Delfts onderzoek: helft botnet-pc's wereldwijd zit bij 50 grote isp's

De helft van alle zombie-pc's wereldwijd maakt verbinding via een van slechts vijftig grote isp's, blijkt uit onderzoek van de TU Delft. Bij een actief afsluitbeleid van die providers zou de hoeveelheid spam drastisch worden teruggedrongen.

De onderzoekers analyseerden de herkomst van 63 miljard spamberichten over een periode van vier jaar. De computers die de berichten uitsturen, zijn vrijwel altijd geïnfecteerd en maken deel uit van een botnet. Het onderzoeksteam ontdekte bij het bestuderen van de bijbehorende ip-adressen dat slechts tien isp's verantwoordelijk zijn voor 30 procent van het aantal botnet-pc's. "De helft van het aantal geïnfecteerde systemen kon aan vijftig providers worden gelinkt en tweehonderd isp's zorgden voor ongeveer tweederde van het totaal", vertelt Michel van Eeten. Hij is verbonden aan de Faculteit Techniek, Bestuur en Management van de TU Delft en deed het onderzoek samen met medewerkers van de Michigan State Universiteit, in opdracht van de OESO.

"Het opvallende is dat zo'n groot deel van de botnets zijn werk via een relatief beperkt aantal isp's doet. Deze providers zijn bovendien niet van het verwachte malafide type; het gaat om huis-tuin-en-keuken-isp's. Die zijn vatbaar voor overheidsbeleid en dat maakt het probleem behapbaar", vertelt Van Eeten.

De vijf grote Nederlandse providers maken deel uit van de groep van tweehonderd providers die voor tweederde van alle geïnfecteerde machines zorgen. KPN voert de ranglijst van Nederlandse providers aan en zit bijna in de top 50. "De isp's van de top 50 zitten allemaal in grote landen als de VS, Duitsland, China en Brazilië", aldus Van Eeten. De hoogleraar werkt in opdracht van het Ministerie van Economische Zaken aan een nieuw project, dat voortborduurt op het OESO-onderzoek en dat de Nederlandse markt specifieker onder de loep neemt.

Van Eeten vindt dat niet te snel moet worden geconcludeerd dat de oplossing ligt in het opleggen van een verplichting aan isp's om geïnfecteerde systemen af te sluiten. "Zij hebben het probleem niet veroorzaakt. Als ze inderdaad overgaan tot afsluiten, zitten ze met een grote kostenpost die dan waarschijnlijk aan de consument wordt doorberekend. Afgesloten klanten gaan immers met de klantenservice bellen en zullen met een schoon systeem weer online moeten. Klantencontact vormt nu al hun grootste kostenpost op het gebied van beveiliging."

De hoogleraar gelooft dat isp's de druk voelen en vanzelf actiever gaan bestrijden als het probleem zichtbaar wordt gemaakt. "Ze hebben vorig jaar zelf in een antibotnet-convenant vastgelegd dat ze meer gaan doen in de strijd tegen botnets. Dat is tot nu toe maar mondjesmaat gebeurd. Wellicht dat ze nu tot een besef komen van de omvang van de rol die ze kunnen spelen."

Hij ziet ook wel degelijk een rol voor de overheid weggelegd: "In Duitsland heeft de overheid samen met enkele isp's besloten een callcenter voor afgesloten abonnees in te stellen. Hiermee zijn de kosten deels verplaatst." Ook lijkt het onderzoek te bevestigen dat overheidsinspanning om botnets terug te dringen werkt. "De landen die de overeenkomst van de Cybercrime Convention hebben getekend, lijken iets beter te scoren."

Het onderzoek van de TU Delft en de Michigan State University komt over twee weken online beschikbaar en wordt volgende maand gepresenteerd tijdens de Workshop on the Economics of Information Security aan de Harvard University.

Lees meer

IT Banen

Reacties (131)

Avdo
6 mei 2010 18:31

Naast mijn studie informatica ben ik parttime systeembeheerder bij een bedrijf en ik weet uit ervaring dat het probleem is dat mensen veel te gemakkelijk maar op de OK knop drukken zonder uberhaupt te lezen wat er staat. Ik vind dan ook dat je mensen gewoon af mag sluiten als er wordt gespamd vanaf hun IP adres. Sterker nog, er zou gewoon een dergelijke clausule in het contract opgenomen moeten worden.

Nu klinkt het misschien asociaal omdat veel mensen 'maar gebruikers zijn' en niet weten hoe ze aan een virus komen enz enz.... Echter, om auto te mogen rijden heb je ook een rijbewijs nodig. Ik vind dat je mag stellen dat mensen tot op een bepaalde hoogte moeten weten waarmee ze bezig zijn wanneer ze weer een mp3tje denken te downloaden. Dit soort zaken worden veel te makkelijk op elke vorm van (toegangs)beheerders afgeschoven, terwijl het in veel gevallen met een beetje gezond verstand voorkomen kan worden.

Samengevat vind ik dat de ISP's inderdaad een controlerende functie moeten aannemen, de 'overtreders' moeten blokkeren, en de deblokkade via een andere weg moet verlopen dan de helpdesk van de ISP. Hierbij moet dan gedacht worden aan een soort van blacklist die je al veel gebruikt ziet worden door mailservers. Na wat checks zou een gebruiker zichzelf dan van de lijst af kunnen krijgen, maar de verantwoordelijkheid ligt dan bij hem, niet bij de ISP.

[Reactie gewijzigd door Avdo op 6 mei 2010 18:33]

Trashed
@Avdo • 6 mei 2010 22:11

Ook zonder studie informatica danwel parttime systeembeheer denk ik dat het al veel vaker genoemde internet-rijvewijs danwel computervaardigheidsbewijs een merkwaardig verschijnsel is. Om te beginnen zou een auto, wanneer deze ook maar een fractie van de mankementen vertoonde die optreden bij een gemiddelde computer (vanwege falende software, iets wat trouwens ook bij auto's een sterk toegenomen fenomeen is), direct uit de handel worden genomen.

Ook zijn de risico's van een heel andere grootte: ik zie mijzelf nog geen blijvend letsel toebrengen aan mede-internetgebruikers wanneer ik brokken zou veroorzaken, zelfs niet na overmatig drankgebruik.

Daarnaast is het een beetje dweilen met de kraan open aangezien het meest bekende besturingssysteem nu eenmaal niet met veiligheid als basis is ontworpen en bedacht. Het in mijn ogen ietwat bizarre fenomeen van uitvoerbare code in data opslaan is ook geen groot succes: wanneer je applicaties en data strikt gescheiden zou houden voorkom je immers al een hoop ellende. Maar nee hoor: het is toch veel te leuk om alles lekker door elkaar te frotten kennelijk.

In elk geval is het een feit dat de hedendaagse pc een stukje consumer electronica is geworden. En natuurlijk is het jammer dat daar een hoop ellende mee in huis wordt gehaald, maar uiteindelijk ligt de oorzaak niet bij de "onwetende gebruiker". Die klikt maar wat en eerlijk gezegd kan ik me wel iets bij die houding voorstellen. Ook ik heb me in het verleden mateloos geirriteerd aan die reeksen van bevestigingsvragen.

Natuurlijk is het niet verstandig om als een "happy clicker" achter het toetsenbord te zitten, maar wellicht kan er eindelijk eens worden gedacht aan oplossingen waarbij het onmogelijk wordt gemaakt voor applicaties om in bepaalde (systeem-)gebieden gegevens te manipuleren. Het lijkt me handiger om het probleem aan de kant van de (enkele) leveranciers van besturingssystemen te leggen, dan honderden miljoenen gebruikers er maar mee op te zadelen...

Avdo
@Trashed • 6 mei 2010 23:43

"Het lijkt me handiger om het probleem aan de kant van de (enkele) leveranciers van besturingssystemen te leggen, dan honderden miljoenen gebruikers er maar mee op te zadelen..."

Daar ben ik het dus fundamenteel niet met eens.
Mensen zijn in deze tijd bijna volledig afhankelijk van computers/internet. Daarmee staat in contrast het gevoel dat er totaal geen consequenties hangen aan de acties die zij verrichten op een computer. Uiteraard is het niet mogelijk dat zij volledige kennis hebben van hoe het systeem werkt, maar dat is ook niet nodig; immers, wanneer jij auto rijdt hoef jij niet te weten hoe de brandstof wordt toegevoerd, ontstoken, enz enz... Dat jij niet tegelijkertijd op het gas en rempedaal moet drukken weet jij dondersgoed. (hoop ik

)

Ik vraag mensen dan ook niet om te weten hoe machinetaal wordt uitgevoerd. Wat ik verwacht van mensen is dat zij 2 keer nadenken voor ze op een knop drukken met de gedachte 'ooeh, what does this button do?', 'maar kijken of het wel werkt als we daar op drukken'
Je kunt proberen dat soort acties te voorkomen, wat microsoft heeft geprobeerd met UAC in vista en 7, maar dit heeft alleen tot een hoop irritaties geleid. Mensen denken nog steeds absoluut niet na wanneer ze op de OK knop drukken, sterker nog, er worden alleen negatieve gevoelens opgewekt in de trant van 'wat zeurt die computer nou weer?!'.

Waarom zou je als bedrijf negatief ervaren functies in je systeem bouwen?

De enige manier om jouw idee door te voeren binnen een besturingssysteem is iedereen een 'gebruiker' te laten zijn zonder elke vorm van administrator rechten. Als er dan een keer iets geinstalleerd moet worden, dan moeten ze een specialist bellen om dat voor ze te doen. Immers, "ze zijn te dom om het te begrijpen".

Nu ben ik met het laatste niet eens. Mensen hebben de kennis noch de behoefte naar die kennis omdat ze niet weten/begrijpen wat de gevolgen zijn van hun acties. Daarom moet je mensen naar mijn inziens inlichten. Of je valt terug op het voorkauw werk dat door 'IT specialisten' gedaan moet worden, omdat zij wel bereid zijn 2 keer na te denken voor ze wat doen.

Het is een keuze tussen die 2 oplossingen, waarbij ik voor de kennisoverdracht ga; anders kom je geen steek verder met de ontwikkeling omdat je constant mensen op hun 'menselijke' fouten aan het wijzen bent.

Trashed
@Avdo • 9 mei 2010 17:26

Ik vrees dat het internet en pc landschap te ondoorzichtig is geworden. Het gescheiden houden van programma's en gegevens had wellicht bijgedragen aan de beheersbaarheid, want nu is het inderdad maar afwachten wat voor ellende je, waar dan ook, binnenhaalt. Immers: zelfs je gekochte CD/DVD met software kan in de winkel al besmet zijn of, gewoon maar om het kopieren van een muziek-cd te bemoeilijken, een rootkit bevatten.

En het is een gegeven dat de pc, die door de tv en föhn verkopers wordt aangeboden, een riskant product is met allerlei verborgen gebreken (voor de niet-wetende consument althans). Maar uiteraard is dáár geen aandacht voor bij het verkooppraatje maar wordt slechts de nadruk gelegd op de toeters en bellen.

Maar feitelijk vindt ik de voorzichtigheid die je moet betrachten niet meer dan een bewijs van onvernogenvan de leveranciers... Natuurlijk kan er altijd wat mis gaan, zeker bij software, maar de mate waarin is natuurlijk buitensporig te noemen. Je moet er niet aan denken dat elk gebruiksartikel (zoals een computer tegenwoordig nu eenmaal wordt gezien) met een voorzichtigheid moet worden bediend als een pc.

En die geweldige UAC is waarschijnlijk de hoofdreden geweest voor mij om windoze helemaal aan de kant te zetten... Ik kon dus NIETS meer updaten aan third party software en dan doel ik niet op vage applicaties, maar gewoon Open Office, Firefox, Thunderbird, Java... Keer op keer dat ding maar zwoegen met een update om na een hele tijd, nèt voor het einde doodleuk te melden dat er "iets niet goed was gegaan" en dus alles werd teruggedraaid... De enige oplossing was dan het hele product verwijderen en de nieuwe versie vers installeren... dát mocht dan ineens weer wél! Gelukkig is die afhankelijkheid er niet meer en heb ik nu weer, dankzij een in mijn ogen beter doordacht OS, het gevoel zelf ook nog iets te vertellen te hebben over mijn computers...

Anoniem: 201824
@Trashed • 6 mei 2010 23:13

Ook zijn de risico's van een heel andere grootte: ik zie mijzelf nog geen blijvend letsel toebrengen aan mede-internetgebruikers wanneer ik brokken zou veroorzaken, zelfs niet na overmatig drankgebruik.

Economische schade? Wat zich kan vertalen in psychische en lichamelijke klachten, en dus een vorm van 'schade'? Oke het is ongetwijfeld indirect, en ook worst case scenario, maar snapt het wel. Spam is een kostenpost, en spam leeft en groeit omdat het onbewust door de welwillende medemens toegelaten wordt.

[Reactie gewijzigd door Anoniem: 201824 op 6 mei 2010 23:15]

Trashed
@Anoniem: 201824 • 9 mei 2010 17:07

Tuurlijk... alles draait immers om geld (verdienen) tegenwoordig. Maar: spam is maar één aspect van de ellende die van een botnet af kan komen... en zeker irritant. Maar is het nu irritanter dan spam-faxen die destijds geregeld naar mijn toenmalige winkel werden verstuurd? Kostte mij ook allemaal geld omdat het natuurlijk automatisch op duur (thermisch) papier werd geprint bij aankomst... En ik heb het toch al niet op die overdosis aan reclame

Hetzelfde geldt natuurlijk voor de telefoon... destijds was er een (DMSA-?)register waar je kon aangeven niet voortdurend met deze telefoonterreur te maken te willen hebben, maar... zomaar ineens was de stjchting failliet en begon de ellende weer... dat fenomeen is bij mij gelukkig opgehouden sinds ik alleen nog maar een mobiele telefoon bezit. En nu is er dan het bel-me-niet register...

Maar ook bij reguliere internet diensten neemt de opdringerige reclame hand over hand toe... soms worden nieuwsartikelen bijvoorbeeld verborgen achter een pop up met weer zo'n fantastische aanbieding. En zo lang we voor dergelijke zaken geen opt-in kunnen afdwingen zullen we er wel mee overspoeld blijven want kennelijk zijn er nog steeds genoeg mensen die zich toch op deze manier laten verleiden, want anders zou het fenomeen wel uitsterven...

Olaf van der Spek
@Avdo • 6 mei 2010 19:14

Ik vind dat je mag stellen dat mensen tot op een bepaalde hoogte moeten weten waarmee ze bezig zijn wanneer ze weer een mp3tje denken te downloaden

De UI van software is dermate complex dat dat van veel gebruikers gewoon niet te verwachten is.

Mr_Light
@Olaf van der Spek • 6 mei 2010 20:59

Ik zou eerder kiezen voor de woorden slecht en inconsistent dan complex. Maar dat het van veel gebruikers niet te verwachten is, is helemaal niet erg. Zo lang de groep die het wel weet maar groot genoeg is dat iedereen er te minste een van in (niet-digitale?) sociale netwerk heeft.

Een hele hoop 'intuïtieve' (niet dus) functionaliteit in software word ook gek genoeg door de grote meerderheid gebruikt.

In ieder geval is het uit ervaring wel gebleken dat, hoeveel of hoe groot je waarschuwingen ook zijn er altijd een grote groep mensen is die pas in actie komt als het niet meer werkt.

Daar bijkomend zijn computers en internet al er niet meer voor de hobbyist, wanneer er geld verloren word omdat er geen internet toegang meer is - lees: geld te verdienen is. Zullen zaken als UI, gebruiksvriendelijkheid en security vanzelf verbeteren.

Het in stand houden van de status quo onder het mom dat het inspanning vraagt lijkt mij een slecht idee.

Ook zijn er prima mogelijkheden om geleidelijk door te voeren:
Stap 1: wanneer het voor de ISP duidelijk is dat een aansluiting niet koosjer is moet deze de klant hiervan op de hoogte zetten. (dus geen actieve rol van ISP buiten dat deze ontdekte informatie moet verstekken aan de klant - Passief)
Stap 2: Wanneer er melding word gemaakt bij een ISP moet een ISP hier onderzoek naar doen(de scope hiervan kan geleidelijk worden vergroot) (Reactief)
Stap 3: Bij herhaling van problemen mogelijkheid tot sancties
Stap 4: Actieve monitoring vereisen bij ISP (Actief)

Om bij stap 4 te komen kan men makkelijk 10 jaar uittrekken, of meer, of minder. Wat genoeg tijd aan software bouwers moet geven om de boel op orde te krijgen zonder dat mensen de haren uit hun hoofd trekken.

"Zij hebben het probleem niet veroorzaakt." dat ontslaat je niet van je verantwoordelijkheid.
Het instant houden lijkt mij ook niet zo'n puik plan.
"Als ze inderdaad overgaan tot afsluiten, zitten ze met een grote kostenpost die dan waarschijnlijk aan de consument wordt doorberekend. Afgesloten klanten gaan immers met de klantenservice bellen" Naar mate de situatie stabiliseert zal dat vast mee gaan vallen - hoeveel mensen bellen nu al niet met de helpdesk van wegen het bot-net dan wel neveneffecten die optreden. Daarbovenop kosten bot-net's ons toch ook geld? - lijkt me dat daaraan ook wel een onderzoekje aan vuil mag worden gemaakt. Kosten om het op te lossen vs kosten die het nu met zich mee brengt volgens mij zijn die er ook.

[Reactie gewijzigd door Mr_Light op 6 mei 2010 21:17]

SuperDre
@Mr_Light • 7 mei 2010 09:41

En daar is dus het grootste probleem met een UI/gebruikersvriendelijkheid, want dat is just in the eye of the beholder.. Wat jij fijn en gebruikersvriendelijk vindt, vindt iemand anders weer niet..

pimjai
@Avdo • 6 mei 2010 19:20

@avdo
toevallig heb ik zelf laatst een melding gehad van het telfort abuse team, waarin mij werd verteld dat er spam van mijn IP adres werd verstuurd, en dat als ik binnen 3 dagen geen reactie op die mail zou geven, of actie zou ondernemen tegen de bot die op mijn pc zat, ik zou worden afgesloten.
dit terwijl ik gewoon een virusscanner heb die mijn pc wekelijks scant, een firewall, niet overdreven veel download, en wat ik download eerst scan voor ik er wat mee doe. ook druk ik niet zomaar op ok wanneer ik niet weet wat iets betekent, dan google ik eerst even.

ben ik dan zo onverantwoordelijk bezig dat ik afgesloten moet worden??

Anoniem: 201824
@pimjai • 6 mei 2010 23:06

Een virusscanner en firewall zijn afdoende om je te beschermen. Hoopt iedereen. Maar omdat die niet 100% beveiliging kúnnen bieden, loop je dus het onverhoopte risico dat je spul binnenhaalt. En niet om je naar de antifileshare kant toe te drijven, maar de meeste risico loop je daar op aangezien dat het makkelijkste doelwit is (er is geen controle op troep door de aanbieder gegarandeerd).

Maar ook op websites waar (illegale of oude) games, (illegale of duistere) applicaties en andere vaak gezipte files te downloaden zijn. Een site als tweakers.net, cnet.com, nu.nl, dat zijn sites waar je naar mijn weten (duh) geen tot weinig risico loopt. (Heb weleens een viruswaarschuwing gehad op Zalman fabrikant site, of het echt was. Geen idee.) Vage sites met lange titels, rare omschrijvingen bij Google zoekopdracht, of gelijkende namen (bijv. hotamil.com ipv hotmail.com, slecht voorbeeld, maar zoiets geks) die je via Google ofzo vind, daar moet je twee keer over nadenken voordat je de site gaat bezoeken. Als je Google gebruikt, zet de safesearch filter op streng (tenzij je bepaalde dingen wilt zien natuurlijk

)
http://www.google.com/sup...y?answer=35892&hl=nl#safe

Kijk ook uit met het downloaden van bijlagen in de mail. Is een mailtje verstuurd namens een vriend/kennis/familielid die normaal gesproken z'n mailtje op een andere manier begint, vraag dan die persoon of deze het echt verstuurd heeft.
En last but not least wat betreft risico's... zelfde geldt voor MSN enzo. Krijg je een download of link aangeboden terwijl de tekst bij het chatvenster erbij niet echt als een bekende van je klinkt (teksten in gebrekkig Engels terwijl die bekende Nederlands praat), klik er niet op en vraag het eventueel na bij die bekende.

Dat zijn mijn ervaringen op het Internet, waar ik soms 'door schade en schande' achter kwam. Als je dit allemaal al doet, dan vind ik je heel erg verantwoordelijk

Wil je checken of je iets hebt opgelopen? Kijk wat voor processen er draaien op je systeem en zoek op Internet op wat die processen doen. Misschien vind je iets geks wat niet daar hoort.

Denk je dat iets er niet hoort, of er is iets wat er niet hoort, zoek iemand met kennis van het schoonmaken van een computer (als je dat zelf niet denkt te kunnen, maar wees niet te zeker als je het wel "denkt te kunnen").

edit: big typo

[Reactie gewijzigd door Anoniem: 201824 op 6 mei 2010 23:09]

alt-92
@Anoniem: 201824 • 7 mei 2010 07:04

. Een site als tweakers.net, cnet.com, nu.nl, dat zijn sites waar je naar mijn weten (duh) geen tot weinig risico loopt. (Heb weleens een viruswaarschuwing gehad op Zalman fabrikant site, of het echt was. Geen idee.

Dat is een misvatting

Elke grote site levert dat risico op. Niet direct, wel indirect omdat dan adservers als verspreidingsmethode gebruikt kunnen worden.
Dat is al eerder gebeurd (Bofra).

alx
@pimjai • 6 mei 2010 20:24

Je moet niet afgesloten worden omdat je onverantwoordelijk bezig zou zijn, maar omdat jouw pc misbruikt wordt voor criminele activiteiten. Zelfs als je verantwoordelijk internet kun je nog besmet raken. Volgens mij vinden de meeste internetgebruikers het wel logisch, als ze het probleem eenmaal snappen en snel de troep kunnen ruimen. Het is ook in hun belang, want als je pc besmet is kun je dat maar beter zo snel mogelijk weten.
Als alle providers dit toch eens rap deden, dan was het internet een stuk schoner. Het delen van de helpdesk kosten is wellicht een stimulans.

SuperDre
@pimjai • 7 mei 2010 09:43

Ik heb ook een virusscanner, en ik heb een firewall, maar de virusscanner wil lang niet alle soorten 'virussen' tegenhouden. En bij een firewall is het natuurlijk afhankelijk van hoe deze is ingesteld, een gemiddelde tweaker zal em redelijk open hebben staan vanwege de veel gebruikte poorten..

Het.Draakje
@Avdo • 6 mei 2010 21:27

De meeste mensen zijn (mijns inzien terecht) niet geinteresseerd in de techniek. Je hoeft je auto niet te kunnen onderhouden om er veilig mee te rijden. Hetzelfde geldt voor je televisie, je gsm of je wasmachine.

Met hetzelfde gemak kan ik jouw stelling dus volledig omdraaien, waarom zou een gebruiker moeten weten hoe hij kan voorkomen dat hij onderdeel van een botnet wordt?

Computers vormen een wezenlijk onderdeel van de huidige stand van de techniek en de huidige maatschappij. Alleen de beveiliging hebben de techneuten niet verder ontwikkelt dan de middeleeuwen. Misschien moeten we daar wel op inzetten.

Automatische viruscontrole, geen drie uitgaande email berichten per seconde etc.

Lenny77
@Het.Draakje • 7 mei 2010 10:15

Ik denk dat je als automobilist leert je auto af te sluiten om te voorkomen dat iemand er mee gaat joyriden... Je hoeft echt geen assembly te spreken om met een computer te werken, maar veilig internetten is verantwoordelijk gedrag, net als je gordel omdoen in de auto...

thedicemaster
@Het.Draakje • 7 mei 2010 15:43

een auto moet je wel verplicht na laten kijken om de zo veel tijd, en niet goed functionerende GSM's/TV's/wasmachines zijn geen goede vergelijking hier omdat dit anderen geen grote schade/irritaties oplevert.

J.J.J. Bokma
@Avdo • 6 mei 2010 19:37

Zoals ik onder al schreef: een provider-rijbewijs lijkt veel harder nodig. Daar boven op zou het eens fijn zijn als de rogue providers (dwz: providers die probleemloos spam toestaan) eens aangepakt werden. En nee, die zitten niet allemaal in Brazillie of China. Maar gewoon bij "onze" buren Duitsland en Belgie. Maar ook in Israel, en natuurlijk de VS.

Anoniem: 201824
@J.J.J. Bokma • 6 mei 2010 23:11

Misschien moeten we ook maar ISP's van internet afsluiten dan

Waar is die internetpolitie die dat mag?

arjankoole

Spam
Internettoegang
Malware

@Anoniem: 201824 • 7 mei 2010 00:09

Misschien moeten we ook maar ISP's van internet afsluiten dan Waar is die internetpolitie die dat mag?

Die was er vroeger gewoon, als je geen goeie abuse afdeling had, werd je door je upstream carrier of ISP op de vingers getikt, en zelfs afgesloten (zo ver lieten de meesten het nooit komen). In het geval van Chello is er wel eens gedreigd (en zelfs uitgevoerd) met een UDP, een Usenet Death Penalty, dat was destijds DE manier om een ISP tot fatsoen te dwingen.

Tegenwoordig gaan gelijk allerlij sales goofjes stuiteren als je dreigt met afsluiten, dus kunnen er weer meer uitwassen ontstaan, maar in Nederland is het opzich nog best goed vertoeven qua abuse afdelingen, de meeste ISP's hebben zo'n afdeling, en die lijken ook daadwerkelijk hun werk te doen.

Baritee
@Avdo • 6 mei 2010 21:11

Ik weet uit ervaring dat het probleem is dat mensen veel te gemakkelijk maar op de OK knop drukken zonder uberhaupt te lezen wat er staat.

Als je 100 keer gevraagd wordt om weer een waarschuwing te lezen kan je niet van iedereen verwachten dat ze dit telkens lezen. Het is zoals een alarm: als die te continu in vals alarm gaat zal je ook snel dat alarm negeren.
Het is mijn inziens veel beter de problemen georganiseerd aan te pakken (en niet via de eindgebruikers die, lets face it, nooit tegen de creativiteit van cybercriminaliteit op kunnen. Een ISP is veel beter gewapend tegen deze criminelen met geschoolde IT werknemers dat zij de strijd tegen hun beter kunnen voeren. Met je laatste paragraaf ga ik ook akkoord.

Aham brahmasmi
@Baritee • 7 mei 2010 03:31

[...]

Als je 100 keer gevraagd wordt om weer een waarschuwing te lezen kan je niet van iedereen verwachten dat ze dit telkens lezen. Het is zoals een alarm: als die te continu in vals alarm gaat zal je ook snel dat alarm negeren.

Zijn dat de waarschuwingen die IE geeft? Geen last van bij Firefox.

memphis
@Avdo • 6 mei 2010 22:33

Het werkelijke probleem moet aangepakt worden en dat zijn dus die spammers en andere kwaadwillenden maar ook wizzkidjes en scriptkiddies die dergelijke botnets opzetten. Dan denk ik dat wanneer de fabrikant van het OS of applicatie aansprakelijk gestelt wordt voor ieder groot gat die gevonden wordt men ook veel voorzichtiger gaat programmeren en het product beter getest op de markt komt.

Je kunt van een gemiddelde gebruiker die nog net aan de aan/uit knop weet te vinden nooit verantwoordelijk stellen voor de onkunde van de programmeurs en de handigheid van de kwaadwillenden.

Terrestrial
6 mei 2010 23:14

4 problemen...

-Microsoft, de beveilgiing van windows laat erg te wensen over, om een windows pc een beetje te beveiligen moet je nog steeds de gpo's induiken en vaak maak je het de gebruiker ook lastig en dat moet echt beter worden.

-Routers/modems, Hier zou bijv een goede application aware firewall en virusscanner wonderen kunnen doen. Helaas levert een provider de goedkoopste routers.

-Lakse providers, het beste zou een systeem waarbij poort 25 bij iedereen standaard dicht staat. Wil je dan bijv een mailserver draaien moet je die eerst zelf open zetten in je account panel. Meeste klanten zullen dat niet doen...

-Het SMTP protocol, Er is nog steeds geen goede veilige uitwissel standaard tussen mailservers, je kunt wel encryptie gebruiken en sender id, call id en weet ik het allemaal maar dat heeft geen zin omdat 90% van de wereld niet mee doet. Er moet een veilige standaard komen en registratie van alle mailservers. Dan heb je al 99% van het spam probleem opgelost.

Jack Flushell

@Terrestrial • 7 mei 2010 07:48

De firewall in modems en routers is vaak, zo niet altijd, uitstekend. Ook die 'goedkope' de providers meeleveren. Onzin dat daar iets mee zou zijn. Het probleem is dat de firewall standaard uit staat (meestal) en dat de gemiddelde gebruiker überhaupt niet eens weet dat je me je browser op zo'n ding kunt inloggen.

Ik heb het hierbij over firewalls die primair aanvallen voorkomen/verijdelen. Als de PC achter zo'n modem/router al besmet is, is het gedaan.

[Reactie gewijzigd door Jack Flushell op 7 mei 2010 07:51]

Titusvh
@Jack Flushell • 7 mei 2010 12:09

Als je die firewall aanzet ben je er niet. Je moet hem ook nog configureren.

Tegen aanvallen van buiten heb je die firewall vaak niet eens nodig, dat vangt NAT al af.
Uitgaand verkeer wordt door de firewall standaard doorgelaten. Anders moet elke gebruiker ontzettend veel instellingen doen. Dat kan 90% niet eens.

Jack Flushell

@Titusvh • 7 mei 2010 15:53

Tegen aanvallen van buiten heb je die firewall vaak niet eens nodig, dat vangt NAT al af.
Uitgaand verkeer wordt door de firewall standaard doorgelaten. Anders moet elke gebruiker ontzettend veel instellingen doen. Dat kan 90% niet ee

Dat zeg ik.

--

De firewal hoef je in 99,9% van de gevallen helemaal niet te configureren. Die werkt prima door hem gewoon AAN te zetten, Een handeling die velen niet doen, omdat ze het niet weten.

Anoniem: 307386
@Terrestrial • 7 mei 2010 12:05

Zucht,

1/ Microsoft, is het meest gebruikte OS ter wereld. Kijk naar Internet Explorer en FireFox.

Internet Explorer heeft nu ongeveer een evengroot marktaandeel als firefox en er komen de laatste tijd _MEER_ firefox exploits uit dan voor IE.

Misschien dat je deze redenering beter doorvoert ipv gewoon de linux-idioot uit te hangen en gewoon Microsoft te roepen.

De dag dat linux gebruik groter wordt dan Windows gebruik kan je er zeker van zijn dat er meer exploits gaan uitkomen voor je linux dan voor je Windows.

2/ De fabrikanten leggen deze prijzen op. Het probleem zijn de patenten die al die firmas hebben tegen elkaaar, ze betalen mekaar blauw aan idioterie, bijgevolg zijn de goede routers gewoon té duur. Er bestaan patenten op een menustructuur in HTML je kan het verhaalte je wel doortrekken hé.

Zoals ik al eerder ergens zei, je hoeft je maildaemon niet op poort 25 te laten luisteren, je kan evengoed een andere poort gebruiken. Het sluiten van poort 25 stopt enkel de idioot die eigenlijk niet weet waar die mee bezig is. De echte spammer lacht met dit voorstel.

Ik geef je wel gelijk met je laatste standpunt hoewel je de cijfers een beetje bij de haren trekt.

SMTP gebruik is gewoon het probleem, dat protocol bestaat sinds 1982. Zoals je hier kan lezen in de RFC: http://www.ietf.org/rfc/rfc0821.txt
For your information: in 1982 was cybercrime niet hetgene waar ze van wakker lagen -> daar is dus niet enorm veel rekening mee gehouden. Toen lag de nadruk op het bericht _kunnen_ ontvangen en _kunnen_ verzenden.

Jack Flushell

@Anoniem: 307386 • 7 mei 2010 15:54

Microsoft is geen OS.

Terrestrial
@Anoniem: 307386 • 8 mei 2010 01:06

Je hebt mij nooit zien schrijven dat linux beter was, in tegendeel ik vind het niks. Maar windows is structureel zwak kwa beveiliging en dat veroorzaakt een hoop ellende.

Je moet mij is uitleggen hoe je dat wil aanpakken, als je de mail server op een andere poort zet kan je niet mailen met de rest van de wereld. Kortom een spammer kan vanaf dat systeem niet praten met de mailserver. Poort 25 sluiten is wel degelijk een goede oplossing.

PJJ
6 mei 2010 18:23

Ik weet dat bij caiway klanten worden afgesloten nadat ze eerst 2 x een waarschuwing hebben gekregen, word daar door de klant niks mee gedaan dan word deze afgesloten, wanneer diegene dan aan geeft dat zijn pc weer op orde is, dan word de klant weer aangesloten.

Rob Coops

Internettoegang

@PJJ • 6 mei 2010 19:48

Dat is een goede methode maar het geurt vaak alleen bij heel vervelende botnets die een belasting op het netwerk van de ISP opleveren

Ik heb geen idee hoe het bij caiway werkt maar ik ga er van uit dat ze voor een groot deel van de bots totaal geen moeite zullen doen het kost nog al wat om een klant af te sluiten. Eerst moet je de bot vinden dan de klant waarschuwen dan de klant monitoren om er zeker van te zijn dat deze ook echt maatregelen neemt vervolgens moet je de klant weer waarschuwen en dan weer in de gaten houden dar na afsluiten, en dan als de klant het probleem heeft opgelost kun je hem/haar weer aansluiten. (tien minuten later is de klant weer geïnfecteerd omdat de klant alleen maar Windows op nieuw heeft geïnstalleerd en dus nog net zo vatbaar is voor dit probleem als de laatste keer dat de PC werd overgenomen)

Ik denk dat de enige oplossing is mensen zo gek krijgen dat ze veiligere systemen gaan gebruiken. En dan bedoel ik niet open source want dat is net zo onveilig allen is de hoeveelheid gebruikers die totaal niet weet wat ze doen met het ding vele malen kleiner en dus is het een veel moeilijker doelwit met een veel kleinere footprint. Maar als de rollen omgedraaid zouden zijn dan zouden er net zo gemakkelijk lekken gevonden worden in Linux, BSD of welke andere open source os smaak je maar lekker vind.
En roep nu niet dat de de lekken sneller gedicht worden want tot op heden als je Internet Explorer en Firefox vergelijkt dan is het om het even wie er sneller lekken dicht en wie er grotere gaten te dichten heeft het zal af gaande op dit bewijs niet veel anders zijn met andere open source projecten gewoon omdat mensen nu eenmaal fouten maken.

Een veiliger OS is zeker een OS waar een gebruiker niet standaard als super user werkt (eindelijk heeft ook MS dat in gezien) daar naast zou het een heleboel schelen als een OS standaard een firewall heeft die ook aanstaat (Linux distro's kunnen hier nog wat van MS leren) een anti-virus programma is ook een fijn iets om standaard te hebben ook op Linux en Apple systemen. Een security patch pickup and install policy voor alle standaard installaties (de vele *nix clubjes die dit nog steeds niet nodig vinden schaam je) zodat als tante mien haar computer koopt ze helemaal zonder iemands tussenkomst gewoon het internet op kan en de beveiliging automatisch geupdate wordt.
Gelukkig zijn vele ISP's op modems overgestapt die een NAT netwerkje op zetten voor de thuis gebruikers en zonder port forwarding in te schakelen op de modem gebruikers en andere niet bij de achter liggende PC laten komen, ook dat scheelt een heleboel.
Ik roep niet maak het onmogelijk voor mensen die weten wat ze doen dit soort dingen allemaal uit te zetten en te omzeilen maar wel zorg er voor dat alle standaard systemen zo min mogelijk beveiliging aan de gebruiker overlaten en zo veel mogelijk beveiliging standaard al zo goed mogelijk op zetten zodat ook mensen die door de verkoper bij de lokale computer boer een groene PC in de maag gesplitst krijgen omdat die veel beter is dan de rode er naast (ook een beetje duurder maar dat is hij zeker waard hoor mevrouwtje) ook een zo veilig mogelijke PC hebben nu en in de toekomst.

Anoniem: 292995
@Rob Coops • 7 mei 2010 03:35

nou nou Rob, even een paar misvattingen uit de wereld helpen:

1. Linux is dus wel veiliger als Windows. Zo is er bijvoorbeeld niet 1 virus in het wild aangetroffen voor L. En dat is niet omdat het zo weinig gebruikt wordt, het halve internet draait op Linux. Door de betere architectuur is het schrijven van virussen gewoon erg moeilijk. Ook zaken zoals SELinux of AppArmor maken het een stuk moeilijker. Alleen gerichte hack pogingen kunnen schade aanrichten.
2. Alle grote distributies hebben standaard een goede firewall aanstaan.
3. En hebben eveneens standaard een automatische update aanstaan.
4. Vele distibuties, o.a. Ubuntu, kunnen standaard niet eens als administrator/root inloggen. Voor elke installatie is een root password nodig. Dus ook voor de eventuele installatie van een 'virus'

En dus, geen virusscanner nodig....

[Reactie gewijzigd door Anoniem: 292995 op 7 mei 2010 03:37]

Qreed
@Anoniem: 292995 • 7 mei 2010 08:23

nou nou Rob, even een paar misvattingen uit de wereld helpen

Nou nou Loetje, ... als we het over een paar misvattingen hebben

Linux versus XP is inderdaad veiliger, maar na Vista is dit goed recht getrokken. (Het zal niemand dus ook verbazen dat het grootste aantal geinfecteerde machines op XP draaien).

Linux is juist minimaal in gebruik bij mensen die een potentieel slachtoffer zijn van malafide software (en dat heeft een reden). Wanneer dit soort gebruikers wel Linux zouden gebruiken dan zou ook deze geweldige architectuur geïnfecteerd worden.
Een prompje voor een wachtwoord zet die oma op de straathoek niet echt aan het denken dat het hier wel eens om een rootkit zal gaan die wat poortjes in een firewall wil open zetten. Sowieso heeft niet ieder bot'tje root context nodig, user credentials voldoen ook vaak goed genoeg (zeker in het geval van exploits)

Hmmm ... hoeveel fanboytjes zullen nu weer (zonder een concrete tegenreactie te plaatzen) deze reactie met een trillende hand door emoties weg modden?

Oh ... deze fanboy schrijft deze reactie vanaf een FreeBSD variant.

Anoniem: 155787
@Qreed • 7 mei 2010 10:47

Poortjes zet je niet meer open met een root account maar door slim gebruik te maken van UPNP en ver uit de meeste exploits maken gebruik van de zogenaamde between desk and chair bug.

Wat dat betreft maakt het niet uit welk OS je hebt en blijf je toch altijd vatbaar wil het niet dat de gemiddelde linux gebruiker doorgaans iets meer kennis heeft van zijn computer en de draaiende processes en daemons en daarbij het kleinere aandeel dat linux heeft op de desktop markt er voor zorgt dat veel eind gebruikers die met linux draaien langer schoner blijven.

hackerhater

@Anoniem: 155787 • 7 mei 2010 17:08

De poorten op de lokale linux-firewall toch echt niet. En helemaal geen luister-poorten
Daar heb je (eenmalig) root-access voor nodig

ArgantosNL
@Qreed • 7 mei 2010 09:00

ook een reden dat het grootste aantal geinfecteerde machines op XP draaien, is het feit dat de meeste pcs nog op XP draaien.

Anoniem: 80466
@ArgantosNL • 7 mei 2010 11:55

Microsoft heeft wel eens een tabel van percentages van PC's met windows die besmet waren gepubliceerd.
Oudere versies van Os'sen worden veel vaker besmet dan nieuwe versies en server versies. Vooral niet volledig geupdate versies zoals XP SP1 zijn het meest kwetsbaar.

Anoniem: 26306
@Anoniem: 292995 • 7 mei 2010 08:15

1. Tegenwoordig zijn er heel wat stukjes malware die zich verspreiden via Windows PC's en Linux servers door een beetje handig gebruik te maken van gestolen wachtwoorden van emailaccounts en FTP accounts. Bij email wordt wel direct gedacht aan virusscanners. Bij bijvoorbeeld FTP en HTTP is dat niet zo gebruikelijk. Systemen hoeven niet gehackt te worden om malware te kunnen distribueren. Een drager van een virus wordt ook niet altijd ziek

Elke dag worden er wereldwijd vele, vele Linuxservers misbruikt om de rommel verder te propageren. Volautomatisch. Alleen als je je ogen ervoor sluit zie je niet dat ook Linux niet heilig is.

2. Dat is niet waar. Maar een firewall houdt sowieso voornamelijk alleen inkomend verkeer tegen. Er is maar weinig malware die zich verspreidt op een manier die zo'n standaard geconfigureerde firewall kan tegenhouden. Ik noem bijvoorbeeld een systeem waarbij via FTP of HTTP botnet software wordt geüpload. Die software kan zich prima aanmelden bij een of andere IRC server en meedoen in het botnet.

3. Standaard is bij een minimale install. Dan vallen de grote distributies eigenlijk juist direct af.

4. Een systeem hoeft niet te worden geroot om deel uit te gaan maken van een botnet. Sterker nog, dit is vrijwel nooit het geval. Het root account is dus maar bijzaak. Vaak zie je wel pogingen om root te worden, maar dit is niet essentieel voor de werking van botnets.

alt-92
@Anoniem: 292995 • 7 mei 2010 06:57

Van iemand die nota bene infrastructure architect opgeeft in z'n profile had ik wel wat meer cluecookies verwacht..

Jack Flushell

@Anoniem: 292995 • 7 mei 2010 07:45

Opvallend dat Debian de firewall standaard UIT heeft...

hackerhater

@Jack Flushell • 7 mei 2010 17:06

Debian-gebruikers zijn ook niet bepaald doorsnee computer-gebruikers
Als je debian kan instaleren verwacht ik ook dat je wel de firewall kan aanzetten

Anoniem: 155787
@Rob Coops • 6 mei 2010 23:00

Dus in het kort wil je graag afschaffing van upnp ?, Lijkt mij in elk geval zo slecht nog niet.
ISP's beperken hun klanten al genoeg met hun geforceerde instellingen en het weigeren essentiele informatie af te staan aan klanten die liever met hun eigen hardware draaien (SIP gegevens in de meeste gevallen).

wootah

@PJJ • 6 mei 2010 19:31

Nou dat is nog eens een goed beleid.
De meeste ISPs doen er helemaal niks mee, maar op deze manier bestrijd je actief al die troep, ondanks dat het een rigoreuze aanpak is.

Malarky
@wootah • 6 mei 2010 20:12

KPN, Telfort, XS4ALL, Solcon en nog wat providers waarvan ik al brieven heb gezien dat het Internet pas weer actief zou worden als er een factuur van een computerzaak werd opgestuurd of iets in die trend. Dus er word wel degelijk opgetreden.

In sommige brieven staat ook dat het verwijderen van de virussen niet genoeg is en de computer opnieuw geïnstalleerd moet worden. Hoewel een eenvoudige handtekening van een medewerker van een computerzaak onder een brief vaak ook al genoeg is. Dan geloven ze dus ook dat er wat gebeurd is.

[Reactie gewijzigd door Malarky op 6 mei 2010 20:14]

SuperDre
@Malarky • 7 mei 2010 09:36

Oh, en hoe gaan ze dan om met mensen die hun computer niet bij een computerzaak afleveren? maar het dus gewoon zelf doen..

trogdor
@SuperDre • 7 mei 2010 11:16

Zat ik ook aan te denken.
Zijn er ervaringsdeskundigen ?

Passkes
@trogdor • 7 mei 2010 12:44

Je computer dus opschonen en vervolgens je IP adres afmelden via:
http://blacklist.planet.nl/bailout-nl/Landing.html

Bensimpel
@Passkes • 7 mei 2010 14:57

Je bent afgesloten van internet, dus dat zou zo lastig worden

R-J_W
@SuperDre • 7 mei 2010 17:08

Ervaring bij xs4all: (begin dit jaar)
Je krijgt een email met de reden van een medewerker en alles komt op een webpagina terecht waar op staat dat je afgesloten bent.
Vervolgens kun je naar een pagina waar instructies staan over het schoonmaken van je pc.
Wanneer je dit gedaan hebt kun je een webformulier invullen met wat je gedaan hebt. Wanneer de medewerker van xs4all het goed genoeg vind wordt je verbinding weer geopend.

In de tussentijd kun je gebruik maken van het internet (nou ja, surfen in iedergeval) via een proxyserver van xs4all.

Vburen
@Malarky • 7 mei 2010 00:14

mijn (nu bijna ex) school heeft ook xs4all, wij hadden een iphone op ons netwerk die tan codes van de ing probeerde te onderscheppen; na 2 emails in de inbox van de xs4all mail die niet gebruikt wordt (joh school heeft eigen domein en dedicated hosting van web en mail). werden wij afgesloten. nou vind ik wel dat er wat moet gaan gebeuren maar je kunt als ISP toch wel een beetje onderzoek doen naar je klanten en dan eerst op een reactie wachten voordat je personen afgaat sluiten(en dan doel ik op de spambots en niet op de situatie bij mij op school, immers die mensen die net weten dat als ze op de E(van IE) drukken internet opgaan doen dat niet bewust). heel erg veel moeite is het niet op een standaard foldertje te maken met wat (gratis) beveiligingspakketten.

verder zorgt dit er ook op de langere termijn voor dat er minder mensen zijn die de helpdesk bellen omdat een of andere spyware hun browser onklaar maken; dus dan is het zelfs kostenbesparend.

een of andere gedragscode zou handig zijn.

spawnagain
@Vburen • 7 mei 2010 02:22

Sja, moet je ook maar je hoofd-email van je provider checken.

Volgens mij staat dat zelfs in de voorwaarden bij veel ISPs.

Qreed
@spawnagain • 7 mei 2010 07:31

Sja, moet je ook maar je hoofd-email van je provider checken.

Volgens mij staat dat zelfs in de voorwaarden bij veel ISPs.

Dat kan wel kloppen maar bij xs4all zijn email addressen door derden zeer eenvoudig op te vragen. Wellicht is dit tegenwoordig opgelost, maar mijn "hoofd-email account" komt echt om van de spam. (Dit is account is nog nooit ergens voor gebruikt)

Lijkt me niet zo moeilijk voor een ISP om klant gegevens met een ander mail address op te slaan.

jwstolk
@Qreed • 7 mei 2010 14:34

Xs4all gebruikt vervallen account namen opnieuw, dus het is goed mogenlijk dat de vorrige eigenaar het email adres overal rond gestuurd heeft, en jij daar nu de span van krijgt. Ik krijg zelfs (digitenne) rekeningen van de vorige eigenaar van m'n account naam, en de KPN heeft geen opt-out voor digitaal gestuurde rekeningen als je geen klant bent.

Vburen
@spawnagain • 7 mei 2010 02:37

ben ik ook wel met je eens hoor; we hebben alleen een beetje luie systeembeheerder, dus hij had nog steeds geen rule aangemaakt om mail door te sturen.

en ik geloof niet dat men je kan verplichtten om een mail adres van hen te gebruiken. sterker nog men wist dat het om een school ging en de gegevens van de systeembeheerder waren bekend, maarja dat terzijde; we hadden toch een fall over isp dus alles ging gewoon door(over een 2Mb lijn dat wel....)

@qreed dat die email volgespammed wordt is ook een van de redenen dat deze niiet actief gebruikt/gecheckt word...

[Reactie gewijzigd door Vburen op 7 mei 2010 13:12]

Passkes
@Malarky • 7 mei 2010 10:52

KPN is mijn inziens soms te extreem bezig.

Een van onze klanten belde ons op een gegeven moment met de melding dat hij geen mail meer kon versturen. Eenmaal op locatie bleek dat KPN zonder waarschuwing hem per direct had afgesloten van e-mail verkeer. Zijn systeem bleek te zijn geinfecteerd met een trojan.

Na verwijdering van de troep op zijn computer door middel van Hijack, Malwarebytes en Antivir Antivirus kon door een simpele aanmelding via het internet "http://blacklist.planet.nl/bailout-nl/Landing.html?ip=" het mail account weer actief gezet worden. Dit duurde echter wel 24 uur voor het account weer actief was...

KPN doet er dus zeker wel wat aan, maar dan wel op een extreme wijze. Direct afsluiting zonder vooraankondiging dat de persoon / het bedrijf in kwestie b.v. x aantal uren heeft om de boel op te lossen.

trogdor
@Passkes • 7 mei 2010 11:27

Ja en toch, deden alle providers dit maar.

Bloodshot
@wootah • 6 mei 2010 19:45

XS4ALL doet ook iets dergelijks.
Pas als je hebt aangetoond wat je hebt gedaan om weer "schoon" te worden, zetten ze de verbinding weer open.

BRAINLESS01
6 mei 2010 18:33

Jaren geleden heeft KPN er toch voor gezorgd dat niemand meer met de standaard SMTP poort verbinding kan maken - behalve met hun eigen SMTP relay server? Hoe kan het dat ze dan alsnog in de top 5 van nederlandse spam verstuurders terecht komen? Met een volledige block van email kun je toch onmogelijk spam versturen, behalve via de speciale relay server van KPN? Die relay server kan neem ik aan testen of iets spam is voor het verstuurd wordt...

PS: Ik ben zelf geen KPN klant, dus misschien hebben ze dit terug gedraaid

Ayporos
@BRAINLESS01 • 6 mei 2010 22:30

Hoe haal je dat in je hoofd?

Om spam te kunnen identificeren (behalve dan door middel van blacklisted mailservers of globale blacklist van IP's waarvanaf massief gespammed wordt) is het nodig de inhoud te bekijken.

Dit mag KPN niet voor emails verstuurd NAAR jou en VAN jou, dat is nl. schending van de privacy.

Op het moment is er allemaal gerommel en een hele 'war against (anti)privacy' van de overheden/burgers dus dit recht is misschien niet lang meer geldig.. Maar op het huidige moment is dit toch nog echt verboden.

KPN kan dus niet jou spam emails afvangen, dat kan alleen een spamfilter op jou lokale PC (of dus op je mailclient, maar dan accepteer je de voorwaarden/stelt dit zelf in, waarbij je dus zeg maar het filter toestemming geeft jou mails te lezen).

arjankoole

Spam
Internettoegang
Malware

@Ayporos • 7 mei 2010 00:13

Hoe haal je dat in je hoofd?

Dat kan ik ook aan jou vragen. iedere provider in Nederland ramt de inkomende mail door iets als spamassassin heen.

Ze mogen niet personeel jouw mail laten lezen, maar een geautomatiseerd proces gebruiken om spam te detecteren mag net zo goed als ze een virusscanner mogen gebruiken om te voorkomen dat jij een virus in je mailbox krijgt.

Zolang er geen personeel aan te pas komt, is dat een perfect legale en gangbare methode.

REDFISH
@Ayporos • 6 mei 2010 23:06

Waarom zetten providers niet gewoon een limiet op het totale aantal mails per dag voor hun particuliere accounts? Een maximum van 1 mail per minuut oftewel een maximum van 1440 gedurende de hele dag lijkt me voor 99.9999% van de particulieren wel voldoende. En hoe moeilijk is het nou om een lijst te maken van ip adressen van klanten met daarin het aantal verbindingsessies per dag of het aantal verstuurde emails. Als je dan ziet dat iemand 20.000 mails per dag verstuurt dan kun je toch eens beginnen met die persoon een mailtje te sturen.

arjankoole

Spam
Internettoegang
Malware

@REDFISH • 7 mei 2010 00:16

En hoe moeilijk is het nou om een lijst te maken van ip adressen van klanten met daarin het aantal verbindingsessies per dag of het aantal verstuurde emails.

Dat is veel moeilijker dan je denkt

Toen ik in 2006 weg ging bij de ISP waar ik toen werkte, deden we zo'n 65 miljoen mail per dag, en dat was maar een relatief kleine zakelijke ISP. Kun je nagaan wat een grote ISP doet.

Om wat jij voorsteld te doen, zul je behoorlijk moeten ingrijpen in de logging en bovendien is het tricky, omdat botnets soms heel goed zijn in niet opvallen.

humbug
@arjankoole • 7 mei 2010 04:00

Botnets zijn misschien goed in niet opvallen, maar er zijn twee kenmerken van een botnet die onontkoombaar zijn
1. Botnets versturen spam
2. Botnets zenden veel mail

Om botnets te detecteren hoef je dus niet al je mail te checken, enkel de mails die door antispam software geblokkeerd worden. Door bij te houden wie die spam zend kun je eenvoudig de geinfecteerde computers detecteren.

Het schaal probleem is ook redelijk beheersbaar. Door het eerst op een beperkt deel van je gebruikers/servers te doen zal je spam op die servers afnemen (want je verwijderd bots

) waardoor je met dezelfde hardware meer gebruikers/servers kunt monitoren. En aangezien een groot deel van het emailverkeer schijnbaar spam is, kun je ook een deel van je andere mail gerelateerde hardware inzetten. Ik ga niet beweren dat het zichzelf terugverdient, maar technisch is het zeker wel mogelijk meer te doen dan alleen filteren. Actief gebruikers waarschuwen lijkt mij eigenlijk niet meer dan normaal. Maar goed, misschien is regelgeving om dit soort oplossingen te verplichten precies het overheidsingrijpen waar men op doelt in het artikel.

Olaf van der Spek
@BRAINLESS01 • 6 mei 2010 19:16

Een bot kan gewoon inloggen op een webmail account en dan spam versturen...

J.J.J. Bokma
@Olaf van der Spek • 6 mei 2010 19:34

Kan, maar het merendeel komt nog gewoon via port 25 direct op de server. Een eigen mailserver beheren is een oogopener.

sus
@J.J.J. Bokma • 7 mei 2010 00:44

Check, ik zie hier de laatste tijd de nodige probeersels voorbij komen om zowel via SMTP als via webmail in te loggen op mijn server.

Anoniem: 201824
@Olaf van der Spek • 6 mei 2010 23:19

Klopt, maar het meeste werd toch verstuurd via open mail servers. Vroeger kon dat nog gewoon, zoals je je auto en je huis niet op slot hoefde te doen.

Anoniem: 70937
@BRAINLESS01 • 6 mei 2010 19:39

Als KPN port 25 (inkomend voor de klanten) dichtzet, verplicht het de klanten alle mail via KPN of andere providers binnen te hengelen. Dat noem ik protectionisme.

Als je dan port 25 uitgaand openlaat kunnen dezelfde pc's wel spam versturen (, met port 25 uitgaand dicht kun je relayen wat je wilt, maar er komt niets door). Uitgaande mail hoeft niet via een KPN-smtp server en wordt dus niet gescreend. De protectie ontbreekt dus...

Geen wonder dat KPN goed scoort in de ranglijst. Bovenstaande duidt er immers op dat er bij KPN kennis aanwezig is. De kennis waarvan laat ik maar even in het midden.

humbug
@Anoniem: 70937 • 7 mei 2010 03:46

KPN scoort niet goed. KPN is simpelweg een kleine ISP. "Bijna in de top 50" is natuurlijk niet echt goed

Vergeet niet dat ISP als China Telecom meer dan 100 miljoen aansluitingen hebben. Niet heel verwonderlijk dat die boven de KPN staan.

anboni
@humbug • 7 mei 2010 10:10

"Bijna in de top 50" vind ik eigenlijk uitermate zorgwekkend voor een ISP in een klein klotelandje als het onze...

Anoniem: 201824
@anboni • 7 mei 2010 19:33

... waar een relatief groot deel van de bevolking en bedrijven verbonden is aan het internet.

[Reactie gewijzigd door Anoniem: 201824 op 7 mei 2010 19:33]

Anoniem: 179874
6 mei 2010 18:23

50 zorgen voor de helft en nog eens 200 zorgen voor 2/3..... 50% + 60% = 110% .... Goed onderzoek

Edit: De EERSTE 50 zorgen voor de helft, de VOLGENDE 150 voor nog eens 10%.... Zoiets misschien??

Edit 2: Ja, jongens ik heb het gezien, het was blijkbaar een brainfart van mij omdat ik er iets te snel overheen las. Ik ging op dat moment dan ook juist (E)eten.

[Reactie gewijzigd door Anoniem: 179874 op 6 mei 2010 19:37]

Anoniem: 22659
@Anoniem: 179874 • 6 mei 2010 18:26

Nee, wanneer je 50 bedrijven pakt heb je 50% te pakken. Verbreed je je onderzoek naar 200 bedrijven dan heb je 66% te pakken. (dus de overige 150 ISPs leveren 16% extra)

Edit: spuit 11

[Reactie gewijzigd door Anoniem: 22659 op 6 mei 2010 18:27]

Dutch Lion
@Anoniem: 22659 • 6 mei 2010 22:00

Nou om het dan gelijk maar helemaal goed te doen. Niet 16% extra maar 16 procentpunt

Ortep

@Anoniem: 179874 • 6 mei 2010 18:27

Zo werkt het niet. Die eerste 50 zitten in die 200

En: 2/3 is geen 60% maar bijna 70%

goed onderwijs

[Reactie gewijzigd door Ortep op 6 mei 2010 18:28]

Remz
@Ortep • 7 mei 2010 01:41

Ik neem aan dat dit onderzoek geldt voor alle ISP wereldwijd, omdat mail een communicatie middel is die niet alleen in Nederland beschikbaar is.

Nu ik er over nadenk, 200 ISP's in Nederland lijkt me een beetje overdreven.

Het is dan ook een probleem bij alle ISP's. Net zoals culturen verschillen in landen, verschillen ook de manieren waarop ISP's spam tegen gaan. In het ene land zijn daar stricte regels voor, terwijl in het andere land er niks aan wordt gedaan. Internationale regelgeving zou een oplossing zijn?

@Ortep

Als je goed onderwijs had gehad, dan zou je ook meteen weten dat 2/3 gelijk staat aan 66,67% afgerond, daarom is jou opmerking ook onnodig. Iedereen kan een fout maken.

[Reactie gewijzigd door Remz op 7 mei 2010 01:41]

Anoniem: 28333
@Anoniem: 179874 • 6 mei 2010 18:26

Wat dacht je ervan als die 50 misschien ook onder die 200 vallen.

Dubbeldrank
@Anoniem: 179874 • 6 mei 2010 18:26

Begrijpend lezen is een kunst!

De vijftig grootsten zorgen voor 50% van het totaal, de top 200 zorgt voor tweederde van het totaal.

mystic101
@Anoniem: 179874 • 6 mei 2010 18:29

Niet nog eens 200, maar 200. Hier zitten die 50 ook bij...

Onno
6 mei 2010 18:32

De helft van alle zombie-pc's wereldwijd maakt verbinding via een van slechts vijftig grote isp's, blijkt uit onderzoek van de TU Delft.

En hoe groot is het aandeel van die vijftig isp's in de totale hoeveelheid internetaansluitingen?

alamont
@Onno • 6 mei 2010 18:39

Inderdaad. Zonder die informatie is dit een vrij loos onderzoek.

Novi
@alamont • 6 mei 2010 18:47

Nee, want nog altijd geldt dat dit "relatief" kleine aantal ISP's een grote rol kan spelen in het bestrijden van deze botnets. Als deze botnets nu verdeeld waren over een groter aantal ISP's was het oplossen van de problemen een stuk lastiger geweest.

Dit onderzoek toont alleen maar aan dat de helft van de botnets zou kunnen worden aangepakt door deze 50 grote ISP's.

alamont
@Novi • 6 mei 2010 18:59

Maar als die 50 grote ISP's ook de helft van de aansluitingen heeft is de uitkomst van het onderzoek nogal logisch (er van uitgaande dat de botnets evenredig zijn verdeeld) en was het onderzoek niet nodig geweest.

Mx. Alba
@alamont • 6 mei 2010 19:05

Was niet nodig geweest, maar is wel nuttig. Nu heb je tenminste iets concreets om die ISP's mee om de oren te slaan. In plaats van te zeggen "we vermoeden dat uw users verantwoordelijk zijn voor een groot deel van de spam" kan je ze nu de cijfers onder de neus leggen en zeggen "kijk, hier staat zwart op wit dat jullie users het grootste deel van dit probleem veroorzaken, waar jullie zelf ook last van hebben, dus doe er eens wat aan."

Anoniem: 201824
@Novi • 6 mei 2010 23:18

Anderzijds is het ook niet gek dat de meeste spam via de grootste ISP's komt. Ze zijn niet voor niets de grootsten. Daarmee bedoel ik dat zij veel meer ip nr's in beheer hebben t.o.v. de 'kleinere' ISP's.

Mx. Alba
@alamont • 6 mei 2010 18:42

Niet helemaal. Het betekent namelijk dat deze 50 bedrijven aanzienlijk kunnen bijdragen in het terugdringen van spam wereldwijd.

Ook moet ik toevoegen dat veel mensen spam niet meer als een echt probleem zien. Ze zitten achter goede spamfilters (van GMail of op de zaak) en krijgen misschien een paar keer per week een spam mailtje binnen. Dat 99,999% van de spam al eerder is afgevangen zien ze niet...

Als ik kan afgaan op de statistieken die onze spamfilters drie jaar geleden genereerden (toen ik de statistieken daarover nog maakte) komen er voor elke echte email 20 spams binnen, en dat is na de eerste verdedigingslinie: verbindingen van mailservers die op een blacklist staan weigeren zodat die mail sowieso niet eens bij het spamfilter komt...

[Reactie gewijzigd door Mx. Alba op 6 mei 2010 18:44]

sander_vk
6 mei 2010 23:12

Ik zeg een ding: Quarantainenet. Minimale kosten, maximale bescherming en gebruikersvriendelijk. Zoiets zou eigenlijk standaard moeten worden voor consumenten of niet ?

arjankoole

Spam
Internettoegang
Malware

@sander_vk • 7 mei 2010 00:21

Ik zeg een ding: Quarantainenet. Minimale kosten, maximale bescherming en gebruikersvriendelijk. Zoiets zou eigenlijk standaard moeten worden voor consumenten of niet ?

Leuk, maar ik heb wel verstand van zaken, ik wil no way in zo'n netwerk geplaatst worden. Ik regel m'n eigen security wel.

humbug
@arjankoole • 7 mei 2010 04:15

Waarom niet? Als je verstand van zaken hebt merk je er niets van. En als je een keer een fout maakt (kan de beste gebeuren

) worden anderen niet de dupe van jou fout. Ja, je zult je aan wat regels moeten houden maar als zo'n netwerk goed is opgezet zijn dat de regels waar mensen met verstand van zaken zich toch al aan houden. Maar ik vraag me af of dit voor providers echt een serieuze optie is. Je praat toch over iets te veel gebruikers. Voor bedrijven is dit idee echter in vele vormen en maten beschikbaar en eigenlijk altijd aan te raden. Al was het maar als fallback voor als de systeembeheerder iets te veel gefeest heeft in het weekend.

Anoniem: 178707
7 mei 2010 08:04

Voor hoeveel procent van de abonnees zijn die ISPs verantwoordelijk dan? In Nederland wordt (waarschijnlijk) zo'n 77% van het mobiele 112-misbruik gepleegd door drie telefoonfabrikanten. Dat die drie fabrikanten ook 77% van de markt in handen hebben zeggen we er natuurlijk niet bij.

Kortom: zonder dat soort cijfers is dit onderzoek waardeloos.

[Reactie gewijzigd door Anoniem: 178707 op 7 mei 2010 08:04]

lier
@Anoniem: 178707 • 7 mei 2010 08:57

Om dit onderzoek waardeloos te noemen is op z'n minst gezegd nogal kort door de bocht...(en zelfs een beetje dom). Dat jij andere conclusies probeert te trekken uit dit onderzoek is aan jou, misschien zou je daarvoor je eigen onderzoek moeten doen.

Tip, neem dan ook onderscheid Intel / AMD mee (om een vergelijking met je 112 voorbeeld te maken).

Anoniem: 178707
@lier • 7 mei 2010 17:29

Nee, je bent zelf een beetje dom. Ik trek alleen de conclusie dat zonder dat soort cijfers dit onderzoek waardeloos is. Als die cijfers in het complete onderzoek zijn opgenomen is het prima, maar daar wordt hier niks over gezegd.

Verder: waar heb je het over? Neem het onderscheid intel / AMD mee? Wat bedoel je?

martdj
6 mei 2010 21:45

Ik zie erg uit naar het hele rapport om te zien welke Nederlandse providers er nu op staan. Hopelijk kunnen we met dat rapport bij bijvoorbeeld Ziggo aankloppen dat ze hun poort 25 voor inkomende berichten weer gerust open mogen zetten, aangezien hun argument dat het spam zou tegenhouden door het rapport volledig onderuit wordt gehaald.

blorf

@martdj • 6 mei 2010 22:19

Spam naar gebruikers ip's lijkt me nogal sterk. Alleen degenen die zelf een mailserver draaien lopen risico op spam, maar dan nog maakt het geen verschil aangezien je de mailbox van je provider ook alleen kunt gebruiken door te up- en downloaden over dezelfde lijn.

Buiten dat is het dichtzetten van poorten technisch gezien onzin omdat een computer waar meerdere servers op draaien de protocollen dan noodgedwongen softwarematig uit elkaar moet houden. Tenminste, dat is toch waar poorten voor zijn?

Laat ze als ze eens iets nuttigs willen doen even contact opnemen met wat ISP's in Oost-Europa. Er zitten daar een hoop figuren massaal te poortscannen en wachtwoorden te raden. En dat kan allemaal zomaar.

jurriaan

6 mei 2010 20:44

Wat het onderzoek alleen niet zegt, is welk aandeel de 50 isp's in het totaal van de verbindingen hebben. Als dat ook in dezelfde orde is.. tja, kunst dan. Net als de genoemde landen ook voor het grootste deel van het internetverkeer zorgen. Het gaat er om hoe de ISP met dit soort gevallen omgaat, niet of ze nou groot zijn of niet.

1 2 3 Volgende

Op dit item kan niet meer gereageerd worden.

Delfts onderzoek: helft botnet-pc's wereldwijd zit bij 50 grote isp's

Lees meer

IT Banen

Reacties (131)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden