'Providers gaan Belgen informeren als hun pc deel is van botnet'

Het Belgische Centrum voor Cybersecurity, oftewel CCB, wil voor het einde van het jaar gebruikers via hun provider waarschuwen als hun ip-adres voorkomt in een botnet. De organisatie heeft daarover een voorlopig akkoord gesloten met de Privacycommissie.

In februari was bekend geworden dat het CCB in samenwerking met Microsoft zogenaamde zombiecomputers wil opsporen. Er was toen echter nog overleg met de Privacycommissie nodig om personen te benaderen op basis van hun ip-adres. De Standaard en Het Nieuwsblad schrijven vrijdag dat er inmiddels een 'principeakkoord' is getekend tussen het CCB en de Privacycommissie. Een definitief akkoord zou binnenkort volgen. Onder deze overeenkomst levert het CCB lijsten ip-adressen aan providers, die vervolgens de getroffen gebruikers informeren en daarna de lijsten vernietigen.

Een dergelijke procedure is nodig, omdat in feite alleen Justitie in het kader van een onderzoek mag aankloppen bij providers om personen achter ip-adressen te achterhalen, stelt CCB-directeur Miguel De Bruycker tegenover De Standaard. "De privacy van de internetgebruikers blijft gerespecteerd", voegt hij daaraan toe. "Het grootste privacyrisico zit trouwens in de inbraak in hun persoonlijke computer. Hun gegevens liggen eigenlijk op de straatstenen." De eerste berichten moeten voor het einde van dit jaar verstuurd worden.

De kranten schrijven dat de computers van naar schatting tussen de honderdduizend en vijfhonderdduizend Belgen deel uitmaken van een botnet, doordat ze zijn geïnfecteerd met malware. Die computers, ook wel zombies genaamd, kunnen vervolgens bijvoorbeeld ingezet worden om spam te versturen of een ddos-aanval uit te voeren. Bij dergelijke aanvallen kunnen de gebruikte ip-adressen in sommige gevallen geregistreerd worden, aldus de kranten. Ook bij ontmanteling van een botnet kunnen deze gegevens inzichtelijk worden. In de berichten van vrijdag wordt geen melding gemaakt over samenwerking met Microsoft.

IT-banen

Reacties (124)

walteij 9 september 2016 10:59

Dit lijkt me een goede actie.
Vele mensen weten niet eens dat ze lid zijn van een botnet. Op deze manier de mensen benaderen ljikt mij naast de meest praktische ook nog eens de meest logische wijze:
- Verzamel alle Belgische IP adressen die in een botnet zitten
- Sorteer ze per subnet van de provider
- Verstuur de gesorteerde lijsten naar de betreffende providers
- Zij informeren hun klanten (en geven tips over hoe ze dit kunnen herstellen)
- Provider houdt bij welke klant wanneer is geinformeerd (1e informatie via email, tweede per brief ofzo)
- De lijsten worden vernietigd

Ocirina @walteij • 9 september 2016 11:07

Mensen die lid zijn van een botnet hebben dit vaak niet door. Waarom zou je geen risico categorie bijhouden? Ik denk als mensen eens besmet zijn, dat de kans dus groter is om dat in het vervolg weer te worden.

Misschien is het handig om de lijst ergens bij te houden i.p.v. te vernietigen?

ONiel @Ocirina • 9 september 2016 11:11

Waarom? Privacy dat is het antwoord. Je houdt geen lijst bij van mensen die besmet worden doordat ze weet-ik-veel-wat doen.

En dit zou trouwens ook niet accuraat zijn.
Je kan makkelijk besmet geraken door een geavanceerd stuk malware zonder het te weten, zelfs al ben je bewust van gevaren of weet ik veel wat.
Dan zou je zelfs als e.g IT'er op die lijst kunnen komen te staan.

[Reactie gewijzigd door ONiel op 23 juli 2024 01:44]

Marzman @ONiel • 9 september 2016 11:39

Ja? Je bent dan toch ook besmet? Lijkt me terecht dat je dan op die lijst staat (of je IT'er bent of slager dat maakt verder niet uit. Een beroepschauffeur maakt ook wel eens een ongeluk en dat heeft ook wel eens consequenties). Je hoeft de lijsten niet in de krant te zetten (privacy), maar het lijkt me handig als het bijgehouden wordt zodat er wat mee gedaan kan worden.

Je zou mensen die steeds op een lijst komen dan een beperkter internet (of een cursus, of een boete) kunnen geven zodat ze niet andere mensen besmetten of aanvallen.

[Reactie gewijzigd door Marzman op 23 juli 2024 01:44]

MrFax @Marzman • 9 september 2016 11:48

Maar dan krijg je als straf dat je privacy geschonden wordt omdat je op een legitieme website terechtkwam waar een ad je pc overneemt. Zou een beetje raar voorbeeld ook. Als je als buschauffeur een ongeluk verzoorzaakt zijn er consquenties, niet als iemand anders het veroorzaakt.

[Reactie gewijzigd door MrFax op 23 juli 2024 01:44]

Marzman @MrFax • 9 september 2016 12:04

Als je updates mist of op een website komt waarvan Chrome al zegt dat die onveilig is dan heb je toch ook enige vorm van verantwoordelijkheid? Als een buschauffeur rijdt met een niet onderhouden bus en de bodem zakt er onderuit of de remmen doen het niet, of hij rijdt op een onveilige plaats waar hij niet hoort te komen dan heeft dit voor iemand gevolgen.

rkeet @Marzman • 9 september 2016 13:37

Lijkt me een goed idee dat wanneer jij verkouden raakt, ondanks dat je gezond eet en je handen elke zoveel uur wast, dat je op de lijst van "geinfecteerde personen" wordt gezet.

Als je een tweede keer geinfecteerd raakt met het verkoudheidsvirus krijg je een waarschuwing.

Bij de tweede keer wordt je in tijdelijke quarantaine gezet.

Bij de derde keer zetten we je op een eiland samen met andere "third-offenders".

Lijkt me niet erg wenselijk, jou wel?

Zelfde principe met die lijsten bewaren en mensen ervoor straffen dat shit hun computers binnenkomt. Als slager ben je je misschien minder bewust van het "sanitair" gebruik maken van het internet en raakt je computer sneller geinfecteerd. Echter, ook de IT'er kan een virus oplopen.

rbr320 @Marzman • 9 september 2016 14:13

(weegt zwaarder als privacy op dat moment).

Blijkbaar zijn een heleboel mensen hier dat niet met je eens, waaronder ik. Overigens garandeert de gemiddelde ISP niet dat je altijd hetzelfde IP adres houdt in het geval dat je een keer je modem reset of iets dergelijks. Ze zouden dus naast een lijst met offenders ook bij moeten houden of deze klanten misschien een keer een ander IP toegewezen hebben gekregen. De facto komt dat neer op het langdurig bijhouden van alle IP wijzigingen op het netwerk gekoppeld aan klantgegevens en dat lijkt me niet de bedoeling.

MrFax @rbr320 • 11 september 2016 08:02

Dynamische IP-allocatie zie ik alleen maar als groot voordeel voor privacy.

lordfragger @Marzman • 9 september 2016 12:30

Maar als die bus perfect onderhouden is en de chauffeur houdt zich aan alle regels en toch valt die bodem er onderuit (door een productiefout, een bug in software in de computerwereld)? Je kan perfect besmet raken met malware terwijl je perfect up to date bent en gewoon het nieuws leest op je pc. Er komen dagelijks zero day exploits uit die misbruikt kunnen worden en het duurt nu eenmaal even voordat de updates daarvoor gemaakt, getest en verspreid zijn.

Marzman @lordfragger • 9 september 2016 13:45

Dat is waar, maar dan kun je toch nog steeds geregistreerd worden als slachtoffer?

Het alternatief is die mensen een brief sturen, gegevens weggooien en dat blijven herhalen in een oneindige loop omdat je niet weet dat ze al 100.000 brieven gehad hebben.

Mathijs @Marzman • 9 september 2016 15:24

Liever dat dan weer een afglijdende schaal van privacy inbreuk.

ONiel @Marzman • 9 september 2016 11:48

Wat?
Internet 'beperken'/blokkeren, boetes uitdelen, plus privacy breken van mensen die 'besmet' zijn? Waarom zou dat beter zijn dan eenderwelk virus?

Een trojan steelt ook je privacy,
ransomware moet je ook een 'boete' betalen,
en malware kan e.g ook je internetconnectie afsluiten,

Ik durf te wedden dat als jij ooit langdurig Windows hebt gebruikt, je ook minstens 1x besmet was. Dan kunnen we net zo goed heel België en Nederland op die lijst zetten.

Marzman @ONiel • 9 september 2016 12:00

Ze mogen mij dan op een lijst zetten. Ik snap je probleem niet. Als ik te hard rijd wordt dat ook bijgehouden, dan rept er toch ook niemand over privacy? Het is niet dat dit daarna voor het leven consequenties heeft ofzo. Tenzij je dus consequent te hard rijdt (of consequent onderdeel bent van een botnet). Ik heb het niet over een publieke lijst die iedereen mag inzien maar over het bijhouden van computercriminaliteit. Over het algemeen worden bij het registreren van criminaliteit gegevens van dader en slachtoffer bijgehouden door de politie.

Ik heb het ook niet over internet afsluiten, maar over internet beperken. Ransomware geeft geen boetes, dat is eerder een vorm van 'losgeld' omdat ze je computer kapen.

RebelwaClue @Marzman • 9 september 2016 13:23

Bij te hard rijden worden alleen snelheden boven de 30 te hard bijgehouden en kunnen later tegen je gebruikt worden. Maar het is sowieso een kromme vergelijking, aangezien door overtredingen in het verkeer lichamelijk slachtoffers vallen.
Je PC in een botnet of besmet heeft veel minder impact op andere mensen en zou dus ook minder streng behandeld moeten worden.

hackerhater @RebelwaClue • 9 september 2016 16:37

Ik zou als ISP's de betreffende aansluiting wel tijdelijk in quartine gooien tot het probleem is opgelost.

RebelwaClue @hackerhater • 9 september 2016 16:45

Daar ben ik het totaal mee eens. Dat ISP's maatregelen nemen om hun netwerk en klanten veilig te stellen, daar ben ik helemaal voor.

Anoniem: 85014 @Marzman • 9 september 2016 19:15

Je geeft juist aan dat je het probleem niet snapt. Dus moet je het probleem van privacy en gleidende schaal eerst leren begrijpen, en dan pas kan je er nuttige uitspraken over doen.

De Miguel lijkt het goed aan te pakken als hoofd cybersecurity België, ook al is z'n budget erg beperkt. Botnets zijn een groot probleem, privacy is belangrijk. Maar deze uitwerking lost het eerste voor een groot deel op en vernietigt het tweede toch niet.

Anoniem: 668730 @Marzman • 9 september 2016 16:30

Waarom lijkt het je handig? Welke consequentie wil je precies verbinden aan het meermalen voorkomen op deze lijst? Wil je ze beveiligingssoftware verkopen? Van je netwerk afschoppen? Meer laten betalen ivm overlast?

Voor de detectie van de malware zelf maakt het immers geen verschil.

Cerberus_tm

@Marzman • 9 september 2016 18:07

In Amerika kunnen mensen die al eens failliet zijn gegaan vaak makkelijker een lening krijgen; de gedachte is dat zij ervaring hebben en het gevaar kennen.

mikesmit @Cerberus_tm • 11 september 2016 08:15

Is dat niet een beetje raar. Die mensen hebben overduidelijk laten zien dat ze niet met leningen om kunnen gaan en daardoor failliet zijn gegaan.

Of is dat nou een rare gedachte van me?

Cerberus_tm

@mikesmit • 11 september 2016 17:45

Dat lijkt mij ook de meest intuïtieve gedachte. Maar de tegenovergestelde redenering is dus ook mogelijk. Ik heb zelf geen idee wat in de praktijk een betere voorspellende waarde heeft.

Accretion @Marzman • 10 september 2016 10:09

Jawel.
Wanneer je IP adressen gaat opslaan, is het maar vragen wanneer ze gehackt/misbruikt worden.

Je kunt ze dus net zo goed in de krant zetten, maar natuurlijk wel eerst resolven:
"Deze websites/bedrijven hebben (tijdelijk) een botnet gehost:”

Nee, maar, voor hackers is zo'n lijst interessant, "lijst met potentiële slachtoffers"

T0mBa @Ocirina • 9 september 2016 11:26

Het lijkt me onwenselijk om dit soort informatie bij te houden. Ik denk bvb aan banken die zich op die lijst zouden baseren om klanten na een hack te vergoeden omdat die klant ooit een dergelijk probleem heeft gehad.

raro007 @T0mBa • 9 september 2016 13:12

waarom zou de informatie gedeelt woorden met de bank?
woorden de auto ongelukken nu ook gedeeld met alle auto verzekeringen?

RebelwaClue @raro007 • 9 september 2016 13:28

Die worden wel degelijk gedeeld. Als jij ooit een schade gemeld hebt aan je verzekeringsmaatschappij, weten andere maatschappijen dit ook als ze dit opvragen. Al is dit dan een systeem van de verzekeringsmaatschappijen zelf.

En misschien klinkt het raar dat deze informatie gedeeld zou worden met de bank, maar vergeet niet dat bij hogere schadeloos stellingen de bank juridische stappen neemt om te kijken of ze er onderuit kunnen komen. Daar zou maar goed een opvraag uit dit register kunnen bijzitten via de rechter.

stresstak @raro007 • 9 september 2016 13:35

woorden de auto ongelukken nu ook gedeeld met alle auto verzekeringen?

Niett ? Waarom eigenlijk niet ? Een bulk aan schade-uitkeringen heeft invloed op premie van alle verzekerden. Er zullen best mensen zijn die maatregelen willen.

Botnet-/slachtoffers informeren kan niet veel kwaad. Zelfs gericht aan het ip-adres zou je privacy niet geschonden hoeven zijn.
''Aan de bewoner van nummer 123'' zegt ook niks.

Accretion @stresstak • 10 september 2016 10:11

Nuja, een IP adres is net iets specifieker.

Je provider kan checken welke persoon die verbinding betaald.
De rest van de wereld kan kijken wat er op dat adres gehost wordt.

Hackers (die deze database in handen krijgen), lachen je uit. Je hebt namelijk het vooronderzoek (wie is vatbaar) al gedaan

T0mBa @raro007 • 9 september 2016 13:58

Voor zover ik weet moet je recente schadegevallen aangeven voor je een verzekering kan nemen ja...

batjes

Security

@T0mBa • 9 september 2016 14:29

Providers hier in Nederland doen dat al jaren. Toen ik bijna 10 jaar geleden bij Telfort werkte deden ze dit al.

Iedereen die malwave verspreidde of onderdeel was van een botnet kreeg een meldings pagina te zien.

darknessblade @Ocirina • 9 september 2016 13:37

het hangt er maar net aan wat voor botnet het is.
bv:

als je router/netwerk apparatuur ook besmet is met de malware van het botnet, is het natuurlijk niet te stoppen, dan moet je bijna alle netwerk apparatuur vervagnen.

router,modem,switch,pc,laptop,"tablet/phone",NAS

Grompie @walteij • 9 september 2016 11:07

Het grote probleem is dat zelfs als mensen er iets aan doen ze na x aantal tijd opnieuw met dezelfde problemen zullen terecht komen. Er is gewoon te weinig sensibilisering rond de gevaren van internet/mail. Mensen klikken maar op iets zonder te weten wat de gevolgen kunnen zijn.

Enkele weken geleden nog voor gehad, mail komt binnen iemand over een gemiste levering met een link naar een word document. Die weet niet wat te doen en stuurt maar naar iedereen door. In het word document zat een cryptolocker. Meteen x aantal personen met besmette pc. Gelukkig alles kunnen tegen houden maar je zou verbaast zijn hoe blind mensen op iets klikken.

Anoniem: 412052 @Grompie • 9 september 2016 11:12

daarom moet er in de mail ook tips komen om het tegen te gaan

Marzman @walteij • 9 september 2016 11:35

Waarom zouden de lijsten moeten worden vernietigd? Je zou het later nog op kunnen volgen om te kijken of de klanten er ook iets aan hebben gedaan (ze zijn niet meer onderdeel van een botnet).

Je zou zelfs een systeem kunnen invoeren dat het consequenties heeft voor mensen die herhaaldelijk op die lijsten komen (want dat verwacht ik wel). Je kan dan zelfs denken aan boetes, of beperkingen aan de internetverbinding die opgelegd worden.

Tips in een mail werken denk ik ook niet altijd, de meeste thuisinternetverbindingen worden gebruikt door een gezin. Er hoeft maar een iemand in het gezin de tips niet op te volgen en het werkt allemaal niet.

Pietervs @Marzman • 9 september 2016 12:05

De lijsten moeten worden vernietigd om te voorkomen dat ze in verkeerde handen vallen. Ga maar na: met zo'n lijst kunnen hackers zien wie er potentieel zijn beveiliging niet op orde heeft en gerichtere aanvallen uitvoeren op die pc's.

Boetes opleggen is wat lomp: je deelt straffen uit voor onwetendheid (want dat is vaak de oorzaak), terwijl het achterliggende probleem (besmette computer) niet wordt opgelost. Een beperking van de internettoegang waarbij men alleen nog maar naar een pagina kan waar men een goede virusscanner kan downloaden is een stuk beter: mensen worden dan gedwongen om hun zaken op orde te brengen.

Tips per email zal slechts beperkt helpen. Zoals je zelf al terecht aangeeft: het grootste beveiligingrisico bevindt zich op de stoel voor de computer. Maar wat algemenere zaken (breng uw computer up-to-date, installeer/update uw virusscanner) zal als ze opgevolgd worden wel helpen.

Nha @Pietervs • 9 september 2016 12:35

Een beperking van de internettoegang waarbij men alleen nog maar naar een pagina kan waar men een goede virusscanner kan downloaden is een stuk beter: mensen worden dan gedwongen om hun zaken op orde te brengen.

Dus een boete wegens onwetenheid is erover voor jou, maar je internet blokkeren tot je het gefixed hebt is wel redelijk? In een tijd waar bijna alles via internet gebeurd is dit gewoon een nog zwaardere straf. Plus je ontzegt hun de mogelijkheid om hun connectie te gebruiken zoals zij willen want je serveert enkel die ene pagina (of whatever). Een botnet infectie gaat de consument verder niet storen, die kan gewoon verder z'n ding doen zonder limitaties.

Ransomware is ook geen botnet dus deze hoort er dan ook niet bij betrokken te worden (in andere comments).

Pietervs @Nha • 9 september 2016 12:40

Ik weet het: het is cru. Maar het probleem oplossen (en daarmee mogelijk veel grotere schades voor de gebruiker voorkomen) is belangrijk genoeg om het op die manier aan te pakken: het kost het slachtoffer misschien wel een paar uur, maar daarna is hij/zij wel veilig(er).

Zoals anderen al aangaven: XS4All heeft dat ook (of gedaan). Ik ben daar jaren geleden een keer tegenaan gelopen. En ja, ik heb toen zitten vloeken, tieren en schelden. Maar ruim een uur later was het probleem opgelost, mijn PC up-to-date en kon ik weer verder.

En laten we nou niet doen of er doden vallen als mensen een dag of twee hun email en Facebook niet kunnen checken!

Nha @Pietervs • 9 september 2016 12:57

Deel uitmaken van een botnet is enkel echt nadelig voor de ISP. De mensen zelf hebben er geen last van. Dus waarom moet je hen nu straffen voor iets waar enkel de ISP last heeft?
Ik beslis zelf wel of ik al dan niet update. Als ik met een onbeveiligde pc op het internet wil dan moet dat gewoon kunnen. En momenteel kan dat ook en is er geen probleem voor de gebruikers, dus waarom zou je hen er mee beginnen lastig vallen?

Pietervs @Nha • 9 september 2016 13:02

Als een pc deel is van een botnet, wil dat zeggen dat die pc besmet is met malware. Dus staat die pc ook open voor andere malware, want de beveiliging is niet op orde.

En besmette pc's zijn wel degelijk lastig voor anderen: stel dat er een DDOS-aanval wordt opgezet naar de DNS servers? Jij als Tweaker weet ongtwijfeld hoe je je DNS gegevens aan kan passen, maar de resterende 95%? Die moeten maar afwachten tot de aanval voorbij is of afgeslagen.

Nha @Pietervs • 9 september 2016 13:32

Dan kan de ISP nieuwe DNS servers pushen naar hun routers. Zowel Belgacom als Telenet geven je heel weinig vrijheid over hoe de modem/router ingesteld staat. Hier hoeft echt NIEMAND voor gestraft worden.
Even zien hoeveel keer ik al last gehad heb van een attack op de DNS servers van mijn ISP... Hmm... Geen enkele keer. Moet je daar echt een strafprocedure voor opstellen voor iets wat zelden tot nooit gebeurd? Neen dus imo.

Pietervs @Nha • 9 september 2016 15:52

We hebben hier in Nederland gezien dat de DNS servers van Ziggo (grootste kabelaar in Nederland) plat gingen door een gerichte DDOS aanval.
Maar DNS is slechts een voorbeeld: botnets kunnen voor meer zaken ingezet worden wat je misschien niet direct merkt. Aanvallen op banken en overheden bijvoorbeeld: daar gaan miljoenen in zitten, alleen al voor beveiliging. En wie denk jij dat daarvoor opdraait?

LOTG @walteij • 9 september 2016 11:07

Ik hoorde dit op studio brussel inderdaad. Wat mij op viel was dat iemand van de overheid volgens mij die hier over ging dan vertelde dat mensen dit vaak inderdaad niet weten en dat het belangrijk is dat ze hun pc regelmatig met een goede virus scanner opschonen.

Geen woord over het up to date houden van software dat 90% van het probleem is.

Dat is ook gewoon het grote probleem, totaal geen benul van wat ze moeten doen. Dan loop je inderdaad risico met je Windows XP systeem dat geen updates installeert.

Armin

Netwerk en systeembeheer
Security

@LOTG • 9 september 2016 19:13

Geen woord over het up to date houden van software dat 90% van het probleem is.

Dit!

Uit onderzoek blijken twee factoren doorslaggevend te zijn in de kans malware te krijgen:

1) Geen virusscanner of een virusscanner met oude definities ("verlopen abbonement")
2) Een OS van voor Windows 8.x

Windows 8.1 (en 10 nog meer) bevat een flink aantal verbeteringen qua veiligheid, plus - puntje 1 - heeft standaard Windows Defender actief. Ook wordt Flash (oorzaak #1 voor infectie) automatisch bijgewerkt anders dan op Windows 7/Vista.

ovan @Armin • 10 september 2016 10:53

Installeer dan https://patchmypc.net/download . De scheduler werkt heel goed.

Kevinp @walteij • 9 september 2016 11:39

Ik heb zoiets bij XS4All al ooit mee gemaakt. Op zich goed hoor, maar het koste veel te veel moeite om aan te geven dat het opgelost is.

Daar speelde toen nog wel wat meer. Het is wel goed denk ik. Maar het moet wel zo op te lossen zijn voor een "domme" gebruiker.

Marty007 @walteij • 9 september 2016 12:25

Ik zou het ook wel willen weten eigenlijk..
En die privacy... ach.. je kan er tegen aan blijven schoppen maar laten we eerlijk zijn ..
Hoeveel privacy heb je nog...
Ook al heb ik zelf geen social media als Google en facebook etc...
Toch ben ik makkelijk vindbaar aan de hand van vrienden en familie die daar andere keuzes in maakten...

Ik denk juist dat mijn privacy beter bescherm is als mijn provider me op de hoogte stel van ongeoorloofd gebruik van mijn systemen..

//edit
Op het moment dat je de spanning op je router zet ben je eigenlijk al niet anoniem meer in 99% van de gebruikers.

[Reactie gewijzigd door Marty007 op 23 juli 2024 01:44]

goarilla @walteij • 9 september 2016 12:57

Mja, er gaat hier dus nieuwe phishing ontstaan waar het voor de gebruikers
nog moeilijker gaat zijn om vals van echt te onderscheiden.

Geachte Mr, wij van Belgacom hebben opgemerkt
dat uw computer geinfecteerd is en deel uit maakt van een
botnet.

Voor meer informatie gelieve hier te klikken: www.it-looks-like-belgacom-but-isnt.tk/dsdf/submit.php
Gelieve een antivirusprogramma te installeren www.link-to-fake-avg-software.com

Misschien dat een portaal site, waar al je http trafiek naar doorgestuurd word in het geval
van besmetting beter is. Wij hebben zoiets op de universiteit.

stresstak @goarilla • 9 september 2016 14:02

Het grootste manco is natuurlijk dat je url's kunt plaatsen in een bericht.
In een papieren brief kun je niet klikken.

Gebruik kunnen maken van 'gemak' leidt ook tot misbruik maken. 'O, handig, leuk, gratis..'
Niet meer hoeven overtikken, maar klikbaar. Welnu, misbruik loert om de hoek.

Aetje @walteij • 9 september 2016 13:28

Persoonlijk vind ik het niet ver genoeg gaan. PC onderdeel van botnet? Notificatie naar de klant - 1 week de tijd om het op te lossen en dan tijdelijk verbinding afsluiten tot er een reactie is. Dat zou eigenlijk internet-breed gedaan moeten worden. Zijn we van zo van botnets af, en worden consumenten geforceerd om wat verstandiger met de IT security om te gaan.

walteij @Aetje • 9 september 2016 13:41

Ik ben het eigenlijk helemaal met je eens, maar ik verwacht niet dat je dit zo snel kunt invoeren.
Ik weet dat XS4All een redelijk streng abuse-beleid heft, maar als je relatief weinig overlast bezorgd (je bent niet aan het DDOS-en of 1000-en spammails aan het versturen) laten ook zij je verbinding gewoon open.
Wordt je verbinding daadwerkelijk misbruikt, heb je alleen via een proxy nog toegang tot HTTP(S) verkeerd, verder niets. Zij sturen ook keurig een e-mail naar je @xs4all.nl email adres, waarin ze uitleggen wat ze hebben gedaan en waarom.

Dat zouden meer providers moeten doen inderdaad, maar dit kost ook een hoop tijd en geld (want ook de helpdesk zal deze mensen extra te woord moeten staan).

locke960 9 september 2016 12:39

Ik vind dit bizar nieuws. Zo een beetje sinds de oprichting van het internet heeft elke provider een abuse@provider e-mail adres. Als er misbruik (spam, ddos) van een ip adres kwam mail sturen naar dit adres, en de provider werd geacht het op te lossen.
Ruimt de provider de rommel in zijn netwerk niet op, dan hadden alle andere netwerkbeheerders een heel effectieve oplossing, namelijk black-hole routing. m.a.w. domweg alle datapakketjes van/naar die provider weggooien. Net zolang tot die provider het probleem opgelost heeft.
Gevolg is dus dat de provider zijn klanten waarschuwt, en als de klant het probleem niet oplost, de klant (tijdelijk) van het netwerk afsluit.

En dat is nu de oplossing waar ze mee op de proppen komen? Datgene doen wat ze al jaren nagelaten hebben te doen?

PizzaMan79 @locke960 • 11 september 2016 14:15

Ik heb een paar keer gemaild naar zo'n abuse adres, maar nooit wat terug gehoord.

r2504 9 september 2016 11:33

Eigenlijk zou je gewoon naar een pagina van je ISP moeten kunnen surgen (bv. benikbesmet.provider.be) waar je kan zien wat de status is van jou verbinding alsook wanneer deze laatste controle gebeurd is.

svennd @r2504 • 9 september 2016 12:08

Maar dan raak je nooit bij oma's en opa's pc ...

Mijn vraag is wie gaat de opkuis doen, en hoe neutraal zal die provider advies zijn ? Telenet bijvoorbeeld verkoopt "security" pakketten ...

r2504 @svennd • 9 september 2016 13:20

Dat is een kwestie van informeren... en initieel kan je inderdaad een mailtje sturen (met daarin de link zodat mensen ook niet zomaar op mails gaan reageren).

Superkanjo @r2504 • 9 september 2016 12:02

Surgen?

Hiernaast, de mesnen die de moeite nemen om de "status" van de verbinding te checken zijn juist de mensen die al serieus bezig zijn met de beveiliging van hun PC. De mensen die het meest kans maken besmet te raken/ of al zijn zullen niet zelf naar die site gaan is mijn verwachting.

jerehv 9 september 2016 11:11

in nederland word dat een lastig geval
omdat de meeste providers met lease ip adressen werken en er niet word bijgehouden wie welke lease heeft gehad..
meestal word de lease verlengt maar het komt ook vaak zat voor dat je een ander ip krijgt
deze leases zijn 7-10 dagen gemiddeld

Blokker_1999

België
Netwerk en systeembeheer
Privacy
Security

@jerehv • 9 september 2016 11:22

Waarom zou een ISP in NL geen logs van leases bijhouden? Het lijkt me dat men dit toch echt gedurende enkele maandan zal doen, net voor het geval bijv. opsporingsdiensten willen weten wie op een bepaald moment van een bepaald IP adres iets gedaan heeft.

Transferno @Blokker_1999 • 9 september 2016 11:44

Misschien worden de logs wel op een systeem bewaard voor de ordediensten maar uit de gewone systemen gewist?

jerehv @Blokker_1999 • 9 september 2016 11:37

het zou wel moeten inderdaad maar in de praktijk word dit vrijwel niet gedaan
heb dit bij meerdere providers meegemaakt

BrZ @jerehv • 9 september 2016 11:47

Kom nou, dit is gewoon verplicht en wordt streng gehandhaafd.

Als je hier meer over wil weten: https://www.rijksoverheid...omgegevens-voor-opsporing

jerehv @BrZ • 9 september 2016 12:10

https://wetten.overheid.nl/BWBR0011123/2013-01-01

artikel 4 puntje 3.
gegevens worden 24 uur bijgehouden en ververst.
die lijsten met oude ip adressen worden dus overschreven.

het weliswaar zo dat de cpe bij klanten thuis natuurlijk ook een log bijhoud. echter de meeste cpe's zijn die logs ook kwijt na een reboot.
het blijft dus een lastige issue

[Reactie gewijzigd door jerehv op 23 juli 2024 01:44]

BrZ @jerehv • 9 september 2016 12:37

Nee, dat artikel beschrijft dat de aanbieder (de ISP dus) minstens elke 24 uur verse informatie moet aanleveren. Het zegt niet over wat de aanbieder daarnaast als logs mag bewaren (daar zijn hele andere wetten voor), en het zegt al helemaal niets over hoe lang het CIOT historie bewaart / mag bewaren.

En als je denkt dat je er mee weg komt door binnen 24 uur vaker van IP te veranderen: alle transacties worden gewoon gelogd en bij CIOT afgeleverd.

batjes

Security

@jerehv • 9 september 2016 14:31

Ook ik heb bij meerdere providers gewerkt, KPN, Telfort, Online en alle 3 hielden lease logs een jaar of 2 bij.

xalvo @jerehv • 9 september 2016 11:41

Klopt, van de 'grote jongens' werken er twee met vaste IP...KPN en XS4ALL. Mogelijk dat Tele2 het ook gebruikt/heeft, maar daar ben ik niet zeker van.
Persoonlijk vind ik de hele lease IP constructies vervelend, doe mij maar een vast IP wat gewoon static in elke DNS opgenomen kan worden.

Transferno @xalvo • 9 september 2016 18:26

Je bedoelt een IPv6 dan? Want die heel lease constructie was er net omdat men niet genoeg IPv4 adressen had.

xalvo @Transferno • 10 september 2016 16:20

KPN heeft gewoon vaste IPv4 adressen hoor, ideaal voor je home server. Je kunt natuurlijk ook scripts gebruiken om telkens je dynamische IP in DNS te updaten, maar het blijft behelpen.

Transferno @xalvo • 10 september 2016 21:05

Ik heb geen kpn, dat wist ik niet. Bij proximus en telenet krijg je alleen een vast ip tegen extra vergoeding. Daar heb je standaard een lease IP.

SadisticPanda @jerehv • 9 september 2016 11:15

Is in België ook hoor. Statische IP's zijn bijbetalen. En volgens mij wordt er zo-ie-zo logje bijgehouden van ip-adressen.

r2504 @SadisticPanda • 9 september 2016 11:32

Als je bij TN je modem niet uitzet (of zelfs niet meerdere uren) kan je JAREN ! hetzelfde IP-adres behouden.

coolsmoe @r2504 • 9 september 2016 11:35

Desalniettemin blijft het een dynamisch IP.

tc-t @r2504 • 9 september 2016 12:03

Dat klopt, maar als je hem wel uitzet, of als de stroom uitvalt wegens werken in de straat dan ben je wel je IP kwijt, en zit je IP adres ook weer zo bij iemand anders.

Gisteren nog meegemaakt toevallig. Ik had in de voormiddag via OpenVPN nog even bij me thuis ingelogd, en 2 uur later lukte dat niet meer.

Bleek dat de stroom in mijn hele straat was uitgezet (wegens werken), en dat dus al mijn apparatuur uitstond.

Dat wist ik pas 's avonds, vanop het werkt leek het gewoon alsof een en ander bij me thuis "op zijn gat lag".

Mijn IP-adres was ondertussen nog wel bereikbaar, of eigenlijk: het was dus al aan iemand anders uitgedeeld.

--

In soortgelijke gevallen of wanneer mensen bewust hun modem uitzetten -- ik ken er genoeg die een stekkerblok met een aan/uit-knopje gebruiken -- moet wel heel goed worden uitgezocht wie wanneer welk IP-adres had, of je bent de verkeerde partij aan het helpen/beschuldigen/...

EDIT: spelling

[Reactie gewijzigd door tc-t op 23 juli 2024 01:44]

Evil Poro 9 september 2016 11:04

Top idee, mede omdat meeste mensen geen idee hebben dat ze onderdeel maken van een botnet.

Mr-E @Evil Poro • 9 september 2016 11:18

Kun je zelf ook ontdekken of je onderdeel bent van een botnet? Je zegt dat de meeste mensen dat niet weten, ik zou het idd ook niet weten. Hoe kom ik er achter?

Evil Poro @Mr-E • 9 september 2016 11:23

manier die ik ken is om je netwerk verkeer te monitoren, ben zelf ook geen expert op dit gebied en vind het daarom ook zo´n goede actie van onze buren.

Mr-E @Evil Poro • 9 september 2016 11:26

Zal thuis eens ff googelen, thnx

Pietervs @Mr-E • 9 september 2016 11:57

Regelmatig je computer scannen met een virusscanner en een programma als Malwarebytes voorkomt al heel veel ellende

svennd @Pietervs • 9 september 2016 12:10

Virus scanners die detecteren of je in een nieuw botnet zit ... ik zou het graag zien.

Pietervs @svennd • 9 september 2016 12:13

Ik ook!

Maar daarom zeg ik ook: regelmatig je pc scannen.
En met regelmatig bedoel ik wel iets vaker dan iedere Kerst

Eens per maand lijkt mij wel voldoende.

svennd @Pietervs • 9 september 2016 14:08

Scanners zien het niet altijd.

FastPinguin @svennd • 9 september 2016 12:41

Dat bestaat. NOD32 Internet Security heeft botnet detectie. Ik weet niet hoe goed het werkt, omdat NOD32 de verbinding al afkapt bij een onveilige URL voordat je überhaupt besmet kan raken. Als iedereen gewoon wat geld over heeft voor goede beveiliging dan zou er veel minder besmettingen plaatsvinden denk ik.

svennd @FastPinguin • 9 september 2016 14:09

Als iedereen iets doet vinden ze wel een manier om eromheen te fietsen. De vraag is daarom "wat is goeie beveiliging" en wat kun je verwachten van een "normale" (eg. geen tweaker) gebruiker.

telenut 9 september 2016 11:09

Het feit dat ze in een botnet zitten is vermoedelijk al doordat ze waarschuwingen hebben zitten negeren. Browsers en email clients waarschuwen regelmatig voor mogelijks gevaarlijke inhoud.
Een extra melding zullen deze gebruikers vermoedelijk ook gewoon weg klikken.
Toegang tot internet beperken voor die gebruikers lijkt me de beste optie.
Laat ze bij het openen van een browser naar een pagina gaan met uitleg, mogelijkheid om virusscanners of gelijkaardig te installeren. En pas als blijkt dat ze virusvrij zijn, ze terug internet toegang geven.

T0mBa @telenut • 9 september 2016 11:28

De tijd dat enkel internet-leken een virus konden krijgen is al lang voorbij hoor...
Ik vermoed dat men een brief gaat sturen met informatie, niet gewoon een melding op het scherm...

Consequator

9 september 2016 11:17

Dit zou standaard praktijk moeten zijn voor isp's.
Ik weet dat xs4all dit ook doet als ze iets detecteren. (of deden in elk geval)

Ik had jaren terug een keer een IRC server gestart op een xs4all lijn om iets te proberen en daar zat vrij snel een bot vanaf een interne xs4all server op. Bleek vanuit de security afdeling van xs4all zelf te komen dus die scanden toen al actief op probleem gevallen.

TVL @Consequator • 9 september 2016 11:44

Bij XS4ALL krijg je ook een vast IP adres als één van de weinige providers in Nederland. Bovendien bieden ze ook 5 licenties van FSecure die je kan gebruiken. Je kan ook je beveiligings nivau instellen op je poorten. Zijn eigenlijk zaken die alle providers zouden moeten bieden.

[Reactie gewijzigd door TVL op 23 juli 2024 01:44]

PierreG 9 september 2016 11:07

Hopelijk wordt deze melding wel niet nabouwt door malware verspreiders met een link naar nieuwe malware ipv. legitieme tips om de pc op te schonen.

Anoniem: 412052 9 september 2016 11:07

dit vind ik nog eens een goede actie, zouden ze in Nederland ook moeten doen, er zal dan ook informatie in de mail moeten staan over hoe het op te lossen is en dan wel in leken taal zodat iedereen het op kan lossen.

kelwin123 9 september 2016 11:12

Voor zover ik weet doet KPN dit al een tijdje. Niks mis mee. Mag ook wel, aangezien DDOS'ing illegaal is.

Op dit item kan niet meer gereageerd worden.

'Providers gaan Belgen informeren als hun pc deel is van botnet'

Lees meer

IT-banen

Reacties (124)

Sorteer op:

Weergave: