Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Cyberafdeling Amerikaanse leger verstoorde de werking van Trickbot-botnet'

Het Amerikaanse leger heeft de afgelopen tijd meerdere malen geprobeerd om de werking van het botnet Trickbot te verstoren. Daarbij zouden de overheidshackers een aantal keren succesvol zijn geweest. Trickbot is naar verluidt een van de grootste botnets ter wereld.

Dat meldt het doorgaans goed ingevoerde The Washington Post, op basis van vier bronnen die bij de Amerikaanse overheid werken. Met een van de aanvallen zou de afdeling U.S. Cyber Command het botnet zijn binnengedrongen en een update naar geïnfecteerde computers hebben gestuurd waardoor de communicatie met de botnetservers werd verstoord. De aanval, die op 22 september plaatsvond, werd opgemerkt door een aantal beveiligingsonderzoekers, maar de Amerikaanse overheid heeft niet toegegeven er achter te zitten. Daarnaast vond kortgeleden nog een dergelijke aanval plaats.

Het U.S. Cyber Command gaf in augustus al aan dat het de werking van botnets probeerde te verstoren. De Amerikaanse overheid ziet dit namelijk als een bedreiging voor de nationale veiligheid, en vreest ook dat de integriteit van de Amerikaanse verkiezingen in het geding kan komen. Trickbot wordt onder meer gebruikt voor ransomware-aanvallen.

Het lijkt er niet op dat Trickbot permanente schade heeft overgehouden aan de operaties van het Amerikaanse leger. Zo zouden de beheerders al weer begonnen zijn met het herbouwen van het netwerk, en zou het alweer in staat zijn om ransomware-aanvallen uit te voeren.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

11-10-2020 • 11:26

115 Linkedin

Reacties (115)

Wijzig sortering
Het zal wel te kort door de bocht zijn, maar is het niet mogelijk om op grond van ip-adressen en informatie van providers exact te bepalen waar de bots zitten?

Voor zo ver die dan binnen Europa en de VS zitten zou je er dan toch fysiek vanaf moeten kunnen komen?
Het gaat om duizenden dan niet miljoenen devices. Devices van veelal onwetende gebruikers. Dat is letterlijk dwijlen met de kraan open.
Door deze “kleine” devices te blokkeren ontstaat er wel een bewustzijn wat er nu aan de hand is, daarmee werk je botnets wel flink tegen.
Het is dus niet alleen maar dweilen met de kraan open.
het is niet altijd mogelijk om een specifiek device tegen te houden. tegenwoordig zit het merendeel ervan achter routers en niet meer rechtstreeks aan het internet, dat komt doordat ze geïnfecteerd zijn via een ander toestel zoals bvb je pc thuis die de deurbel infecteert.
Dan blokkeer je de Internet verbinding. Dat maakt mensen er een stuk bewuster van niet steeds maar van dergelijk (troep) spullen zomert te kopen en aan het Internet te hangen.

@Blokker_1999 XS4ALL doet dat al veel langer als er vreemde zaken vanaf jouw verbinding komen de verbinding afsluiten. Bijvoorbeeld als jij een mailserver draait die vreemde dingen doet (misbruikt), daar is niets mis mee. XS4ALL informeert daar ook over.

Als mensen graag alles zo connect wil hebben, dan moet men zich ook bewuster worden van wat dit betekend en waar zij rekening mee moeten houden. Niet direct voor de goedkope rotzooi gaan waar geen updates voor komen om dergelijke zaken tegen te gaan. Daarnaast direct een stok achter de deur voor providers geen brakke modems/routers te leveren.

De bottom-line is nogaltijd dat jij verantwoordelijk bent wat er op jouw Internet verbinding gebeurd. Ookal betaal jij daarvoor, als daar zaken gebeuren die een ander schaad, dan is het niet vreemd dat jij tijdelijk wordt afgesloten, totdat jij jouw zaken hebt geregeld.

...en onwetendheid is geen excuus.

[Reactie gewijzigd door _Dune_ op 11 oktober 2020 13:14]

Heb je boze consument aan de lijn die staat te vragen waarom internet niet meer werkt. Kan je wel zeggen dat er verdacht verkeer op de lijn is gevonden en de verbinding misbruikt wordt voor een botnet maar de consument gaat dat met klem ontkennen. De consument zal beweren dat op de PC een goede virusscanner staat want aanbevolen door de broer van de neef van een verre vriend die veel van computers kent. Andere apparaten? Neen, die zijn er niet volgens de consument. Dat die goedkope wifi camera uit China wel eens de oorzaak kan zijn? Daar gelooft de consument niet in. Die werkt toch niet via het internet denk de consument.

Daar sta je dan. Een kwade consument die geen internet heeft waar hij voor betaald en jij als dienstverlener die de dienst niet verleend waarvoor die consument betaald. Het enige dat je kan doen is een expert langs sturen die de consument gaat moeten betalen en die pas binnen 3 dagen tijd heeft. Zolang blijft de verbinding dicht. Hoe lang denk je dat het duurt voordat die consument zijn smartphone bovenhaalt en op Facebook/Twitter/{insert favorite social network} de dienstverlener aan de schandpaal gaat nagelen? Samen met nog duizenden anderen die ineens hun verbinding zien afgesloten worden?

Welkom bij een PR nachtmerrie.
Ik werkte tijdelijk op een ander kantoor. Onze baas kwam 9:30 binnen slot zijn laptop aan 5 minuten later ging de virus scanner af op mijn Desktop (die al een uur aan stond). Ik dacht meteen aan zijn laptop, maar die bleek het niet te zijn. Want nadat de laptop en onze twee desktop schoon waren even later weer een infectie. Iemand anders had een oude (geïnfecteerde) pc de dag er voor aan het netwerk gehangen en aangezet.

Enfin, ik alles weer schoon maken, om 11:00 virus is definitief weg. Rond 12:00 valt het internet weg. Voordat ik er achter ben dat het aan de provider ligt ben ik ook een uur verder (had geen toegang tot het modem).
Toen Xs4all gebeld. "u bent afgesloten want geïnfecteerd". Ze geloofden mij niet dat ik het al schoon had. Effectief lag het er tot 17:00 nog uit, toen ben ik maar naar huis gegaan..... Volgende dag werkte het weer.

Volgens mij hebben ze niet even gebeld of zo van te voren, en deden er lang over om het weer up te krijgen terwijl wij het al schoon hadden. Dat was mijn ervaring (15 jaar terug)
Hoezo een PR nachtmerrie?

Als je een degelijke abuse desk hebt, kan kan je de klant er gewoon op wijzen om zijn/haar zaken op orde te hebben of de verbinding wordt gewoon permanent afgesloten.

Dit staat immers ook beschreven in de algemene voorwaarden waarmee de klant akkoord is gegaan bij het aangaan van een abonnement.
Wilt de klant niet mee werken, dan is de provider gemachtigd om de verbinding af te sluiten.
De provider is niet verplicht om 'iemand' langs te sturen om het probleem bij de klant te verhelpen; immers is hier de klant zelf verantwoordelijk voor.

Wat ga je doen dan? Elke klant als een klein kind behandelen? Nee, de klant is zelf verantwoordelijk voor om zijn/haar netwerk in orde te hebben.

Besides the point, in de meeste gevallen zal een abusedesk niet direct overgaan op het afsluiten van de verbinding. Een beetje abusedesk geeft de klant ruim te tijd om zijn/haar issue op te lossen.

4 jaar abuse desk bij een provider heeft mij duidelijk gemaakt dat de meeste van de consumenten wel bereid zijn om te luisteren hoor. Het zijn echt een enkeling hier en daar die niet mee willen werken.
Juist daarom zou het zo goed zijn als consumenten geblokkeerd gaan worden.
Laat ze maar boos worden! Hoe meer hoe beter, dan is er aandacht voor dit probleem en is het ook te stoppen.
Je ogen sluiten en net doen of er niets aan de hand is, is veel erger.
Ok, de consument is er zich vaak hiervan niet bewust en het is geen opzet maar opvoeding kan geen kwaad.

[Reactie gewijzigd door HoppyF op 11 oktober 2020 15:20]

Op basis van welke wetgeving wil je ze dan blokkeren? En hoe rijm je dat met de privacywetgeving en netneutraliteit?
En welke bot-netwerken mogen wel/niet? P2P kun je zien als botnet.
Daar is geen wetgeving voor nodig. Als jij jouw verbinding bewust of onbewust misbruikt, dan heeft de provider alle recht om jou (tijdelijk) af te sluiten van hun netwerk. Jij bent namelijk nogaltijd verantwoordelijk voor jouw verbinding en wat daar op gebeurd.

Nogmaals een provider zoals XS4ALL doet dit al enkele jaren. Gebeurd er iets op jouw verbinding dat niet in de haak is, dan krijg jij daarvan bericht en wordt jij (tijdelijk) afgesloten, totdat het issue verholpen is. Daarbij krijg je gewoon de reden van de afsluiting van XS4ALL te lezen/horen.
Ja, XS4ALL doet dit inderdaad soms, en het is een drama. Toon maar eens aan dat je de oorzaak gevonden hebt als die waarschijnlijk bij een bezoeker zat....
Of ze daartoe gerechtigd zijn... ik twijfel daar over. Afaik mogen ze niet in het dataverkeer kijken, dus hoe bepalen ze dan dat het misbruik is?
Ze zien opeens tientallen pings per seconde vanaf jouw netwerk komen. Voor het herkennen van een ping hoef je echt geen packet inspectie te doen.

Als het een éénmalige actie is dan kan dat door een bezoeker gedaan zijn. En dan wordt je echt niet afgesloten.

Als het regelmatig voorkomt dan lijkt me dat je (als abonnee) ook maar eens moet nagaan wat jouw bezoeker allemaal uitvreet op jouw netwerk. Maar uiteindelijk is dat voor XS4ALL om het even. Een besmet apparaat of een louche vriend, beide willen zijn gewoon niet faciliteren.
Ze zien opeens tientallen pings per seconde vanaf jouw netwerk komen.
WTF, sinds wanneer zijn pings illegaal?
Jij kan gewoon pingen. Maar op het moment dat de ISP er tientallen per seconde vanaf één adres voorbij zien komen is het wel een trigger om even te kijken of het wel echt een supersnelle gebruiker is die dat eventjes intikt of dat er toch iets aan de hand is.

Ik ben redelijk snel. Maar het kost mij echt wel een minuut of meer voordat ik het tientallen keren 'ping' ingetikt heb of via de history toets heb herhaalt.
om even te kijken of het wel echt een supersnelle gebruiker is die dat eventjes intikt of dat er toch iets aan de hand is.
En hoe gaat men dat bepalen zonder inbreuk te maken op mijn privacy? Wat als het gewoon een tool is die bijvoorbeeld de latency van games servers meet? De snelste relays op tor zoekt?
Jouw ISP moet wettelijk jouw meta-data vastleggen en bewaren.

Vanzelfsprekend kijk jij ieder uur wat de latency is van minecraft. En uiteraard doe je dat als www.minecraft.com (ik neem dat even aan, ik speel het zelf niet) een dos-aanval heeft.

Uiteraard kan het toeval zijn dat jij 30 keer per seconde 'ping pirate bay' intikt terwijl die geweldige web-site op dat moment een dos-aanval heeft.

En toevallig gebeurd hetzelfde met jouw 'ping brein'. Uiteraard ook volkomen begrijpelijk.

Wellicht dat het volkomen onbegrijpelijk is dat in het eerste geval er wat alarmbellen afgaan bij jouw provider. En uiteraard gaat bij de tweede toevallig geen rode vlag uit. En ook de derde keer is volkomen begrijpelijk.

Maar zoals mijn dochter zegt: Really ?

Neen, men heeft echt geen DPI of privacy inbreuk nodig om bij dergelijke gedrag wat vraagtekens te zetten.
Neen, men heeft echt geen DPI of privacy inbreuk nodig om bij dergelijke gedrag wat vraagtekens te zetten
Vraagtekens zouden niet genoeg mogen zijn om iemand zomaar van internet af te sluiten....
Uiteraard zet de provider niet bij de eerste de beste vraagteken een verbinding dicht. Maar gaat het gewoon onderzoeken. Neemt contact met jouw op (tenminste XS4ALL doet dat wel) en bieden hulp aan.

En als je dan reageert met "bestaat niet", "kan niet" "jullie hebben het mis" dan gaat inderdaad gewoon die kraan dicht.
Neemt contact met jouw op (tenminste XS4ALL doet dat wel)
Dat is nieuw dan, ik weet niet beter dan dat je afgesloten wordt en zelf contact moet zoeken.
Als een provider het niet doet wordt hij zelf geblokkeerd. Dan kan niemand bij die provider meer mail versturen. Die wordt dan overal geweigerd of komt in de spambox.
Ik heb een keer in een studentenhuis de provider (upc geloof ik) de verbinding zien afsluiten omdat iemand een spambot die tienduizenden emails aan het versturen was had geinstalleerd.

Maar ik denk als ze dat op grote schaal gaan doen dat ze dan van de hele maatschappij de wind (en rechtzaken) van voren gaan krijgen.

Ze kunnen wel zeggen dat de consument verantwoordelijk is, maar in de praktijk word van hun gewoon verwacht dat ze 90% van het beveiligingswerk voor je doen. Dat is veel meer een catch all voor als er iets strafrechtelijks verkeerds op de verbinding gebeurt.
De provider kan jouw pc niet schoonmaken. Hij kan jouw deurbel niet updaten. Dat zal je zelf moeten doen.

En totdat het veilig is, zal hij de beveiliging van zijn andere abonnees gewoon boven dat van jou behoren te stellen en geen rechter die hem op het afsluiten/isoleren van het probleem aan kan spreken.

Als hij het probleem niet isoleert (overtreder afsluit) loopt hij het risico dat zijn service door de andere providers geblokkeerd wordt en dan schaadt hij die abonnees die wel hun beveiliging op orde hadden.
Nee ze kunnen mijn pc niet schoonmaken, maar ze kunnen wel zorgen dat mijn pc niet schoongemaakt hoeft te worden. En dat verwacht ik ook van ze.

Ik vind mijn anti virus software de afgelopen jaren echt overbodig. Ik krijg de meldingen tegenwoordig altijd van mijn email/browser/etc voordat er iets fout gaat, ipv van de virusscanner nadat er iets fout is. En ik neem aan dat mijn ISP ook veel van dat soort maatregelen neemt achter de schermen.
Neen, zij kunnen niet zorgen dat jouw pc niet schoongemaakt moet worden.

Zij kunnen niet bepalen welke louche websites jij bezoekt. Welke foute software jij (onbewust) installeert.
Zij kunnen jouw webcam niet benaderen, noch jouw smart-tv updaten.

Dat jij jouw virusscanner overbodig vindt omdat hij zijn meldingen doorgeeft via de browser en emailsoftware en niet via een pop-up scherm is echt jouw (foutieve) mening.

Dat jij verwacht dat een ISP wel even de wetgeving negeert en wel jouw internet gedrag analyseert en DPI gaat doen is eveneens behoorlijk kort door de bocht.

Neen, jouw ISP kan dat allemaal niet. En hij mag het ook niet.
Ja, als ik echt wil kan ik virussen installeren.

Maar dan moet ik wel op tig schermen op de grote rode "dit is gevaarlijk" knop drukken. ipv vroeger waar die waarschuwing pas kreeg nadat je iets had gedownload.

En ik wil ook niet dat ze mijn gedrag volgen, maar ze hebben toch echt wel een viruscanner en firewall op mijn router staan en ik neem aan ook op andere plaatsen in hun netwerk infrastructuur. en dat als ik wat rondzoek dat ik ook een hoop geblokkeerde virus domeinen vind.

Maar serieus, ik heb al minstens 10 jaar lang niet meer bij vrienden en familie een malware/virus probleem hoeven op te lossen. En dat is echt niet omdat die mensen ineens geleerd hebben waar ze niet op moeten klikken, dat is omdat er achter de schermen door de grote tech bedrijven veel meer gedaan word. internet veiligheid is echt wel weg aan het schuiven van individuele gebruikers.
Antivirus programmatuur doet zijn best. Providers doen hun best.

Maar providers kunnen niet voorkomen dat jij malware installeert. Providers kunnen niet volkomen dat jouw cctv een user-id/password heeft van 'admin', '12345'.

Zij kunnen niet voorkomen dat jouw Samsung smart-tv een bug heeft. Zij kunnen niet voorkomen dat jouw 'Google Nest' brak is.

Gelukkig is in het windows-eco software inmiddels wat aandacht voor beveiliging. En gelukkig pakken bepaalde 'big tech' bedrijven de beveiling op zoveel als zij kunnen. Maar het eindplaatje blijft hetzelfde:

Ik en ik alleen ben verantwoordelijk dat mijn apparatuur zo veilig mogelijk is voor het internet. En 'toevallig' heb ik daartoe de mogelijkheid. Enerzijds door leveranciers hierop aan te spreken. Anderszijds door het stemmen met mijn voeten. En ook door technische maatregelen als virusscanners en VLAN's. En door gewoon mijn gezonde verstand te gebruiken. V

erwachtingen als 'dat lost mijn provider (t.z.t.) wel op' zijn op zijn meest vriendelijkste manier gesteld: onrealistisch.

De enige manier waarop een provider dit wel zou kunnen doen is door hem een onbeperkte toegang te geven tot mijn netwerk en hem te laten bepalen wat wel/niet mag draaien en het internet benaderen. En DPI van al mijn internet verkeer. (Over privacy violation gesproken !)

Ik wil mijn provider helemaal geen onbeperkte toegang geven tot mijn windows pc. Noch tot mijn Smart-tv, CCTV en al die andere apparatuur die ik mogelijk zou willen aanschaffen.

Ik bepaal welke IP camera ik wil aanschaffen. Ik bepaal welke windows services ik wil draaien. Ik bepaal welke software ik installeer en waarop ik klik. Neen. Er is gelukkig !!!!! geen mogelijkheid voor de provider om hierin "zijn verantwoordelijkheid" te nemen.
Antivirus programmatuur doet zijn best. Providers doen hun best.

Maar providers kunnen niet voorkomen dat jij malware installeert. Providers kunnen niet volkomen dat jouw cctv een user-id/password heeft van 'admin', '12345'.
Daarom was het eerste was ik hierover zei ook dat ze maar 90% doen. Er zullen altijd mensen zijn die domme dingen doen.
erwachtingen als 'dat lost mijn provider (t.z.t.) wel op' zijn op zijn meest vriendelijkste manier gesteld: onrealistisch.
Nee, het is juist onrealistisch te verwachten dat de consument er verstand van heeft of ooit gaat hebben. Wil je dat mensen geen virus downloaden? weer het uit de zoekresultaten, filter bestanden op de server, maak een spam filter voor de email, etc. Precies de dingen die in de afgelopen 10-20 jaar allemaal standaard zijn geworden. Mensen alsuiten is best in extreme situaties, maar als je het als leermiddel bij milde situaties in wilt zetten ga je weinig bereiken.

Wil je dat mensen geen botnet op hun koelkast krijgen? Zelfde idee, maar dat gaat tijd kosten. Over 10 jaar zullen er vast regels zijn die koelkastfabrikanten verplichten beveiligidsmaatregelen te nemen, maar in de tussentijd zullen de netwerkbeheerders er wat voor moeten vinden.

Maar het zal altijd dweilen met de kraan open blijven, over 10 jaar is er ook weer een nieuwe populaire techniek die er ook weer 10-20 jaar over doet om volwassen en veilig te worden.
Dit klinkt als email, en dat zou logisch zijn. Er vindt detectie plaats door de mailserver van XS4ALL, want daar is de communicatie aan gericht. En laat XS4ALL nou net al toegang tot die server hebben....

Maar nou botnets. De communicatie is niet gericht aan de provider, maar waarschijnlijk aan andere delen van het botnet (of targets van een aanval). Ik neem aan dat een groot gedeelte van dat verkeer httpS is? En dat XS4ALL dus niet kan zien WAT het verkeer is, maar alleen DAT er verkeer is? Daarnaast: zelfs als het niet versleuteld is, hoe herken je dan het van een botnet afkomstig is? Alle opdrachten die ondertekend zijn met "...Met vriendelijke groet, Trickbot"?
Gegeven 1: Providers weten dat www.brein.nl een dos aanval heeft.
Gegeven 2: Providers slaan jouw meta-data op.
Gegeven 3: Providers zien dat jij binnen een (relatief) lange periode (2 - 3 minuten) tijdens die aanval www.brein.nl tientallen keren per seconde probeert te benaderen.

Moet je dan echt rocket-science gestudeerd te hebben om e.e.a. te kunnen combineren?

Neen, een ISP heeft geen DPI nodig om een betrokkenheid aan een dos te kunnen constateren. Hetzelfde geldt voor een spam-flood. Het valt echt wel op dat jij binnen een minuut 10.000 berichten uitstuurt.

Een beetje netwerk beheerder ziet dit gewoon. Daar heeft hij gewoon tooltjes voor draaien.
Helaas.... Het klinkt allemaal zo simpel, maar is het dat ook?

Met een DDOS aanval voert elk deelte van een botnet een mini aanval uit. Zeg dat zo'n (traag) apparaat elke 20-30 seconden even in actie komt, maar dat het botnet gezamelijk voor een massive attack zorgt.

Vaak zijn die hoeveelheden data dusdanig groot dat de aanval niet goed gelogd kan worden: er raakt op brein.nl (in jou voorbeeld) en bij zijn provider veel door zijn maximale capaciteit, en de server(s) stoppen met goed functioneren. Daarnaast is het op zo'n moment zeer lastig om regular traffic te onderscheiden van botnet traffic (wat regulier traffic kan imiteren). Gewone gebruikers gaan namelijk ook F5-en als de site hapert.

Daarnaast is de meeste traffic https, en dus onleesbaar voor alles tussen client en target. (dus ook voor de providers)

Enne... Het ging hier om botnets. Dus ook die "10.000 berichten per minuut" verdeelt een botnet vaak gewoon over bot-leden die die taak aankunnen. Dus misschien sturen 2% van alle aangesloten leden van het botnet één mailtje. dan heb je er ook 10.000. Enne... Waarom zou je een email server platgooien als je als doel hebt om mail te verzenden? Dat wil je dus niet met 10.000 per minuut, want dat kan die server niet aan/of gaat door het ingebouwde plafond. Spammers werken liever heimelijk.
Zoals hierboven beschreven (gevalletje UPC van KSU4reqY) herkent men een spambot gewoon.

Uiteraard is het mogelijk dat dat je tijdens een dos-aanval met willekeurige, maar tot op de milliseconde gelijkmatige, tijdstippen op de F5 knop ramt. En ook nog eens toevallig hetzelfde doet bij een tweede aanval op een ander bedrijf. En uiteraard toevallig ook nog bij een derde aanval.

UIteraard is het volstrekt onmogelijk dat een beetje fatsoenlijke netwerkbeheerder zoiets constateert. (Ik vraag me mijzelf af, hoe dit XS4ALL zoiets dan al jaren wel, als het niet mogelijk is?)

Dus als een ISP contact met je opneemt heeft hij het gewoon verkeerd. Ach nee, hij neemt geen contact op en biedt geen hulp aan. Neen hij draait de knop bij de eerste de beste keer meteen dicht.

Really ?!
Draaien botnets echt zo veel op huis tuin en keuken apparaten?

Ik dacht altijd dat die meer op kantoren en industrie computers e.d. draaiden die 24/7 aanstaan en waar de gebruikers het niet veel boeit omdat het niet van hun is.
Ja, zeker zijn huis tuin en keuken appraten vaak onderdeel van een botnet.

O.a. het Mirai botnet gebruikte veel consumenten(/IoT)-apparaten als IP cameras en routers.
Botnets bestaan onder andere uit koelkasten, barbiepoppen, koffieapparaten en tandenborstels. Zolang we de eigenaren en de fabrikanten van die apparaten niet beter aan gaan pakken wordt het alleen maar erger in de toekomst. Iedereen produceert maar de grootst mogelijke rommel, en de consument koopt alles sluit het aan op internet en kijkt er niet meer naar om en ondertussen bestookt zijn koelkast en het speelgoed van de kinderen jouw bank.
ahh dus als je bankrekening gehackt word je telefoon nummer gespoofd indentiteit fraude enz

dat ligt allemaal aan de gebruiker want die heeft vast ergens wat aangeklikt.... alles blokkeren want daar leert de gebruiker van...

of gewoon de criminelen die er achter zitten kapot maken en een minimum straf van 20 jaar geven? misschien leren hun ervan..

of de telefoon/ energiemaatschappijen die jouw gegevens verkopen ( sommige medewerkers) die harder aanpakken zodat wat minder mensen gescamt worden?

als je het probleem bij de bron aanpakt, hoef je onwetende mensen, waarvan een internet bedrijf zegt als je een goede virusscanner hebt je veilig bent

wij weten allemaal dat dat niet zo is dan ook niet te blokkeren.
Niets doen lost niets op. Uiteindelijk zal de consument toch actie moeten nemen. Start een publieksactie dat je dit als USP in je aanbod opneemt. En ga klanten actief benaderen. Wijs ze erop dat het niet altijd alleen maar een pc hoeft te zijn die besmet is.

Zet ze tijdelijk op een apart VLAN en sluit ze na enige tijd gewoon af. Communiceer daar netjes over en betaal teveel betaalde abonnementskosten terug.

Klanten die niet meewerken danwel jou niet willen geloven, ben je liever kwijt dan rijk.

Als ISP heb je ook een verantwoordelijkheid richting de klant die wel de zaakjes zoveel mogelijk in orde probeert te houden. Botnets (en spam) zoveel mogelijk tegenhouden hoort daar bij.
@_Dune_, gelieve reacties onder elkaar te zetten ipv te editeren om een reply te geven op een reply. Dit wordt zo onoverzichtelijk.

Alleen is XS4ALL een provider die vooral door meer technische mensen wordt gebruikt en als je een mailserver hebt draaien dan ben je al zeker technisch zeer goed bezig. De meeste ISPs blokkeren namelijk gewoon verkeer dat bstemd is voor poort 25.

Mensen zouden zich inderdaad bewust moeten zijn van wat ze doen, maar kijk vandaag eens rondom jouw naar hoe mensen omgaan met Corona. Ondanks alle nieuws, ondanks alle bewustmakingscampagnes blijft een deel van de bevolking doen alsof er niets aan de hand is. Je kan van niet technische mensen niet verwachten dat zij begrijpen welke implicaties hun acties kunnen hebben op een technisch niveau. Vraag aan je familie, aan je vrienden eens wat het updatebeleid is van hun smartphone. De meeste zullen je geen antwoord kunnen geven. En het is niet alsof we daar in de media nog nooit iets over gezien hebben.
probleem is ontstaan juist doordat mensen nooit gewaarschuwd worden.
Het stapelt zeg op maar als een wetgeving daarvoor komt die alle providers op dwingt.
dan geef ik het 2 jaar en dat mensen het echt wel snappen.
Ja 2 jaar zullen mensen gaan klagen maar zoals ik zij dat komt omdat er niks tegenaan gedaan werd.

[Reactie gewijzigd door raro007 op 11 oktober 2020 13:56]

Als je een mailserver draait ben je niet automatisch "technisch zeer goed bezig". Als je niet uitkijkt word je gebruikt om spam te versturen.
Ik denk niet dat die mensen dat als optie zien... ;)
Dat heb ik wel met andere zaken, niet dat ik daar dan ook gelijk in heb, maar dat is iets wat iemand/jijzelf vindt. :)
veel succes om dat er door te krijgen in honderden landen bij duizenden providers en tientallen miljoenen verbindingen. Internet is tegenwoordig vitale communicatie en kan je niet plots zomaar blokkeren omdat er 1 toestel raar doet op een netwerk.

Onwetendheid van hoe de rest van de wereld werkt is voor jou blijkbaar wel een excuus om dit soort draconische maatregelen op te willen leggen.
Weet jij wel hoeveel schade dergelijke botnetwerken nu al toebrengen, zeker economisch gezien, maar niet alleen. De laatste maanden worden steeds meer DDOS aanvallen uitgevoerd, welke opgezet worden door dergelijke botnetwerken. Meer en meer kiritiek infrastructuur heeft hiervan te lijden, als deze infrastructuur vaalt heb je niets meer. Om dan particulieren tijdelijk Internet te ontzeggen ja, lijkt mij geen probleem, ook zij dienen hun verantwoording te nemen.

Overigens wil ik hiermee niet zeggen dat providers en fabrikanten van IoT devices niet ook een grote verantwoording dragen, hiermee ga je in ieder geval wel bij de één een bewustwording ontwikkelen waarmee de ander gedwongen wordt actie te ondernemen.

Daarnaast weet ik wel hoe de rest van de wereld werkt, veelal wil een ander daar niet aan. Het gaat niet vanzelf, er zal een iets gedaan moeten worden. Zoals ik eerder al opmerkte in een andere reactie, XS4ALL doet dit al enkele jaren. Op het moment dat er iets gebeurd op jou verbinding dat niet in de haak is, krijg jij bericht en wordt jij afgesloten. De verbinding wordt pas weer vrijgegeven als jij je zaken weer op orde hebt. Daarbij kun je aanwijzingen krijgen van XS4ALL.

[Reactie gewijzigd door _Dune_ op 11 oktober 2020 14:38]

duidelijke dingen zoals een dom web of mailservertje valt op ja, maar of ze encrypted traffic van een bot herkennen en vervolgens je lijntje afsluiten wil ik nog wel eens zien, en dan spreken we over een provider is die zo'n dingen wil aanpakken, laat staan al de anderen, over heel de wereld.

Je vergeet dat dit soort dingen niet meer wordt opgezet door scriptkiddies, maar dat er grote stapels misdaadgeld achter zitten die mensen aantrekken die nooit voor een overheid kunnen/mogen/willen werken. Het opzetten van encryptie is makkelijker dan het breken ervan en dat is de reden waarom de politie(k) er wantrouwig tegenover staat en ze nu zo'n grote problemen hebben om botnets aan te pakken.
Het zou al helpen als ISP ip spoofing zouden weten door source checking te doen. Dat alleen al zou een hoop van deze ellende voorkomen en is bijzonder eenvoudig te implementeren maar helaas zelfs dat is een uitsaging
Mwa, dat is maar de vraag. Er zijn er genoeg die niet eens weten dat hun IP-camera, slimme deurbel en alle andere meuk allemaal standaard het internet op kunnen.

Dan zal het blokkeren van deze devices niet voor meer bewustwording zorgen.
Maar als plotseling je deurbel niet van buiten bereikbaar is of zelfs je hele internetverbinding is geblokkeerd dan wordt je toch wel bewust dat er iets aan de hand is?
Niet wanneer je niet weet dat je deurbel vanaf "buiten" bereikbaar is...

Je hele internetverbinding, sure. Maar dat zal niet snel gebeuren.
Maar dan is het probleem ook opgelost.
Als de deurbel plots niet meer werkt gaan die gebruikers klagen dat het product niet werkt. Het is rommel, ze doen een heel beklag tegen iedereen die maar wilt luisteren en ze kopen een ander product dat mogelijk ook weer kwetsbaar is.

Geen oplossing dus.
Is dat niet een gevalletje goed communiceren?
Week van te voren bekend maken dat er gescand gaat worden op deurbellen met lekke software, vervolgens nog een paar keer in die week en dan op de dag zelf ook een goede campagne voeren zodat mensen die pagina's wel tegen MOETEN komen als ze zoeken op de vraag waarom hun deurbel niet meer werkt?

deurbel als voorbeeld
Zodra jouw slimme deurbel of smart-tv de gegevens van jouw wifi (password) nodig heeft kan hij het internet op en kan vanaf het internet benaderd worden. Tenzij je maatregelen neemt.

Misschien wordt het tijd voor nieuwe slogans. Niet meer 'geld lenen kost geld' maar:

'wifi wachtwoord is toegang van en naar internet". of
"mijn ... mag alles van mij weten, maar niet mijn wifi wachtwoord".
Het enige bewustzijn dat je gaat krijgen zijn klanten die kwaad zijn op hun ISP omdat hun verbinding, waar ze voor betalen, is afgesloten en bij hoog en bij laag zullen zweren dat hun computer geen virus bevat. Beveiliging van alles wat in huis aanwezig is, is enorm moeilijk omdat de meeste mensen geen enkel idee hebben van wat ze allemaal in huis hebben en hoe alles werkt. En dat los je niet op met een beetje bewustwording.
In theorie ja. Waarschijnlijk gaat je internet abonnement dan flink duurder worden. Boze klanten, die het niet begrijpen, dreigen over te stappen naar een andere aanbieder, naar de consumentenbond stappen, lelijke dingen over het bedrijf schrijven op social media etc.

Probeer jij als helpdesk medewerker detective te spelen om erachter te komen dat een 20 euro gadget uit China de boosdoener is. Waarschijnlijk heeft de klant er geen idee van hoe het ding veilig in te stellen (uit de doos, kabeltjes erin, stroom erop en hij werkt toch...).

[Reactie gewijzigd door FrostyPeet op 11 oktober 2020 13:06]

Ja in principe wel. Alleen wat bereik je daar mee? De eigenaars van de computers die zo'n bot draaien weten dat bijna nooit. Het zijn geïnfecteerde computers die 'niet vrijwillig' deel zijn gaan uitmaken van zo'n netwerk. Dat betekent dus ook dat ze vervangbaar zijn.

Beter is om hetgeen wat t aanstuurt te verstoren of te vinden maar is echt extreem moeilijk bij deze geavanceerde netwerken, wat ook blijkt gezien deze cyber command afdeling zich er mee bezig houd.
ELI5 maar.. waarom? In principe zouden de lijntjes te volgen moeten zijn toch? Of gaat het om zoveel berekeningen dat het theoretisch wel maar praktisch niet mogelijk is?
Ik kan meerdere problemen bedenken, maar het grootste probleem met de lijntjes volgen is, dat je alleen de op dat moment actieve computers kan natrekken. Niet alle geïnfecteerde computers hoeven met elke aanval mee te doen, waardoor een tweede aanval mogelijk blijft.
En andere reden is, is dat het om een infectie gaat, wat dus betekent dat er steeds nieuwe computers aan het netwerk worden toegevoegd. Hierdoor is ip-adressen blokkeren alleen maar een korte termijn oplossing.
Hiernaast heb je ook nog het probleem dat wanneer je ip-adressen gaat blokkeren van bepaalde services, deze service niet meer bereikbaar is voor de gebruiker. Als mijn computer geïnfecteerd is en mijn ip wordt geblokkeerd door bijvoorbeeld overheidsdiensten, kan ik die diensten dus niet meer bereiken voor legitieme doeleinden.
Voor alle problemen zijn waarschijnlijk wel weer oplossingen te vinden, maar dat blijft een beetje dweilen met de kraan open. Het netwerk zelf beïnvloeden is de meest directe manier om het netwerk onschadelijk te maken,
maar dat blijft een beetje dweilen met de kraan open.
Het is inderdaad dweilen met de kraan open maar aan de andere kant als toch niet weet waar de kraan is dan is dweilen misschien toch een optie om de schade te beperken. Elke bot die hierdoor toch uitgeschakeld wordt maakt de botnet toch minder krachtig.

Maar ik denk dat het vanuit de overheid verplicht zou moeten worden dat wanneer ontdekt is dat een apparaat (zoals een tv) dat de fabrikant verplicht een update moet maken om dit te fixen. Zelfs buiten de officiële ondersteuning tijd.
En dat is praktisch en financieel onmogelijk. Stel, je blijft je tv 10 jaar gebruiken en komt voor in een botnet. Hoe wil je vanuit de overheid dan gaan verplichten om fabrikant X, Y of Z alsnog een update uit te laten brengen om het te patchen/fixen?
Waarom zou het onmogelijk zijn? Voor telefoons zijn ze ook bezig (of misschien dat het er al is) dat ze langer moeten updaten. Waarom zou dit niet stapje voor stapje kunnen voor andere apparaten? Ik heb het dan niet over dat de apps op de tv moeten blijven werken. Ik heb het ook niet over dat de rest van de software aangepast moet worden. Gaat het financieel wat kosten? Dat zeker. Aan de andere kant hoeveel kost het een bedrijf als ze aangevallen worden door zo een botnet. Laat staan dat het een bank is die aangevallen wordt. Dan hebben meerdere bedrijven hier last van. Ik vermoed dat dit meer kost dan dan een fabrikant aan kosten heeft om 2 of 3 man een dag hieraan te laten werken. Zet er anders een kleine beloning tegenover om fabrikanten te motiveren om zulke dingen op te lossen. Vooral voor oudere tvs.
Juist omdat er ontelbaar veel chipfabrikanten zijn welke hun eigen soc er in hebben waar dan weer alle info open source van moet worden. En wie gebruikt nou welke? Dat bedoel ik met een lastig verhaal.

Zelf heb ik nog een Philips K9 uit 1973 staan. Zeer keurig en kleurig beeld mét Chromecast en de rest er op. Aan de tv kan tot op heden nog álles aan geupdate en gefixt worden. Zo'n ondersteuning zie je zelden.. :+
Zoals ik het zie hoeft die informatie niet verzameld te worden. Als mijn tv (of andere apparaat) misbruik wordt hoeft alleen de informatie welke type tv, welke software versie erop zit en welke apps (en versie). Hebben ze de tv zelf nodig laat ze dan een oudere leen tv geven tot de tv terug kan. Dat mijn buurman dezelfde tv zou hebben maakt verder niet uit. Die kan dan dezelfde update binnen halen.

Edit: even verkeerd gelezen/begrepen.

Ze zullen vast wel weten wat ze in de tv stoppen dus ik verwacht dat grootste gedeelte van deze informatie al bekend is bij de fabrikant. Met een serie nummer zouden ze toch kunnen zien welke tv het is dus kunnen ze ook wel zien welke chips erin zit. En kunnen ze dit niet zo makkelijk zien dan blijft de tv openen nog steeds een optie. Al verwacht ik niet dat dit nodig zal zijn want ze kunnen nu ook software ervoor schrijven. Dus over 5 jaar zullen ze dit ook nog wel kunnen voor de tv die nu uitgekomen zijn.

[Reactie gewijzigd door Daoka op 12 oktober 2020 01:08]

1973? Nog werkend?
Ja. Perfect zelfs!
Waarom niet, een Tv gaat gemiddeld zo'n 8 tot 10 jaar mee. TV fabrikanten kiezen er zelf voor om die dingen meer "SMART" te maken, dat maakt de fabrikant ook meer verantwoordelijk voor eventuele fouten in de software. Helemaal als het een veiligheidsrisico wordt. Soieso is software support voor TV's al een ramp, maar dat is weer een ander verhaal... of, eigenlijk niet. Dit allemaal is over het algemeen mogelijk doordat fabrikanten slechte software/firmware leveren en dit niet herstellen door vvoor updates te zorgen.

In dit geval zou een overheid daar best een eisen aan mogen verbinden, naar mijn idee.

[Reactie gewijzigd door _Dune_ op 11 oktober 2020 23:58]

Het gaat om duizenden tot miljoenen devices die aan een botnet verbonden zijn.. mogelijk met meerdere command & control servers die allemaal weer verstopt zijn door o.a spoofing en vpns en noem maar op.

Zoeken naar een naald in een hooiberg, om vervolgens ook nog maar die naald te moeten hacken (dat lukt ook niet altijd), en dan er wellicht achterkomen dat het toch niet de juiste naald is. En voor hetzelfde geld pakt een andere naald de taken over van de naald die weggevallen is :P
Of nog mooier 8-)
"Leveraging Bitcoin Testnet for BidirectionalBotnet Command and Control Systems"
https://fc20.ifca.ai/preproceedings/71.pdf
en vallen dan -tig huishoudens binnen die hun locale pc mogen ophoesten omdat ze niet wisten dat hun bloedeigen pc eigenlijk een zombie is binnen het botnet...
Al die babyfoons en deurbellen die in beslag genomen worden.
cameras, koelkasten, autos, smartphones, routers, TVs, radios, ... alles is connected de dag van vandaag, alles kan infected zijn de dag van vandaag.
Vergeet niet dat heel veel via 'smokes and mirrors' gaat, en het verbergen van de (digitale) identiteit prioriteit #1 is; anders staat het arrestatieteam in een paar uur op de stoep.

[Reactie gewijzigd door CH4OS op 11 oktober 2020 13:02]

Dweilen met de kraan open. Je kunt in theorie wel al die huishoudens benaderen maar een groot deel interesseert het niet, snapt het niet, of ze doen wel wat maar zijn een maand later gewoon weer opnieuw besmet. Dus dat is een grote inspanning die op lange termijn weinig oplevert.
Botnets gaan vaak om duizenden IP-adressen, die blokkeer je niet zomaar even.

Het enige dat ze in theorie zouden kunnen doen is een computer op een afgeschermd netwerk bewust (laten) infecteren, en dan wanneer die PC gebruikt wordt voor een aanval daar data uit halen over de aanval waar ze op kunnen reageren. Het probleem is alleen dat tegen de tijd dat ze onderzoek gedaan hebben en contact kunnen leggen met het doelwit de aanval vaak al weer voorbij zal zijn.
Als volkomen leek op dit vlak:
Hoe kan iemand te weten komen of zijn/haar computer geinfecteerd is met een bot?
Als iemand die wel zelf zijn pc bouwt, de markt van nieuwe hardware wat opvolgt als hobby maar geen echt relevante kennis heeft over software buiten het instaleren van windows 10 en wat andere programma's ben ik niet echt op de hoogte van hoe dit nu werkt.
ik gebruik Avast free als anti-virus.
Ondanks dat ik probeer weg te blijven van schimmige websites (XXX) enzo.
Darkweb is iets wat de ver-van-mijn-bed show is
Onbekende links probeer te vermijden
Toch kan ik me best voorstellen dat ondanks dat ik een nogal voorzichtig persoon ben (In mijn Hoofd dan toch) er wel zo iets kan op je PC geraken.
Ik heb geen verstand van het monitoren van Internet verkeer van en naar mijn PC

Bij deze
Als iemand een antwoord heeft welk ook door een leek kan begrepen worden
graag
Dank bij voorbaat
100% veilig is niet mogelijk. Maar ....

Koop een router of accespoint die meerdere wifi netwerken ondersteunt. (zie bijvoorbeeld https://www.asus.com/nl/Networking/RTAC68U/ kopje: eigen netwerk voor bezoekers) Ander voorbeeld pricewatch: Ubiquiti UniFi AP AC LR (1-Pack) (zie VLAN ondersteuning).

Gebruik één van de netwerken voor jouw pc('s). En telefoons. (Bijvoorbeeld Het_Internet) Hou die apparaten op de normale manier up-to-date, inclusief virusscanner (voor zover beschikbaar).

Gebruik een ander (bijvoorbeeld: VerbodenToegang) voor al die dingen die het internet niet op mogen. Zoals de babyfoon. Zorg dat dat netwerk niet naar buiten kan. Wil je die op een telefoon bekijken dan schakel je gewoon even naar het andere Wifi-netwerk over (telefoon connect to VerbodenToegang). Wil je de babyfoon updaten dan schakel je de babyfoon even naar Het_Internet en na de update weer terug naar Verboden_Toegang).

En als je goed gezocht hebt dan kan je een derde VLAN (bijvoorbeeld CloudOnly) instellen voor dingen die wel naar buiten mogen (zoals cctv naar cloudopslag) maar van buiten niet benaderd mogen worden.

Jouw router houdt dan alles tegen en als je remote toegang op je router uitschakelt (alleen toegang van intern netwerk) dan zit je redelijk veilig. (Voor een doorsnee consument).

Zelf controleer ik nog de lijst met aangesloten apparaten en heb ze in de dhcp-tabel benoemd (192.168.0.1 is bijvoorbeeld iMac, 192.168.0.12 mijn telefoon). Router herkent het mac-adres dus als die apparaten een ander ip-adres krijgen wordt toch de naam er netjes bijgetoond. Ik kan dan ook altijd zien wat er op het netwerk actief is. Ook beperk ik toegang tot de alleen de bekende mac-adressen op mijn router en laat alleen nieuwe mac-adressen toe op het moment dat ik bewust een nieuw apparaat in gebruik neem. Waarvan ik dan weer de naam in de tabel vastleg.

E.e.a. houdt wel in dat je even een avondje moet doorbijten op de gebruiksaanwijzing van je router / accesspoint. Als je een paar keer een nieuw apparaat hebt toegevoegd doe je het met je ogen dicht.

edit: typefout

[Reactie gewijzigd door Het.Draakje op 11 oktober 2020 16:06]

Hoe helpt dit dan botnets tegen te gaan? Oprechte vraag, ik heb geen idee
Jouw smart-tv met slecht beveiligde software (aangesloten op Wifi CloudOnly) is niet benaderbaar vanaf het internet. Hij krijgt uiteraard wel informatie terug op zijn request. Dus je kan gewoon de YouTube channel benaderen en films bekijken. Echter een hacker kan jouw televisie niet benaderen (want hij kan geen antwoord sturen op een niet bestaand verzoek). Die hacker zal daarom LG (even aannemen dat jouw tv van dat merk is) moeten en als dat lukt, kan jij wellicht jouw request op vangen en met een malware-attack beantwoorden.

Ik neem aan dat LG een iets beter bescherming tegen hackers kan organiseren dat de gemiddelde huis-tuin-en-keuken consument. Kortom, je verlaagt de kans dat jouw tv besmet kan raken. Actie's zoals standaard user-id en password (en zelfs niet aanpasbaar) zijn hiermee goed te voorkomen.

De babyfoon (verboden_toegang) kan sowieso geen request uitsturen. En kan daarom überhaupt geen malware attack ontvangen. Maakt niet uit dat de beveiliging van jouw babyfoon in de category "niet bestaand" valt. Of een beveiliging van 'admin' met als wachtwoord '12345' wat ik ook wel meemaak. (En dat staat dan ook nog op de helpsite van mijn CCTV leverancier). 8)7

PC's en dergelijke (Het_Internet) worden op de normale manier beveiligd. In tegenstelling tot die smarthome apparatuur is hier wel aandacht voor beveiliging dus zou een redelijk onderlegde gebruiker (wat ik even aannam uit de vraagstelling van j z v wel aanwezig) wel voldoende moeten zijn.

In mijn geval moet men dus eerst een bug vinden in mijn router die ondanks dat het uitgezet is, wel remote update mogelijk maakt zodat men daarna een bug in mijn babyfoon kan trachten uit te buiten die vanaf het internet niet zichtbaar is.

Wordt behoorlijk lastig. Tenzij ik uiteraard 'click click click' doe op alles wat er op het internet of email tevoorschijn komt. Maar tegen klikken helpt geen hard- of software.
Interessant verhaal! Ik heb een huis gekocht en moet eerdaags ook aan een eigen netwerk, maar dit is dus wel iets om rekening mee te houden. Ik heb op dit moment niet zo veel spul dat het internet niet op mag (dumb hardware, TV is nog dom).

Ik zie alleen niet helemaal het verschil tussen het netwerk voor je TV en het netwerk voor je PC/Telefoon. Waarom zou je je telefoon niet ook standaard op dat andere netwerk gooien? OF je PC?
Jouw telefoon en pc zijn redelijk beveiligd. Er is geen anti-virus software o.i.d. voor een tv. 100% garantie heb je niet. Maar als men toch op de een of andere manier jouw tv weet te besmetten, dan kan de malware toch niet bij jouw bestanden (belastinggevens enz.) want hij kan dat andere netwerk niet benaderen.

Uiteraard is het nog veiliger als je voor jouw telefoon (weer) een ander netwerk neemt. Ook nog eentje voor de vrienden die een avondje langskomen. En wellicht ook nog een voor je (schoon)familie.

Ideaal ga je voor ieder apparaat bepalen welke poorten en protocollen hij allemaal mag gebruiken, wel/niet naar internet etc. (En uiteraard iedere dag de log-files doorspitten). Je praat dan over professioneel beheer en dat is (meestal) overkill voor de doorsnee consument.

We hebben een pc voor leuke dingen. En een smartphone om te bellen. En niet om 's avonds lekker logbestanden te gaan analyseren.

Een grove scheiding tussen vertrouwd, waakzaam_blijven en onbekende_meuk is voldoende.

Als je enigszins oppast, virusscanners installeert en uitkijkt wat je download (ook die hyperlinks en dergelijke) dan kan je een telefoon en pc gewoon als redelijk vertrouwd inschalen.
Wel even vlan DTP autonegotiation op disabled zetten?
Niet. Op je PC zorgen dat je een up to date malware scanner hebt is de beste manier om het risico te beperken. Maar computers zijn steeds minder vaak het doelwit van botnetbeheerders net omdat ze redelijk goed beveiligd zijn en er veel eenvoudigere doelwitten te vinden zijn. Zowat alle andere connected devices die mensen met plezier aan het internet hangen hebben veel minder aandacht voor veiligheid en zijn een veel interessanter doelwit.
Ik gebruik naast defender nog de tool van sysinternals process explorer voor opsporing.

Dan bij de opties aanzetten "verify image signature" en dan bij weergave de kolommen signature en path aangeven. Je kan dan zien of de executables die je systeem runt signed zijn door de maker ervan, bijv Microsoft of adobe etc. Sorteer de kolom signature en alles wat niet gesigned is kan je dan bovenaan zetten. Het overgrote deel zou op een gezonde pc gesigned moeten zijn. Sowieso de grote software pakketten. Kleinere developpers willen hun software nog wel eens niet signen dus dat hoeft niet perse een virus te zijn.

Zijn onderdelen van windows niet gesigned (met uitzondering van Windows store apps)? Dan is het foute boel.

Ook kan je dan alle paths zien. Draait het vanuit een temp map?

Doe je dit naast je virusscanner zoals defender / avast / avira en houd je je software up to date kom je een heel eind.

Let idd ook op wat je verder aan get internet hangt.
Een botnet werkt op deze manier: je gaat alle security en hacksites af en verzameld exploits op computers binnen te dringen; hacks via browsers, mailclients, routers, steam alles waarvan je denkt dat grote groepen deze software gebruikt.
Als je echt serieus bent koop je zero-days, exploits die nergens bekend zijn en dus veel langer kunnen worden misbruikt voordat er een patch komt omdat ze nog onbekend zijn.
Daarna wil je deze grote groepen bereiken: als je een Steam exploit wil misbruiken zoek je gamers dus upload je een torrent van laatste populaire game geïnfecteerd met je malware die deze exploit misbruikt. Wil je een lek in een mailclient misbruiken koop je een giga database met mailadressen en stuur je daar spam mail heen met links waarop geklikt moet worden om een andere hack uit te voeren. En van die hele set aan verschillende exploits kan je een botnet maken die je kan besturen. Het is dus niet 1 ding specifiek en er is niet 1 dat je wel of niet moet doen om niet ten prooi te vallen aan een botnet.
Niet, als je de pech hebt dat je buurman van terrorisme verdacht wordt, kan het gewoon de politie zijn die met je meekijkt.
Misschien te hoog gegrepen, maar als IPv6 meer gebruikt zou worden, is dan het identificeren van de apparaten niet veel makkelijker?

XS4ALL melde altijd al de eindgebruiker dat er rare activiteiten gebeurde op het WAN adres en blokkeerde daarmee de internet verbinding.
In principe wel, en direct ook 1 van de redenen dat sommige mensen tegen het gebruik van NAT6 zijn. Maar ik zie de uitrol van IPv6 niet direct versnellen hierdoor, bijkomend moet je dan ook IPv4 onmogelijk gaan maken want niets belet je bot natuurlijk om lekker op v4 te werken zolang je het aanbiedt.
IPv4 zou nuatuurlijk al jaren geleden uitgefaseerd moeten zijn....

Dat dat niet zo is, is een politieke keuze.
Het is niet de politiek die dat bepaalt. IPv6 was er al in 1998. Als het toen was ingevoerd had het een hoop problemen gescheeld, want nog maar weinig mensen hadden toen internet. Maar geen bedrijf wilde het eerste zijn omdat het niet direct iets oplevert en je er onbereikbaar voor de rest van het internet mee bent.
De organisatie die publiek routeerbare adressen uitdeelt, de iana.org is onderhevig aan politiek. Dat in 1998 niemand echt over wilde naar IPv6, soit, maar inmiddels is dat punt gepasseerd, en is het zuiver een politieke keuze om IPv4 voort te laten bestaan.

[Reactie gewijzigd door Adm.Spock op 11 oktober 2020 17:10]

Opzich verhoogt het de Cost of doing business voor de partijen die de botnets beheren.

Beter dan niks en zolang de cost of doing business lager is dan de mogelijke winst blijven ze dat botnet gewoon weer opbouwen.
Het lijkt er niet op dat Trickbot permanente schade heeft overgehouden aan de operaties van het Amerikaanse leger.

Dat is vrij ernstig. Het ziet er na uit dat die strijd ook al is verloren net zoals de war on drugs,etc...
Je kan de C&C servers overnemen, alle bots uitschakelen en het botnet ontmantellen. Maar als je de beheerders niet hebt is er niets dat hen stopt om nieuwe C&C servers op te zetten en een nieuw botnet uit te bouwen. Blijkbaar is dat wat er gebeurd hier. De vraag wordt dan: wie houdt dit het langste vol?
Is het makkelijk om een botnet op te zetten? Want als het je tonnen kost om op te zetten en ze nemen het binnen no time down dan krijg je op een gegeven moment een kantelpunt.

Geen idee( niet mijn tak van werk).
In principe kost het niets. Alleen tijd en een beetje bandbreedte.
Niet helemaal natuurlijk. Het vergaren van miljoenen zombies gebeurd niet zomaar, dat is niet een kwestie van 2 ondeugende pubers die handmatig mensen infecteren. Dat gaat grootschalig door middel van geautomatiseerde exploits, maarja die exploits worden langzaam aan gepatched natuurlijk. Daarnaast zul je heel heel erg veel traffic ergens vandaan moeten halen(veelal dmv advertenties e.d.).

Het bouwen en draaiend houden van zoiets is eigenlijk gewoon een soort business waarvan veel delen zullen worden geoutsourced (en dus betaald voor moet worden). Traffic, nieuwe exploits, nieuwe AV bypass technieken, hosting, bouwen van het virus zelf, etc.
Bedankt , Inderdaad ik zat hetzelfde te denken..... je hebt het hier inderdaad over criminele organisaties en die kijken gewoon naar return on investment ... De baten wegen niet op tegen de lasten ... dan stoppen ze er snel mee totdat de baten wel weer tegen de lasten opwegen.
Geen idee of dit ernstig is, het toont ook aan dat het mogelijk is om schade toe te brengen. Dat dit tot op heden nog geen permanente schade is, dat is even niet anders. Ik zie niet waarom na een aantal succesvolle aanvallen op dit botnet, de strijd dan al verloren zou zijn.

De War on Drugs vind ik een vergelijking die mank gaat, het grootste probleem is de gebruiker die zorgt voor vraag. Zolang de vraag niet opdroogt, zal je de strijd niet kunnen winnen. Daarnaast is drugshandel zeer lowtech, wat de drempel om je hiermee bezig te gaan houden, laag houdt.
er is nog een belangrijk verschil. Drugs is materieel en kan je wegnemen. Code is niet materieel en kan dus oneindig gerepliceerd worden zonder enige moeite.
Kun je drugs wegnemen? Papaver, coca, wiet, het groeit als onkruid en is met geen mogelijkheid uit te roeien. XTC (en andere synthetische drugs) zijn het resultaat van een aantal chemische reacties van algemeen verkrijgbare chemische stoffen. Hoe wil je dat wegnemen?

Je kunt een partij drugs in beslag nemen en vernietigen, maar dat is hetzelfde als het verwijderen van een stuk code. Bij een botnet heb je het voordeel dat de bots onderling communiceren en daar kun je gebruik/misbruik van maken. De bots zullen ook fouten/bugs bevatten, waar je eveneens misbruik van kunt maken. Die mogelijkheden heb je niet bij drugs, niet bij de planten maar ook niet bij de chemicaliën. Hier heb je uitsluitend mogelijkheden om de personen in een deel van de drugsketen aan te pakken, je kunt onmogelijk de bron aanpakken.

Nu zal ik niet beweren dat het aanpakken van een botnet eenvoudig is, maar je hebt hier imho betere kansen dan bij de drugshandel.
In beslag genomen drugs is weg en moet opnieuw geproduceerd worden, dat kost grondstoffen en moeite. Code is copierbaar in het oneindige, zonder moeite, en zonder verlies van grondstof.
onschadelijk gemaakte zombies zullen ook weer opnieuw 'geproduceerd' moeten worden. Het gaat vaak om miljoenen apparaten. En je zegt wel dat code 'oneindig' kopierbaar is, maar er zit wel een tijdslimiet op. Een virus wat je nu bouwt met exploits die nu relevant zijn verliest langzaam zijn waarde. Als je nu een 0day vind in chrome, kun je redelijk snel een botnet opzetten met vrij veel zombies, maar als dat over een jaar weggenomen wordt zul je toch weer opnieuw ergens een 0day vandaan moeten toveren.
En toch is dit botnet inmiddels offline :)
Ik zie niet waarom na een aantal succesvolle aanvallen op dit botnet, de strijd dan al verloren zou zijn.

Zo succesvol was die laatste aanval volgens het artikel niet. Immers is er nauwelijks echte schade toegebracht.

Cybercrime Damages $6 Trillion By 2021

bron:https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/

Er moet wel een grote vraag zijn of niet?

Daarnaast is drugshandel zeer lowtech, wat de drempel om je hiermee bezig te gaan houden, laag houdt.

Nou de geldstromen kunnen bestwel eens zeer ingewikkeld in elkaar steken.
Ik zie niet waarom na een aantal succesvolle aanvallen op dit botnet, de strijd dan al verloren zou zijn.

Zo succesvol was die laatste aanval volgens het artikel niet. Immers is er nauwelijks echte schade toegebracht.
Die aanvallen waren wel succesvol, maar leverden geen permanente schade op. Het zou ook raar zijn om dat te verwachten, zeker wanneer dit de eerste aanvallen op dit botnet waren. Het zet in elk geval de beheerders aan het werk en je hebt (eindelijk?) het bewijs dat je succesvol kunt zijn. Hoelang dat succes zijn waarde behoudt, dat zal variëren. De ene aanval zal meer schade opleveren dan de andere. En doordat je de beheerders aan het werk zet/houdt, vergroot je ook de kans dat ze cruciale fouten maken en zichzelf per ongeluk bloot geven. En dan kom je in real life terecht en kun je aan de slag gaan met de opsporing van deze personen.

Des te harder de daders moeten werken, des te groter de kans dat het voor hen verkeerd afloopt.
Cybercrime Damages $6 Trillion By 2021
Mooie uitspraak, maar vergeet niet dat deze business er ook baat bij heeft om de cijfers aan te dikken.
Nou de geldstromen kunnen bestwel eens zeer ingewikkeld in elkaar steken.
Dat valt reuze mee, en is toevallig een deel van mijn werk. De juridische kant van het verhaal is vele malen complexer dan het financiële verhaal. En dat is ook de reden dat de geldstromen veel langer aanhouden dan eigenlijk wenselijk is.

De UK heeft al wetgeving aangenomen waarbij het ontnemen van geld & goederen eenvoudiger wordt wanneer je niet kunt aantonen dat je dit legitiem hebt verkregen. Zie bijvoorbeeld deze artikelen van de BBC. In de UK begint dit steeds meer tractie te krijgen, het OM durft hier meer gebruik van te maken. Het is mij niet bekend dat in NL of BE soortgelijke wetgeving bestaat én wordt toegepast. En de pluk-ze-wetgeving is een voorbeeld van wetgeving waar men niet zo veel mee kan, dat werkt alleen tegen criminelen die niet hebben opgelet.
Wie gaat er nu exorbitant veel geld uitgeven terwijl je op voorhand kunt weten dat je het niet kan verantwoorden? Daar zie ik een link met de "Pluk Ze" wet.
De pluk-ze-wet is van toepassing op een veroordeelde crimineel. Bij de Unexplained Wealth Order werkt dat anders, wanneer je jouw rijkdom niet kunt verklaren aan de hand van legitieme inkomsten, kun je de boel inleveren. Je hoeft voor geen enkel crimineel feit te zijn veroordeeld om via deze wetgeving "jouw" eigendommen af te moeten staan. Het feit dat er geen legitieme verklaring is voor het verkrijgen van de rijkdom, is voldoende. Dit gaat overigens wel gewoon via de rechtbank, als burger cq aangeklaagde heb je ook gewoon je rechten en het OM zal nog steeds overtuigend bewijs moeten leveren. Maar de aangeklaagde zal dus ook met bewijs moeten komen dat het OM fout zit.
Is het alleen een verloren strijd als "de tegenstander" permanente schade heeft opgelopen?
Of betekent schade toebrengen aan criminelen al een goede slag, niet alleen qua geld, maar ook zeker mentaal.

Daarnaast, een botnet is in de basis gewoon een programma wat op veel computers draait. Al zouden alle bots worden afgesloten, zolang de maker het programma nog heeft kan die het opnieuw verspreiden en dus weer op gaan bouwen. Onherstelbare schade aan een botnet is praktisch alleen mogelijk als je de maker oppakt.
Is het alleen een verloren strijd als "de tegenstander" permanente schade heeft opgelopen?
Of betekent schade toebrengen aan criminelen al een goede slag, niet alleen qua geld, maar ook zeker mentaal.



Juist niet, als de tegenstander permanente schade heeft opgelopen is dat een succes.
Geld verliezen is zeker ook mentaal.Zonder geld geen macht en middelen.
Als je als leger het botnetwerk gewoon helemaal plat kunt leggen, ga je dat natuurlijk andere legers niet wijsmaken in vredestijd.
Ik denk dat ze dat allemaal wel kunnen. Als je het netwerk al in kaart hebt gebracht.

Maar de fysieke servers staan vaak in andere landen met andere wetsregels.
Je kunt niet lukraak in het rond gaan schieten zonder verregaande politieke consequenties.
Ik wacht nu eigenlijk wel op diegenen die normaliter staan te roepen dat een artikel antipropaganda is wanneer het gaat over staatshackers en China of Rusland. Ik verwacht nu dat men roept: maar... maar... de Russen en Chinezen doen het ook!


Om te kunnen reageren moet je ingelogd zijn


Microsoft Xbox Series X LG CX Google Pixel 5 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True