Nederlandse isp's en SIDN gaan samen botnets in kaart brengen

KPN, Solcon, Tele2, UPC, Xs4all, Zeelandnet en Ziggo gaan samen met registrar SIDN informatie over botnetbesmettingen en andere abuse-problemen centraal verzamelen en deze delen. Met de zogeheten Abuse IX moeten onder andere botnets effectiever bestreden kunnen worden.

Volgens de initiatiefnemers vormt Abuse IX een loket waar botnetbesmettingen verzameld en gesorteerd worden. Vervolgens wordt de informatie doorgestuurd naar de deelnemende isp's. Volgens Abuse IX, dat begin volgend jaar moet draaien, kunnen internetproviders zo sneller beschikken over actuele abuse-meldingen. Daarmee zouden kosten bespaard worden omdat isp's niet langer zelf deze informatie hoeven in te zamelen en te verwerken.

Abuse IX heeft KPN, Solcon, Tele2, UPC, Xs4all, Zeelandnet en Ziggo als deelnemende providers. Ook registrar SIDN en het Platform Internetveiligheid doen mee, waarbij de SIDN samen met het ministerie van Economie, Landbouw en Innovatie de opstartkosten voor hun rekening zullen nemen. Deze bedragen in totaal een kleine 400.000 euro.

Volgens Niels Huijbregts, werkzaam bij Xs4all en woordvoerder voor Abuse IX, is het meldpunt vooral nuttig bij grote abuse-problemen, zoals hardnekkige botnets of grootschalige virusuitbraken. Het loket heeft echter niet het recht om internetabonnees direct aan te spreken; deze taak blijft bij de betreffende provider liggen. Verder hoopt Huijbregts dat andere isp's zich nog bij Abuse IX zullen aansluiten, waaronder de mobiele aanbieders Vodafone en T-Mobile. Ook ziet hij een rol weggelegd voor instanties als de Nederlandse Vereniging van Banken.

Door Dimitri Reijerman

Redacteur

Feedback • 24-10-2012 14:09
21 • submitter: TheMe

24-10-2012 • 14:09

21 Linkedin

Submitter: TheMe

Lees meer

Klanten Zeelandnet offline door internetstoring - update Nieuws van 15 januari 2014
Groei aantal .nl-domeinnamen bereikt laagste punt sinds 2003 Nieuws van 14 januari 2014
LeaseWeb en SIDN gaan .nl-domeinen beveiligen met dns-anycasttechnologie Nieuws van 4 december 2013
Groei aantal .nl-domeinnamen neemt af Nieuws van 8 april 2013
Facebook helpt FBI grootschalig botnet te ontmantelen Nieuws van 12 december 2012
Nederlandse isp's en SIDN gaan samen botnets in kaart brengen Nieuws van 24 oktober 2012
Minister: aanpak Dorifel-uitbraak richtte zich op 60 domeinnamen Nieuws van 23 september 2012
Domeinnamen Dorifel-botnet offline gehaald Nieuws van 13 augustus 2012
Russische beheerder Bredolab-botnet krijgt vier jaar cel Nieuws van 25 mei 2012
Microsoft ontkent gebruik informatie Fox-IT bij botnet-actie Nieuws van 13 april 2012
Fox-IT: grote fouten bij botnet-actie Microsoft Nieuws van 12 april 2012
Delfts onderzoek: helft botnet-pc's wereldwijd zit bij 50 grote isp's Nieuws van 6 mei 2010
OPTA maant isp's tot verbeteren voorlichting internetveiligheid Nieuws van 14 januari 2009
Sophos probeert botnet-spam aan banden te leggen Nieuws van 31 juli 2008
Securitybedrijven pakken botnets aan Nieuws van 5 oktober 2007
Meer producten en artikelen
Internettoegang Netwerk en systeembeheer

Reacties (21)

-Moderatie-faq
21
21
16
2
0
1
Wijzig sortering
Mega1mpact
24 oktober 2012 14:20
Ik wens ze veel succes. Gaat ze nooit lukken om meer dan 30-50% in kaart te brengen. Veel botnets draaien op RAT's als posion ivey, darkorbit etc. Die zijn makkelijk in kaart te brengen omdat die vrij populair zijn bij script kiddies omdat ze makkelijk zijn op te zetten. Natuurlijk kunnen ze zelf nog een encryptie slag eroverheen gooien of zorgen dat de C&C maar 1 keer per dag word aangesproken om moeilijker te vinden zijn.
"Echte" botnets die geschreven zijn door een handje vol programmeurs zullen niet gevonden worden. Deze encrypten en liften mee. Dit betekent dat ze niet te onderscheiden zijn van normaal verkeer.

Deze 30-50% is wel interessant om een kaart te maken van besmettingen maar het is niet accuraat als het om aantallen gaat.
TvdW
@Mega1mpact24 oktober 2012 14:23
Uiteindelijk gebruiken bijna alle botnets DNS-servers om informatie op te halen over controlservers. Aangezien deze servers vaak bij ISPs staan valt er heel veel informatie te verzamelen over botnets, vooral ook omdat het verzamelen van informatie over DNS-requests niet onder DPI valt als het gewoon de servers van de ISP zelf zijn.

Zelfs al wordt de C&C-server maar ééns per dag aangeroepen, dan nog komt zo'n request gewoon in de logs van de DNS-server te staan.

[Reactie gewijzigd door TvdW op 24 oktober 2012 14:24]

Mega1mpact
@TvdW24 oktober 2012 14:25
Meestal gebruiken ze een NoIP subdomein. Dit betekent dat je niet weet waar de C&C server staat.
TvdW
@Mega1mpact24 oktober 2012 14:28
Nee, maar je kunt wel direct zien welke van je klanten een botnet-client op hun computer hebben staan, op basis van de DNS-requests.
dasiro
@TvdW24 oktober 2012 16:04
niet als ze een eigen DNS hebben draaien in het botnet
TheBigB86
@dasiro24 oktober 2012 17:33
Ik denk niet dat jij helemaal begrijpt hoe DNS precies werkt.
kaaas
@TheBigB8624 oktober 2012 20:06
Volgens mij bedoelt hij dat de geinfecteerde computers een andere dns server ingesteld krijgen door de botnet software. Dat kan nu bijv ook je kunt bijv opendns of google gebruiken. Dan komen er dus helemaal geen dns requests bij je provider terecht.
vdvoort
@Mega1mpact24 oktober 2012 14:25
Er word ook in het artikel gezegd dat dit het voornaamste doel is samen met kostenbesparing dus ik snap niet zo goed wat je wil zeggen.

"Volgens Niels Huijbregts, werkzaam bij Xs4all en woordvoerder voor Abuse IX, is het meldpunt vooral nuttig bij grote abuse-problemen, zoals hardnekkige botnets of grootschalige virusuitbraken."
Mega1mpact
@vdvoort24 oktober 2012 14:27
Dat de data die van een bot afkomt niet te onderscheiden valt van "gewone" data. Hierdoor is het lastig om een botnet in kaart te brengen.
DrPoncho
@Mega1mpact24 oktober 2012 16:12
Waar haal je '30-50%' vandaan?
basdej
24 oktober 2012 16:16
Providers moeten verkeer van bekende botnetservers blokkeren, en gebruikers waarschuwen / afsluiten als hun computer deel uitmaakt van een botnet, dit is de enige effectieve manier om ze te bestrijden.
soundblast
@basdej24 oktober 2012 19:22
Dat is precies wat Xs4all op dit moment dus al doet, echter willen ze nog meer bot netwerken gaan detecteren en hier met andere providers gezamelijk tegen optreden.
Dit soort dingen kan ik alleen maar toe juichen, omdat je op die manier juist de grote infectiehaarden goed kan isoleren :)

Bron: http://www.security.nl/ar...and_in_Walled_Garden.html

[Reactie gewijzigd door soundblast op 24 oktober 2012 19:23]

Wody
24 oktober 2012 14:35
Dit in de kaart brengen en dergelijke is natuurlijk mosterd na de maaltijd. Er had 20 jaar geleden al voor gezorgd moeten worden dat mensen die het internet in gevaar brachten (tijdelijk) afgesloten zouden worden. En dan bedoel ik, iedereen die probeert op andere computers binnen te dringen, andere computers aanvalt of virussen verspreid.
Op die manier krijg je wel mensen die eigenlijk niets van hun computer weten, en dan 'zomaar' afgesloten worden omdat ze overal op klikken, maar aan de andere kant, dan wist iedereen een stuk beter met dingen als internet om te gaan, simpelweg omdat het dan noodzakelijk is om te weten.
Bovendien krijg je dan ook dat je dan ook dat makers van besturingssystemen en andere software meer verantwoordelijkheid krijgen, omdat mensen dan niet meer zullen accepteren dat software zo lek als een mandje is, zoals het nu is met bijna alles.
commentator
@Wody24 oktober 2012 18:27
Beetje kort door de bocht om de eindgebruiker dan maar internet te ontnemen.

Vaak gaat het om gebruikers die nog maar net de computer aan kunnen zetten en geen flauw idee hebben dat er iets gevaarlijks op hun pc is gekomen.

De meeste grote software bedrijven testen toch vrij aardig en komen ook redelijk snel (volgens sommigen niet snel genoeg) met een oplossing voor het probleem. Ik denk niet dat ze door afsluiten van eindgebruikers meer verantwoordelijkheid krijgen dan ze nu al hebben.
Dreamvoid
@Wody24 oktober 2012 15:08
Je maakt OSsen niet met een toverstokje veilig door een paar regels op te stellen.
j0shua79
24 oktober 2012 19:43
Mooi, dan hier maar eens beginnen, vragen hoe deze jongen het voor elkaar krijgt.

http://www.exposedbotnets.com/

Hij heeft regelmatig live samples online staan die hij heeft uitgegraven van malware en trojans en bots enzo.
razzor
24 oktober 2012 19:47
Stel dat dit een succes wordt, dit betekent ook dat ISPs extra investeringen moeten doen om te zorgen dat Abuse/Security meldingen op een goede manier en op tijd worden afgehandeld. Ik denk bijvoorbeeld aan het opzetten van een 'walled garden' (zoals Xs4all deze bijvoorbeeld heeft draaien), extra mankracht op de Abuse/Security afdeling, extra mankracht op de Servicedesk afdeling, extra server resources etc.

Ik vraag met af of ISPs bereid zijn om hierin te investeren, aangezien veel ISPs op dit moment al niet accuraat reageren op dit soort meldingen ben ik redelijk sceptisch wat betreft het success van dit meldpunt. Als je de juiste partners vindt kun je zowat alle problem binnen je netwerk inzichtelijk krijgen, maar hier efficient mee omspringen is een tweede.
kaaas
24 oktober 2012 20:26
Is er nou niemand positief over deze maatregelen?
Wat is er nou mis mee, ik bedoel dat ze iets gezamenlijk doen is altijd beter dan dat iedereen een ideetje heeft en dat uitvoert.
Het is toch veel beter dat in bijv het geval van het dorifel virus alle providers hun informatie delen zoals de verdacht ip adressen en aan de hand daarvan een gezamenlijke actie uitvoeren als het blokkeren van deze adressen.
De vraag of providers op eigen hand ip adressen mogen gaan blokkeren is een tweede vraagstuk aangezien het censuur is.
Er is niets mis mee dat providers gaan samen werken en informatie delen samen bereik je een stuk meer denk ik.

Of is het gewoon koel om te zeiken om zo de indruk te wekken dat je het veel beter weet.
Plopeye
25 oktober 2012 00:45
Een RBL van geinfecteerde ip's zou welkom zijn...

Hiermee kunnen ze niet alleen elkaar helpen maar ook het bedrijfsleven...
Biersteker
24 oktober 2012 18:36
Geef me gewoon de source van deadalus.
http://www.youtube.com/watch?v=3u5u5A8_SE0
Ik monitor zelf wel.
Remy
25 oktober 2012 11:12
Goede zaak! Ik hoop ook dat ze naast virus-botnets hun zinnen zetten op e-mail spam-botnets: deze zorgen voor behoorlijk wat werk bij ISPs (en uiteindelijk bij de eindklant). Als ze die ook kunnen aanpakken (wat andere bedrijven zoals F-secure en Microsoft al is gelukt met een aantal grote botnets) kan de hoeveelheid spam in de inbox ook omlaag. Iedereen wint :)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee