Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Submitter: himlims_

Acht internetproviders gaan met elkaar informatie uitwisselen over botnetbesmettingen. Zo kan de ene provider de andere op de hoogte stellen wanneer die provider een abonnee heeft die onderdeel is van een botnet.

Ook zal de AbuseHub, die donderdag officieel is aangekondigd, informatie over botnetbesmettingen verspreiden onder de aangesloten providers. Daarbij zullen onder meer ip-adressen van besmette nodes worden uitgewisseld, evenals details over besmettingen. Onder meer UPC, Ziggo, KPN, Tele2, Zeelandnet en Surfnet nemen deel aan het platform.

Het uitwisselen van ip-adressen ligt lastig, erkent woordvoerder Niels Huijbregts, omdat het om persoonsgegevens gaat. "We hebben uitgezocht hoe dat juridisch zit, en het kan", aldus Huijbregts. De verzamelde informatie kan worden gebruikt om klanten te informeren, maar zou bijvoorbeeld ook kunnen worden gebruikt om besmette klanten af te sluiten tot de infectie is opgelost, hoewel de providers dat zelf niet met zoveel woorden aankondigen.

Moderatie-faq Wijzig weergave

Reacties (42)

Is dit niet hetzelfde als het vorig jaar aangekondigde Abuse IX (nieuws: Nederlandse isp's en SIDN gaan samen botnets in kaart brengen)? De berichtgeving is bijna hetzelfde. Wat is er in de tussentijd gebeurd?

Uit de bron, een persbericht van SIDN (https://www.sidn.nl//nieu...-start-botnets-aangepakt/):
"Na een uitvoerige testfase is de AbuseHUB nu gereed en vandaag officieel in gebruik genomen"

[Reactie gewijzigd door AgamemnonZ op 14 november 2013 15:23]

Security.nl zegt iets heel anders:

Een groep Nederlandse internetproviders heeft samen met SURFnet en de Stichting Internet Domeinregistratie Nederland (SIDN) een systeem gelanceerd om botnets aan te pakken. AbuseHUB, zoals het systeem heet, verwerkt centraal informatie over botnetbesmettingen in Nederland.
Het heeft als doel om besmette computers sneller te detecteren en internetgebruikers beter en sneller te helpen als hun computer besmet is met een virus. Zo kunnen botnets effectiever bestreden worden en wordt de internetveiligheid in Nederland verder verhoogd. Daarnaast beperkt het systeem de schade die een botnet kan aanrichten wat weer kosten bespaart.


Bron: https://www.security.nl/p...ren+systeem+tegen+botnets
De PR-machien van de providers is inderdaad wat buggy.
Voor de duidelijkheid: AbuseIX is de naam van de samenwerkingsgroep van providers.
AbuseHUB is de naam van de naam van de service die ze daaruit opgezet hebben.

Tijdens het ECP Jaarcongres in het AFAS Circustheater in Scheveningen lanceert de vereniging Abuse Information Exchange officieel de AbuseHUB.
Goede ontwikkeling! en zolang ze toch alleen een ip adres doorgeven, zonder naam of adres en dergelijke zijn dat toch geen persoonsgegeven? immers kan die pc door meerdere mensen worden gebruikt en kan het ip adres worden verandert.
Ik weet niet of je de persoonsgegevens zo strikt moet nemen met dit soort meldingen, het gaat immers om een waarschuwing naar een klant toe dat er iets mis is met zijn PC. Het wordt pas problematisch als de gegevens ergens in een db opgeslagen worden voor vergelijkingen of zo.

Een melding krijgen van een mogelijke besmetting zie ik gelijk als iemand die me erop attendeert dat mijn remlicht het niet doet, of mijn uitlaat loshangt.
Men hoeft inderdaad geen persoonsgegevens uit te wisselen. Als er een IP adres gevonden wordt dan kan de juiste provider de klant op de hoogte brengen. Zolang het bij informeren blijft vind ik het prima. Afsluiten gaat me iets te ver.
Het afsluiten word gedaan om te zorgen dat je persoonlijke gegevens niet bij de crackers terecht komen. Zo komen bijvoorbeeld je creditcard gegevens niet bij hun terecht.

Dan is even geen volledig internet niet het probleem. En de providers hebben ook procedures om weer aangesloten te worden.

[Reactie gewijzigd door T-Junkie op 14 november 2013 15:35]

ik vind het niet echt super. want wat nou als je belangrijke dingen moet doen? en dan sluiten ze je af, zonder dat je weer dat het om een botnet gaat. zo kunnen ze jouw niet informeren over de mail ofzo, aangezien je bent afgesloten. ze zouden daar beter eerst goed naar kijken, en je tips geven hoe je het kan verhelpen, en niet gelijk afsluiten.
Veel providers werken met een Quarantaine net. Je wordt niet afgesloten, maar in een deelnetwerk gezet waar je maar toegang hebt tot beperkte websites: windows updates, antivirus/malware leveranciers, etc. Ook krijg je tips voorgeschoteld hoe je het probleem op kan lossen en hoe je jezelf weer uit het Quarantaine netwerk kan halen, via een web interface bijvoorbeeld. Je geeft aan "ik heb het probleem opgelost" en je krijgt weer toegang tot het hele internet. Detecteren ze dat het probleem nog steeds bestaat, dan vlieg je weer net zo hard het Quarantaine net in.
Het gaat om pc's die reeds zijn opgenomen in een botnet. Je zorgen maken over je persoonlijke gegevens is op dat moment al te laat lijkt me. De providers willen je afsluiten zodat je pc niet kan worden misbruikt door het botnet. Ze sluiten je dus af om zichzelf te beschermen, niet om de klant te beschermen.
Zolang dit maar niet is gebonden aan kantooruren.

[Reactie gewijzigd door rickiii op 14 november 2013 16:23]

Zolang het alleen voor het detecteren van botnets gebruikt wordt wel. Liever zie ik niet dat een provider dan maar gewoon je internet-pijp dichtgooit en je in een quarantaine vlan zet. Zo wordt je als klant namelijk weer wat vrijheid ontnomen. Ja ik weet botnets zijn per meestal kwaadaardig maar eingelijk heeft een ISP niet zoveel te maken met wat je doet op het internet dacht ik.
Een ISP die verder kijkt dan z'n (commerciële) neus lang is heeft alles te maken met wat z'n klanten doen op het internet. Het internet is namelijk een netwerk van netwerken dat is gebaseerd op vertrouwen. Daar hoort ook het vertrouwen bij dat de individuele netwerkbeheerders hun eigen netwerk schoonhouden. Als ze hun klanten maar wat laten aanrommelen dan tast dat het vertrouwen van andere netwerkbeheerders aan en komt de bereidheid tot peering op de tocht te staan.

Een ISP met enige visie zorgt dus dat hij z'n netwerk schoonhoudt en klanten die rommel spuiten afsluit totdat ze hun zaakjes op orde hebben. Kwestie van verantwoordelijkheid nemen, zowel voor de ISP als de klant.
Hoe weet men dat jouw verkeer van een bot net is zonder in de inhoudvan je traffic te kijken (DPI)?
Verkeer vanaf / naar bepaalde adressen waarvan bekend is dat het C&C servers zijn, over bepaalde poorten. Veel bots verbinden bijvoorbeeld terug over port 6667 naar een IRC server om daar in een kanaal te wachten op commando's.
Veel botnets hebben tegenwoordig een C&C dat fungeert als webpanel wat je op een offshore webhosting bedrijf (of meerdere) onderbrengt.

Heb ook een paar (bekende) botnets gedownload (en gesimuleerd in vmware) om te kijken hoe het werkt. Wat een zooi is dat als het eenmaal op je computer staat, overal en dan ook overal heb je als 'hacker - ugh ugh' inzage in.

Als je dan ook nog zo'n FUD crypter hebt is het helemaal vervelend, vooral voor de doorsnee persoon.
Honeypots zijn ook een belangrijke leverancier van dit soort data.

Binnen de SURF afnemers is dit al heel gewoon; bij ongewenste acties vanaf een IP adres wordt de afnemer van de overkoepelende IP reeks op de hoogte gesteld dmv SURF-Cert waarschuwing met daarin het bewuste IP adres.
De hogeschool of universiteit kan dat vervolgens zelf wel weer herleiden naar een specifieke gebruiker (als het goed is...).
ik dacht dat zeelandnet al een beveiliging had. als je IP-adres verachte dingen deed werd je uit het zeelandnet netwerk geknikkerd en kwam je op een pagina terecht waar ze je helpen er vanaf te komen. Quarantainenet was dat volgens mij, even opzoeken...
ik ben benieuwd hoe dit voor bedrijven en scholen zal uitpakken waneer er vaak een botnet word geconstanteerd
Onze school is er al een keer uitgeknikerd en moesten overstappen naar een andere provider (aldus onze netwerk leraar vermelde)
ik denk als een ander provider er van weet dat de school vaak slachtoffer is van een botnet....
ik weet neit of dat zo gunstig in dat geval is probeer dan maar een provider te vinden

of zie ik het hele systeem verkeerd (Mijn excuses alvast als ik het fout heb)
Overstappen naar een andere provider is zinloos. Daarmee verwijder je de infectie niet mee. Jullie netwerk leraar zat óf uit z'n nek te zwetsen óf is te incompotent om de infectie te verwijderen. In beide gevallen ongeschikt als docent IT Infrastructuur.
Conclusies trekken over de competentie van een docent op basis van een tweaters-berichtje van vijf zinnen is even zinloos. Afgezien van de tweede zin in jouw post zie ik alleen veronderstellingen over dingen waar je niks vanaf weet.
Op basis van roydolfje's verhaal kan je die concludie trekken. IP afsluiting door botnet infectie is niet te verhelpen door over te stappen naar een andere provider. Dat is simpelweg hartstikke dom. Hiermee, als dit verhaal klopt, geeft de docent de verkeerde les mee aan de studenten: Van ISP wisselen wanneer er een botnet infectie is. En dat maakt die docent incompetent voor zijn vak. Zonder meer informatie is dit de enige te deduceren conclusie.
Of er was geen besmetting en kan je dus niet aantonen dat je het hebt verholpen en blijf je dus afgesloten. Dat is ook een mogelijkheid. Waarschuwen vind ik prima, gelijk afsluiten kan in mijn ogen echt niet, zeker niet zolang niet duidelijk is waarop ze precies monitoren.
Hoe wil je zien hoe je het kan verhelpen als je het niet kan opzoeken??
Op basis van roydolfje's verhaal kan je die concludie trekken.
Nou, logica is niet je sterkste vak geweest ben ik bang....
IP afsluiting door botnet infectie is niet te verhelpen door over te stappen naar een andere provider.
Wel als de andere provider er andere gebruiksvoorwaarden op na houdt.
De botnet infectie is niet te verhelpen door overstappen, het afsluiten als gevolg ervan wellicht wel.
Dat is simpelweg hartstikke dom.
De merites van de overstap zijn afhankelijk van gevolg ervan in combinatie met de gewenste resultaten.
Als de nieuwe provider niet afsluit, is de beslissing wellicht niet dom.
Hiermee, als dit verhaal klopt, geeft de docent de verkeerde les mee aan de studenten: Van ISP wisselen wanneer er een botnet infectie is. En dat maakt die docent incompetent voor zijn vak.
De enige informatie die wij als lezer hebben is dat de leraar heeft gemeldt dat er is overgestapt van provider om de IP afsluiting te omzeilen. Er is dus niets te concluderen over zijn vakbekwaamheid.
Mijn aanname is dat deze docent helemaal niets te zeggen heeft in financiele beslissingen zoals het afnemen van een internet aansluiting.
Er is dan ook een redelijke kans dat deze docent heeft geadviseerd om de infectie te bestrijden, extra IDS/IPS systemen aan te schaffen of iets dergelijks.
Wellicht heeft de docent dit voorbeeld zelfs aangehaald om zijn studenten te laten zien dat dit geen goede beslissing zou zijn.
Zonder meer informatie is dit de enige te deduceren conclusie.
Zonder meer informatie is elke conclusie voorbarig!
Maar je weet ook niet of het om een botnet ging in zijn geval dus neem je nu iets aan en ben je daarmee net zo kwalitatief bezig als die netwerk leraar. Die gaf alleen aan dat de school er al eens is uitgeknikkerd was, roydolfje gaf niet aan waarom de school eruit werd geknikkerd. Ik geef je gelijk dat een botnet infectie niet te verhelpen valt door van provider te wisselen (was ook het eerste waar ik aan dacht) maar meteen iemand incompetent noemen omdat je aanneemt dat het hierom ging is ook niet snugger.
Zou het kunnen dat de docent in kwestie slechts heeft verteld dat de school door de oude provider is gedwongen over te stappen naar een ander?
Binnen een schoolomgeving is kijken naar botnetachtig gedrag niet genoeg. Ik heb ook al meermaals de melding gehad dat het schoolnetwerk zich als botnet gedroeg omdat een groot aantal pc's zowat tegelijk verbinding maakte met hetzelfde IP. Nogal logisch als een hele klas aan dezelfde opdracht werkt...
mijn school heeft daarvoor weer zijn eigen quarantainenet, en ik denk dat zeelandnet de quarantainenet voor mijn school heeft uitgeschakeld...
Op de hogeschool waar ik op zit word je automatisch in een quarantaine netwerk gezet wanneer er verdachte netwerk activiteiten op jouw laptop worden geconstateerd. Je laptop moet je dan eerst opschonen of her-installeren om uit het quarantaine netwerk gehaald te worden.
Ik snap ook niet goed waar dit artikel over gaat, ben zelf al eens door XS4ALL afgesloten omdat een huisgenoot besmet was met TDSS, ben dan ook wel klant van XS4ALL maar je zou denken dat elke ISP bij hun klanten zulke verdachte activiteit meteen detecteert? Wat voor info is er dan om te delen, dat KPN een rootkit vindt op een IP dat aan Ziggo toebehoort?
Als ik het goed begrijp gaan de ISP's het nu met elkaar uitwisselen. Wanneer XS4ALL merkt dat een abonnee van Ziggo aangesloten zit op een botnet, gaan ze dat nu dus aan elkaar melden.
Overigens heb je hier deels ook al de CBL lijst voor. Wanneer een provider deze lijst zou controleren op hun eigen IP ranges, zouden ze ook probleemgevallen kunnen vinden.
Quarantainenet idd. Kom je ook op terecht bij Xs4all als er mogelijk iets mis is zoals een trojan of een virus.
Krijgen slachtoffers ook bericht?
Hangt er vanaf wat je onder slachtoffer verstaat.

Bedoel je de eindgebruiker van een IP-adres of eigenaar van een domeinnaam waar mogelijk een hack is gezet of malware op staat, dat is goed mogelijk. Die personen moeten immers op de hoogte worden gesteld dat ze hun systeem schoon moeten vegen.

Bedoel je mogelijke slachtoffers van andermans besmetting/gehacked systeem, dan heeft het slachtoffer waarschijnlijk zelf al aan de bel getrokken, waardoor de melding is ontstaan.

Een grote vraag is echter of de slachtoffers ook voldoende informatie krijgen dat ze ook snappn wat er aan de hand is en wat de omvang van het risico is. Vorig jaar begon half Nederland te miepen dat hun persoonlijke gegevens gejat waren door een specifiek stukje malware. Maar die groep Nederlanders snapt er nog steeds geen fluit van dat er nog honderden andere malware actief is die hetzelfde doet. En dat gaan ze waarschijnlijk als slachtoffer niet snappen zolang niemand ze die persoonsgegevens voor hun neus kan houden. En dat is nu net wat de ISP's niet gaan doen: met de persoonsgegevens van anderen zeulen mag en kan namelijk niet. En dus kan je je afvragen hoe zinvol het is om de slachtoffers met meer te informeren dan "vanaf uw IP is communicatie gezien dat kan betekenen dat u malware heeft. Maak het schoon.".
maar zou bijvoorbeeld ook kunnen worden gebruikt om besmette klanten af te sluiten tot de infectie is opgelost,
En hoe zit dat dan met de net-neutraliteit? Providers mogen toch geen onderscheid maken in netwerk verkeer?
Organisaties als Brein wrijven zich in de handen, ze hoeven alleen p2p netwerken als botnet te definiëren en vragen via de rechter een blokkade aan.

Providers moeten helemaal niets constateren, de klant bepaalt waarvoor hij de aansluiting gebruikt. Als je lid wilt zijn van een botnet dat bijv. bitcoins produceert dan moet dat kunnen.
Vrijheid is nooit absoluut. En al helemaal niet in een contractuele relatie. Als je ISP niet wilt dat je bepaalde activiteiten ontplooit en jij doet het toch, dan heeft-ie contractueel het volste recht om je af te sluiten.

Netneutraliteit gaat over iets heel anders dan de vermeende vrijheid om je internetaansluiting te gebruiken voor elk willekeurig doel. Die vrijheid bestaat helemaal niet, tenzij je een ISP hebt die het geen reet uitmaakt wat je allemaal uitspookt, zelfs al leg je andere netwerken compleet plat. Dat soort ISP's heeft doorgaans wat moeite om hun peering met andere ISP's te behouden...
Helemaal mee eens. en zoals jij ookal zegt, kan het zijn dat stichting brein ofzo misbruik gaat maken van de evt. macht die er dan komt.
Zolang ze hun positie/macht niet misbruiken om anderen de wetten voor te schrijven (zoals SpamHaus dat doet) vind ik het een goede zaak.
Het lijkt me fair als in het nieuwsbericht XS4ALL ook genoemd wordt. Niels Huijbregts is ook de woordvoerder van XS.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True