen doen om het misbruik te detecteren, na een week door een externe partij op de hoogte worden gebracht over een incident als dit is wel heel erg slordig.
Je weet als eigenaar van de IP blokken vaak met wie je peert en wie je routes mogen adverteren. Als dat opeens een andere partij is (aldanniet in een ander land), dan klopt er iets niet.
Ook begrijp ik dat deze IP adressen niet in gebruik waren, dan is het natuurlijk nogal vreemd als die opeens wel een route hebben of zelfs opeens gaan reageren op ICMP verkeer...

Dat kan je dus natuurlijk best monitoren. :)
Iedereen die een BGP AS beheert zou gebruik moeten maken van een dienst als BGPMON om te monitoren of je IP-prefixes niet gekaapt worden. Het heeft gewoon acht dagen geduurd voordat het werd opgemerkt, en dan nog niet eens door de overheid zelf.
Nou....

Als spamhouse ze op de spamlijst zet dan zal er wss wel gemailed zijn. Als het de ip-adressen van BuZa zijn dan kan het gaan om gefalisificeerde e-mails bedoeld om informatie los te peuteren. Nu zijn het criminele dus waarschijnlijk zijn het targeted spam berichten geweest die gemaakt zijn om te lijken op officiele BuZa mails voor het lospeuteren van informatie dat leidt tot omzet voor de criminele organisatie.

Als het onbekenden waren en het niet duidelijk was dat het een criminiele organisatie was dan had ik verwacht dat het een overheidsinstatiie was van bijvoorbeeld Rusland maar dat lijkt mij hier niet het geval.

* Auredium is benieuwd hoe dicht hij in de buurt zit met zijn gokje...

@Speeder; Klopt, ik zocht de 'officiele' term en ik geloof dat dat spearfishing is. Gerichte aangepaste spammails. Mogelijk dat de IP-adressen zijn gekaapt omdat bij eventueel verdacht bedrijven die benaderd zijn met een valse e-mail gaan bellen en dan te horen krijgen dat de ip-adressen wel degelijk van BuZa zijn. Dat werkt tot men de truuk bij BuZa door heeft.

[Reactie gewijzigd door Auredium op 27 augustus 2015 15:33]

Off topic: Je kan ook gewoon valse emails zeggen ipv een heel moeilijk woord te gebruiken, scheelt leesbaarheid...

Voor de rest wel een interessant punt.
Hebben ze ze weer teruggepakt of hebben de vermeende bulgaarse criminelen ze weer terug gegeven?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True