Australië laat isp's zombies opsporen

De Australische regering is een proefproject begonnen om isp's zombie-pc's op te laten sporen en onschadelijk te maken. Minister van Communicatie Helen Coonan heeft bekendgemaakt dat de regering in het kader van het Australian Internet Security Initiative vijf isp's heeft gerecruteerd om gedurende drie maanden te testen of zombies succesvol kunnen worden gedetecteerd en uitgeschakeld.

zombie squad De isp's maken hiertoe in eerste instantie gebruik van patroonherkenningssoftware om zombie-achtig gedrag waar te nemen. Als bij nadere controle blijkt dat de pc van een gebruiker is overgenomen, dan wordt contact met de klant opgenomen om die te assisteren bij het verhelpen van het probleem. Gebruikers zouden vaak geen idee hebben dat hun computer wordt gebruikt voor onfrisse zaken zoals het uitvoeren van ddos-aanvallen, de verspreiding van virussen of de verzending van spam. Naar schatting wordt ruim zestig procent van spam via zombiecomputers gestuurd. Als de klant niet meewerkt aan de opschoonactie dan zou de provider deze af moeten sluiten totdat het probleem verholpen is, om te voorkomen dat de betreffende computer andere internetgebruikers nog langer tot last is.

IT-banen

Reacties (50)

Speedswitch 8 november 2005 12:48

Hm.. verstandige actie, temeer omdat zombie en Ddos aanvallen een noemenswaardige hoeveelheid bandbreedte in beslag nemen. Ik vind dat ze dit soort actie's in elke land in mogen (moeten) stellen. Zal een hoop irritatie e.d. schelen, en bovendien is voorkomen beter dan genezen.

@ jcv......

Ja zou inderdaad kunnen, maar dan kan je je eigen afvragen waar je prioriteiten liggen, liggen die bij bescherming van persoonsgegevens of het stoppen van zombie netwerken?

Bovendien hebben we het hier over patroon herkenning, er word alleen gekeken naar bepaalde patronen die een PC uitvoerd op internet, zoals 20 keer per minuut opvragen van 1 bepaalde website.

Verwijderd @Speedswitch • 8 november 2005 12:49

Best kans dat dit in Nederland weer niet mag van de privacy-heiligen!?

Iblies @Verwijderd • 8 november 2005 12:53

Elke overeenkomst van provider die ik heb gezien staat al een regeling in dat je je verbinding niet mag misbruiken.
Dit zou dus alleen een aanvullenden dienst kunnen zijn, waarbij de gebruiker er op wordt geattendeerd dat zijn pc waarschijnlijk misbruikt wordt.

Heeft verder niets met privacy te maken als er vanuit een particulier adres ineens 20.000 mails worden verstuurd of hetzelfde adres wordt aangevraagd binnen een uur. ISP is dan al gerechtigd om vragen te stellen.

TheGhostInc @Iblies • 8 november 2005 13:26

<reactie op Olaf van der Spek>
En weer zo'n reactie die nutteloze privacy in de hand werkt. 1 persoon die bij een ISP wordt omgekocht en al je gegevens worden gemonitord. Tijd om je verbinding op te zeggen?

ISP's hebben UITERAARD het recht om hun netwerk te monitoren om problemen op te sporen en preventief onderhoud te plegen. Een daarvan is te monitoren hoe druk het netwerk belast is, hoe veel mail er per seconde langs komt en nog 100 andere statistieken.
Als er uit die gegevens ineens een paar (op dat moment nog anonieme) computers te voorschijn komen dan verwacht ik dat mijn ISP actie onderneemt. Of ik het nu ben of mijn buurman het is.

Vrijstaat "Internet" bestaat niet, ga dan lekker op freenet rommelen met de spullen die niemand mag zien. En stop met privacy door mijn strot te duwen die ik niet WIL, niet NODIG heb en mijn ISP verhindert om actie te ondernemen tegen mensen die overlast veroorzaken. En JA, ik heb overlast, want mijn verbinding zou goedkoper of sneller kunnen als de hoeveelheid spam en bots minder zou zijn. En dan heb ik het nog niet eens over DDOS-en en andere acties die voortkomen uit een gebrek aan baardgroei.

Olaf van der Spek @Iblies • 8 november 2005 13:42

En weer zo'n reactie die nutteloze privacy in de hand werkt.

Dat jij geen waarde hecht aan privacy betekent niet dat niemand dat doet natuurlijk.

Maar het opzetten van een honey pot lijkt me best een goed idee zonder dat dat de privacy van gebruikers aantast.

Olaf van der Spek @Iblies • 8 november 2005 14:07

Ze kunnen gewoon het verkeer monitoren, en als ze zien dat er veel verkeer naar een bepaald adres toe gaat wat van een bepaald adres afkomt, kunnen (en mogen) ze daar natuurlijk een blikje op gaan werpen...

Waaarom zouden ze dat mogen doen?
Als ik een groot bestand (zeg meer dan een gigabyte) aan het uploaden ben, waarom zou mijn ISP daar dan naar mogen kijken?

Olaf van der Spek @Iblies • 8 november 2005 13:00

ISP is dan al gerechtigd om vragen te stellen.

Waar is dat op gebaseerd?
Dat je de verbinding niet mag misbruiken betekent niet automatisch dat je ISP ook al je verkeer mag napluizen hoor.

Pietervs

Bedrijfsnieuws

@Iblies • 8 november 2005 13:55

Dat je de verbinding niet mag misbruiken betekent niet automatisch dat je ISP ook al je verkeer mag napluizen hoor.
Ze hoeven niet al je verkeer na te pluizen. Ze kunnen gewoon het verkeer monitoren, en als ze zien dat er veel verkeer naar een bepaald adres toe gaat wat van een bepaald adres afkomt, kunnen (en mogen) ze daar natuurlijk een blikje op gaan werpen...

nl1klb @Iblies • 8 november 2005 14:29

Jongens.. Denken jullie nu echt dat de ISP alles gaat napluizen?
Daar zitten *automatiseringsgasten*.
Wat doen die? Automatiseren.

Dus in de praktijk:

Alert maken voor user X als meer dan 1000 (ik noem maar ff wat) mails per minuut binnenkomen

Resultaat:

Er gaat iemand naar je kijken en onderneemt stappen want de user is een mogelijk probleem voor de continuiteit van je netwerk. Doodsimpel.

Mister_X @Iblies • 8 november 2005 14:31

@Olaf van der Spek:
Ehm omdat het HUN netwerk is en HUN mogen kijken waar BV die 100% netwerk belasting vandaan komt om maar even iets op te noemen he....

Lijkt me logisch toch? maar geloof mij maar dat ze jouw gigabyte echt niet interressant vinden, ik denk dat je moet denken aan enkele 100 gigabytes per dag... en dan over een maand lang, dat lijkt me wel iets om te monitoren.. en zoals al gezegt wordt, ze monitoren niet WAT er verstuurd wordt, maar alleen HOEVEEL (dataverkeer...)...

J.J.J. Bokma @Iblies • 8 november 2005 15:59

Denk je dat ze dat niet doen? Niet byte voor byte, maar dat gaat ook niet gebeuren bij het monitoren op zombies. Dat doet de software.

Verwijderd @Verwijderd • 8 november 2005 14:37

weet je, een trojan/virus/malware/andere troep op je PC is nou ook niet bepaald bevorderlijk voor de privacygegevens van de PC eigenaar.

Eigenlijk zou je het zo kunnen stellen: de ISP in samenwerking met de overheid helpen je je eigen privacy veilig te stellen.

Liever dat de ISP wat meer over me weet dan één of andere hacker....

MeNTaL_TO @Verwijderd • 8 november 2005 12:51

Zover ik weet doet XS4all en tiscali al iets wat er op lijkt.
Niet actief, maar je wordt wel afgesloten als je pc trojans bevat.

mae-t.net @Verwijderd • 8 november 2005 19:05

Ik weet niet wie je precies bedoelt met privacy-heiligen, maar ik ben er behoorlijk fel op en kies doorgaans die kant. Deze technische maatregel (waar volgens mij geen duidelijke privacy-relevantie aanwezig is) juich ik echter toe. Is jouw wereldbeeld nu omvergeworpen? ;-)

Jogai 8 november 2005 12:50

Bij speedlinq doen ze dit al. Je wordt (zonder kennisgeving) afgesloten van het internet. Heb ik namelijk wel eens meegemaakt, en dan belde ik naar de helpdesk en die vertelden dat er spam verstuurd werd vanaf die computer.

locke960 @Jogai • 8 november 2005 20:17

En zo hoort het ook. Jou machine is namelijk een gevaar voor de rest van het internet. Een verantwoordelijke ISP sluit een klant die zijn eigen computer niet schoon kan houden keihard af. Als de remmen van je auto stuk zijn mag je van de politie toch ook niet nog een paar dagen doorrijden tot je tijd hebt om het probleem op te lossen ?

Een klantvriendelijke ISP zorgt er dan nog voor dat je wel mail op kunt halen, maar niet versturen, en stuurt je een mailtje met een verklaring wat er aan de hand is.

Als je probeert te browsen, kom je altijd bij dezelfde pagina van je ISP uit die je verteld dat je een probleem hebt. Op die pagina een paar links naar antivirus/antispyware programma's. (Op een server van de ISP zelf natuurlijk)

Hiernaast Windows update nog wel bereikbaar houden natuurlijk en je hebt een redelijke oplossing.

Verwijderd @Jogai • 8 november 2005 12:59

zonder kennisgeving gaat mij toch een brugje of wat te ver. Verder: prima actie, vooral doorgaan!

rattenfanger @Verwijderd • 8 november 2005 13:04

Bij @Home krijg je twee waarschuwingen op je hoofd mail adres...Komt er dan nog spam vanaf jou adres dan wordt je afgesloten. De technische dienst assisteert je dan keurig met het probleem oplossen als je belt

Het is wel zo dat veel mensen hun hoofd mail adres niet checken. Maar moeten providers zoals @Home daarom (dure!) brieven gaan sturen terwijl het de fout van de klant is?

trogdor @rattenfanger • 8 november 2005 13:23

Ja.
Die klant krijgt namelijk zo veel spam naar zijn hoofd geslingerd op dat 'hoofd mail adres', zeker als je al wat langer bij een isp aangesloten bent, dat het vrij logisch is dat ze die mail of niet lezen, of over het hoofd zien.
Zeker als je bijvoorbeeld een eigen domeintje hebt, zoals ongeveer een miljoen nederlanders hebben, is het totaal niet de moeite waard om je pietjepuk@home.nl of @xs4all.nl te gaan lezen
Bovendien is de economische schade en irritatie van zombies zo groot dat het gewoon opgelost MOET worden.
En het is dan aan de isp om te bepalen of ze dat op een vriendelijke manier willen gaan doen of dat je gewoon gaan zitten afsluiten.
Zeg nou zelf, een provider die zomaar jan met de pet afsluit omdat ie nou eenmaal niks van computers snapt, die krijgt toch vanzelf een slechte naam?
Ik beschouw het als onderdeel van de service (of het service niveau) hoe ze met zoiets zulllen omgaan.
Ook al is dit nog niet op gang in nederland, ik zou verwachten dat een wannadoo je gewoon af zou sluiten, en een xs4all je eerst zou bellen.
Maar dat is mijn opinie.

Dubbeldrank

@rattenfanger • 8 november 2005 14:14

Dan zit je wat betreft het laatste punt er ver naast, ik heb meerdere malen gehoord en gezien dat xs4all gewoon afsluit en dat je er zelf achteraan kan gaan. Om maar te zwijgen over de manier van behandeling aan de telefoon.

CrazyA @rattenfanger • 8 november 2005 14:15

Wel is het zo dat jij bij het afsluiten van de abo, een krabbel zet onder de voorwaarden. Daarin staat over het algemeen dat het hoofd-email-adres één van de officiële manieren van communicatie is voor de provider. Dus als jij 't niet bekijkt, of niet wil bekijken blijf jij in gebreke en niet de provider.
Patroonherkenning heeft weinig te maken met privacy. Verder kan élke helpdeskmedewerker ook bij alle naw-gegevens komen, dus daar hoef je geen ingewikkelde patroon-herkennings-software voor te bouwen.
Veel interessanter is het zoeken naar machines die masaal elke 5 minuten naar een bepaalde irc-server connecten. Daarna worden de gegevens er nog wel eens bij gezocht.

Get!em 8 november 2005 12:51

Dit soort dingen hebben ze hier op de uni al geregeld. Computers in de studentenflat zijn aangesloten op het Universiteitsnetwerk. Deze computers krijgen of een waarschuwing of een directe afsluiting als ze hinderlijk zijn voor de rest van de computers (door virus, zombigedrag, of baldadig gedrag van gebruiker zelf)

Verwijderd 8 november 2005 13:38

Dichtzetten van poort 25 is niet de oplossing. Een virus-geinfecteerde PC kan uit zichzelf emails versturen, ook zonder dat hij relayed dus. Verder zijn heel veel PC's geinfecteerd met virussen die proberen om andere PC's binnen te dringen.
Als ik het log van mijn firewall bekijk zie ik per dag honderden pc's die proberen om op bekende poorten binnen te dringen. De meeste van die computers zitten in hetzelfde subnet als ik en zijn dus afkomstig van mijn eigen provider. Die computers zijn vermoedelijk allemaal van nietsvermoedende mensen, maar wel besmet met virussen. Een provider heeft het volste recht om zo'n computer af te sluiten omdat vaak in de algemene voorwaarden staat dat een klant geen overlast mag veroorzaken. Ik denk dat het nuttig is om klanten hiervan bewust te maken en ze af te sluiten als ze niet op email reageren. (dan bellen ze vast wel

)

Olaf van der Spek @Verwijderd • 8 november 2005 13:58

Een virus-geinfecteerde PC kan uit zichzelf emails versturen, ook zonder dat hij relayed dus.

Maar dan moet het wel via de smtp server van de ISP zelf en dan is het voor de ISP eenvoudiger te monitoren.

Tadango @Verwijderd • 8 november 2005 14:15

ho ho, ik heb graag mijn eigen SMTP server online dus niets blokkeren. Gewoon monitoren en zodra er iets getecteerd wordt dan de verbinding dichtgooien en de klant bellen. Hebben ze bij mij ook een keer gedaan en dat werkt super snel en effectief. (bleek om 1 van mijn huisgenoten te gaan, die had lopen klooien met software van school... jaja....)

blouweKip @Tadango • 8 november 2005 14:43

Ik denk dat ze beter een soort gatewaypagina aan kunnen bieden na afsluiten zodat de klant als hij het net op gaat weet wat er aan de hand is en op die manier met de isp contact op kan nemen.

Mijn isp doet dat iig op die manier, helaas doen ze dat automatisch en dus vaak onterecht, in mijn geval moest ik mn smtp verkeer via een externe host omleiden omdat ze poort 25 blokkeren en laat ik dat nu net doen op een poort waar een of ander windows virus ook smtp verkeer verstuurd

Willem2 8 november 2005 13:26

Waarom knallen de ISP's niet gewoon standaard poort 25 dicht? Voor de enkele gebruiker die een mailserver wil draaien kunnen ze een mail relay aanbieden of desnoods de poort weer openzetten onder bepaalde voorwaarden. Voor de andere 99% van de pc's ben je af van die ellendige spam zombies.
SpeedXS doet dat bijvoorbeeld al...

Cobalt @Willem2 • 8 november 2005 13:33

wat een onzinnig om poort 25 dicht te gooien, dat is het zelfde als gmail die standaart .exe weigert als bijlage om virussen te voor komen. Als je zo nodig wilt spammen kan je net zo goed een andere poort gebruiken.

Olaf van der Spek @Cobalt • 8 november 2005 13:47

Als je zo nodig wilt spammen kan je net zo goed een andere poort gebruiken.

Ik ken geen/weinig mailservers die luisteren op een andere port dan 25. Port 25 sluiten is dus wel effectief.
Het aanbieden van een web interface zodat de klant indien nodig zelf port 25 weer open kan zetten lijkt me best een goede oplossing.

Willem2 @Cobalt • 8 november 2005 13:48

Dat ben ik dus absoluut niet me je eens:

Question: Will your SMTP Server have the ability to choose a different port for sending, such as port 26, because my ISP blocks port 25?

Brief Answer: It just doesn't make sense, since it will not work.

Answer: Even if we will enable that option, if you choose a different port, other than 25, nobody will be able to receive your emails, because all SMTP hosts and servers work on port 25 which is a standard for SMTP as defined by Internet Engineering Task Force(IETF). You can specify port in your email program, but that is only when your own SMTP Server is configured to receive connections on port other than 25. But from your SMTP to the destination SMTP, I can pretty much assure you it goes on the port 25, other programs take other ports. Here is just a partial services file that shows you how different programs use different ports as standard.

Tuurlijk los je hier het virus probleem niet mee op (hoewel je wat 'collateral damage' zult hebbe natuurlijk) maar spam kun je wel redelijk beperken zo...

Verwijderd @Willem2 • 8 november 2005 15:52

@Willem4
Ehm... dit heeft natuurlijk alleen zin als een SMTP server gedraaid wordt. en anders nog, aangezien het toch om een zombi gaat, kunnen de beheerders prima een andere port kiezen. de port is alleen belangrijk bij ontvangen van mail, niet bij verzenden in dit geval! In dit geval doet wat je hier verteld er dus niet zoveel toe; het gaat er niet om dat alle smtp servers in de wereld mail kunnen afleveren bij de betreffende infected pc!
[edit: ik zit die Q&A nog eens na te lezen, maar wat daar staat is gewoon kul! als dat waar was, kon je met een geblockte port ook geen e-mail versturen via een buitenliggende SMTP server!]

Verwijderd @Willem2 • 8 november 2005 23:51

Als jouw poort 25 dicht zit kun je nog gewoon allerlij onzin versturen hoor. Dat doe je vanaf een random poortje ergens boven de 1024 NAAR poort 25 op de SMTP bak.
Als verkeer van de klant PC naar poort 25 op een niet door de provider goedgekeurde server geblokkeerd wordt, dán hou je dit soort onzin pas tegen.
Dat is overigens wel een logische oplossing voor consumenten, die mailen toch via smtp.provider.nl
En dat is ook gelijk de grootste risico groep voor virusjes e.d.

jp @Willem2 • 9 november 2005 20:56

Je kan op ISP niveau al het verkeer dat gaat naar poort 25 doorsturen naar je eigen SMTP server (waar spam en virus-check plaats vindt).

Thuisgebruikers hebben er geen last van, en tegen zakelijke gebruikers kun je zeggen "moet je maar zakelijke lijn nemen"

feelthepower @Cobalt • 8 november 2005 13:34

Ik kan gewoon zip's mailen hoor.

SeenD @Cobalt • 8 november 2005 13:43

Uhm zips kun je gewoon mailen, zolang er geen executable inzit is het geen probleem, om executables wel te mailen moet je hem gewoon als txt hernoemen.

maar ontopic, ik vind dit wel een goede zaak, van mij mogen alle isp's dit wel doen...

Verwijderd @SeenD • 8 november 2005 17:10

En dat geeft toch al precies aan waarom het fout is om op extensies te filteren, als het hernoemen ervan al voldoende is om dit te "omzeilen". Lekkere beveiliging hoor.

Verwijderd @SeenD • 8 november 2005 17:16

Nee, dat is juist niet fout.

Nu moet de afzender vertellen dat dit een gerenaamde ZIP of EXE en dus vertellen dat de ontvanger het bestand moet saven en renamen. Dat is alweer een extra stap dat een gebruiker moet doen. En dus een mindere kans voor het virus om zich te verspreiden.

Olaf van der Spek @Cobalt • 8 november 2005 13:48

GMail weigert volgens mij executables. Dat is niet eens zo verkeerd.

spone @Willem2 • 8 november 2005 13:30

Waar staat dat het om mailservers gaat?

Countess 8 november 2005 12:49

lijkt me eigenlijk wel een goede zaak.
als alle ISP's dat gaan doen zal de hoeveelheid spam en de hoeveelheid virusen denk ik toch wel flink naar beneden gaan.

en met patroon herkennen in een geautomatizeerd systeem zou ook de privatie-issues geen probleem moeten zijn.

coretx 8 november 2005 13:10

Mwuhahahah!

Word er na 20 jaar eindelijk een ISP wakker

Abom 8 november 2005 13:13

Ik vind dat ze de bijkomende kosten ook bij de betreffende klanten moeten halen...en gewoon even het abbo verhogen...

Verwijderd 8 november 2005 15:46

/quote
Waarom knallen de ISP's niet gewoon standaard poort 25 dicht? Voor de enkele gebruiker die een mailserver wil draaien kunnen ze een mail relay aanbieden of desnoods de poort weer openzetten onder bepaalde voorwaarden. Voor de andere 99% van de pc's ben je af van die ellendige spam zombies.
SpeedXS doet dat bijvoorbeeld al...
/quote

Nou daar schiet je lekker veel mee op. Wil ik via mijn eigen mail server mailen werkt het niet, en ik maar denken dat ik instellings fouten gemaakt had. bleekt dat dus ja poort 25 port gefilterd ( en niet geblocked ). maar dat filter staat zo ingesteld dat je alleen via hun kan emailen met elk willekeurig email afzender adres. nou alsjeblieft, daar heb je je spam. Laat ze het goed doen en authorisatie er op gooien. en daarnaast wil jij dat AL jou email via de server van speedxs gaat nee dankje, geef mij maar mijn eigen server. daar weet ik wat er op gebeurd. Ik mail inmiddels alsnog over mij eigen server ondanks speedxs. gewoon op mijn mail server SMTPS + auth gezet ;-) en dat is een andere port als 25 en kan je gewoon mailen.
Tevens ook lullig dat dit NIET in de algemene voorwaarden vermeld wordt.

praseodymium 8 november 2005 16:01

Wat ik denk dat er nu gaat gebeuren is dat de zombienetwerken slimmer en groter worden. Slimmer in de zin van meer willekeurige patronen en groter zodat elke zombie minder hoeft te doen, en dus niet opvalt door enorme hoeveelheden dataverkeer.

Een voorbeeldje: als nu een zombie 1000 emails in 1 uur en dat 10 uur lang verstuurd, zou een slimmere en groter zombienetwerk met meer zombies minder emails en met grote willekeurigheid versturen.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (50)

Sorteer op:

Weergave: