'Botnetaanpak Microsoft is vernieuwend'
Michel van Eeten is hoogleraar bestuurskunde aan de faculteit Techniek, Bestuur & Management van de Technische Universiteit (TU) Delft. Hij onderzoekt in opdracht van het ministerie van Economische Zaken de botnetbesmetting per provider.
De manier waarop Microsoft het Rustock-botnet heeft neergehaald, is bijzonder professioneel. Dit meent botnet-expert Michel van Eeten. Van Eeten is hoogleraar bestuurskunde aan de faculteit Techniek, Bestuur & Management van de Technische Universiteit (TU) Delft. 'Je ziet duidelijk dat er maandenlange voorbereidingen aan zijn voorafgegaan.'
Van Eeten onderzoekt in opdracht van het ministerie van Economische Zaken de botnetbesmetting per provider. Eerder vertelde beveiligingsadviseur Rik Ferguson van Trend Micro aan Computable dat voor een succesvolle aanpak van botnets een aantal ingrediënten moet samenkomen: 'handhaving, een proactieve opstelling van internet service providers en internationale harmonisering van wetgeving.'
Al die ingrediënten waren volgens Van Eeten aanwezig toen Microsoft op 16 maart 2011 spam-botnet Rustock oprolde. In de Verenigde Staten namen opsporingsambtenaren van de U.S. Marshalls rond de honderd servers in beslag. In Nederland haalde de High Tech Crime Unit van de KLPD twee servers neer bij een reseller van hosting provider LeaseWeb. Microsoft had de leiding van de internationale actie. Senior programma manager van de Microsoft Digital Crimes Unit T.J. Campana prees zowel de High Tech Crime Unit van de KLPD als LeaseWeb voor hun prompte acties.
Juridische aanpak
Ten eerste is de juridische aanpak van Microsoft in het geval van Rustock innovatief, aldus Van Eeten: 'Het is Microsoft gelukt om als marktpartij via de rechter af te dwingen dat servers in beslag werden genomen zonder dat de eigenaar daarvan vooraf op de hoogte is gesteld. De rechtszitting vindt pas na inbeslagname plaats. Dat lukte door gebruik te maken van een Amerikaanse wet die merken beschermt. Voor zover ik weet is dat uitzonderlijk, want normaal kan dit alleen op strafrechterlijke basis.'
Ontsnappingsroutes geblokkeerd
Niet alleen zijn de commando- en controleservers uitgeschakeld, Microsoft heeft er ook voor gezorgd dat bots niet via andere wegen instructies kunnen ontvangen. Microsoft is zo slim geweest een aantal ontsnappingsroutes te blokkeren. 'Bot-herders (de cybercrimineel die het botnet aanstuurt, red.) anticiperen steeds vaker op aanvallen op hun netwerk door opsporingsdiensten', aldus Van Eeten.
Eén van die ontsnappingsroutes is het razendsnel wijzigen van de domeinnamen waarvandaan bots hun instructies ontvangen. Van Eeten: 'De Rustock-bots zijn zelfstandig in staat een eindeloze reeks domeinnamen uit te rekenen waarvandaan ze mogelijk instructies kunnen ontvangen van hun bot-herder. Dat gold ook al voor de bots binnen het Conficker-botnet. Deze domeinnaam-strategie is bij dat botnet uiteindelijk succesvol aangepakt, maar dat kon alleen doordat ICANN intensief samenwerkte met de registraties van domeinen als .com en .nl. Zoiets is nu ook in voorbereiding. Microsoft heeft zelf al preventief beslag laten leggen op 1500 domeinnamen. Maar de lijst is eindeloos en vereist dus een structurele oplossing.'
Malicious Software Removal Tool
Ook het bestrijden van de malware op geïnfecteerde machines wordt door Microsoft voortvarend aangepakt, aldus Van Eeten. 'Elke gebruiker met een legale Windows-versie, die de beveiligingsupdates aan heeft staan, wordt via de Malicious Software Removal Tool opgeschoond.'
Dat verwijderen van de Rustock-malware op Windows-machines is natuurlijk al een tijdje aan de gang, maar deze periode is volgens Van Eeten cruciaal. 'Omdat de bot-herder geen toegang meer tot zijn bots heeft, kan hij nauwelijks tegenmaatregelen treffen tegen het opschonen. Zo kunnen de bestaande bots moeilijker onder de radar van virusopruimingssoftware duiken, omdat ze geen instructies ontvangen om hun 'virus-vingerafdruk' te wijzigen. Ook is het moeilijker om nieuwe bots te rekruteren, om de opgeschoonde bots te vervangen.'
Overheidsdiensten
'Je ziet duidelijk dat er maandenlange voorbereidingen aan vooraf zijn gegaan.' Van Eeten vermoedt dat een partij als Microsoft wellicht beter uitgerust is voor dit soort acties dan bijvoorbeeld overheidsdiensten. 'Ik heb er geen cijfers over, maar Microsoft heeft een groot aantal mensen in dienst die zich met dit soort acties bezighouden, zowel op technisch als juridisch vlak. Bovendien is Microsoft natuurlijk een naam die deuren opent die voor anderen gesloten blijven.'Het Rustock-botnet verspreidde dagelijks miljarden spammails vanaf geïnfecteerde computers. Op 16 maart 2011 namen opsporingsambtenaren van de U.S. Marshals rond de honderd servers in de Verenigde Staten in beslag. Op de servers draaide commando- en controlesoftware van spambotnet Rustock. In Nederland haalde de High Tech Crime Unit van de KLPD twee servers neer bij een reseller van hosting provider LeaseWeb. Microsoft had de leiding van de internationale actie.
Het neerhalen van Rustock is volgens Microsoft het tweede succes van Project MARS (Microsoft Active Response for Security). Dat is een samenwerking tussen de Microsoft Digital Crimes Unit (DCU), het Microsoft Malware Protection Center en het Trustworthy Computing-programma. Begin 2010 werden binnen MARS de controleservers van het Waledac-botnet neergehaald.
martin, 23-03-2011 12:54
Erwin_Br, 23-03-2011 13:35
Kees, 23-03-2011 15:19
@Jeroen: Dat is natuurlijk weer de standaard reactie. Feit is dat de meerderheid van de PC's nu eenmaal een Microsoft OS heeft. Indien 80% van de PC's in de wereld een ander OS zou hebben zou de botnets op die systemen getarget zijn. Het doel is immers zoveel mogelijk bots te verzamelen.
@Erwin: Precies, veel gebruikers klikken achteloos op elke OK button die ze voor hun neus getoverd krijgen, omdat ze geen onderscheid kunnen maken tussen wat wel en wat niet veilig is. Dat soort gebruikers krijgen elk OS geïnfecteerd ;-)
Jeroen, 23-03-2011 16:00
Helaas is de ingebouwde bescherming bij het meest gebruikte besturingssyteem ook de slechtste.
@Erwin, @Kees: met een goeie permissie-struktuur kan een gebruiker op OK drukken wat hij/zij wil maar gebeurt er niets schadelijks.
Helaas is dat bij Windows nog steeds niet goed voor elkaar...
Technicus, 23-03-2011 16:04
Jaap, 24-03-2011 13:48
Jeroen, 25-03-2011 13:56
@Jaap: Botnets, of pogingen daartoe, zijn er voor diverse besturingssystemen en inderdaad loop je bij de bestrijding achter de feiten aan, het blijft een kat-en-muis spel.
Maar feit is wel dat met name de Linux-gemeenschap veel sneller reageert met security-updates voor het zowieso al veiliger besturingssysteem, waardoor de kans op "besmetting" zeer gering is.
In vind Microsoft dan ook echt niet vernieuwend, ze zouden eens met een écht nieuw besturingssysteem moeten komen met betere ingebouwde beveiliging en robuust bestands-systeem.
mm, 28-03-2011 17:13
Fout, helemaal fout. Jullie bonjouren gewoon over de grondverschillen tussen Windows en Linux. Linux is vanaf het begin gebouwd met veiligheid in gedachten. Bij Windows is dat geenszins het geval. NU, op DIT MOMENT, is het gewoon een feit dat Linux vele malen veiliger in elkaar steekt dan Windows. Dus NU is 't gewoon slim om Linux te gebruiken en Windows als een baksteen te laten vallen. Tenminste, veiligerheidswijs gezien. Op lange termijn ook kostengewijs (op korte termijn niet, omdat je natuurlijk al hebt moeten dokken voor Microsoft). Maar alleen al omdat het Open Source is, is Linux gewoon veel veiliger: immers, iedereen kan in de code kijken en in bijv. de kernel alle onveilig zaken vinden en aankaarten. Bij de Windows-kernel spreek je over een select groepje Microsoft-programmeurs. Die kunnen nooit evenveel bugs vinden dan dat mogelijk zou zijn als 't Open Source zou zijn.
"Feit is dat de meerderheid van de PC's nu eenmaal een Microsoft OS heeft. Indien 80% van de PC's in de wereld een ander OS zou hebben zou de botnets op die systemen getarget zijn. Het doel is immers zoveel mogelijk bots te verzamelen."
Nee. Absoluut niet. Dan ga je ervan uit dat Windows en Linux gelijkwaardig zijn, en dat is absoluut NIET zo. Het is natuurlijk ook onzin om te roepen dat als het DOEL xyz is, dat xyz dan ook maar eventjes zou lukken.
"een groot deel van de thuisgebruikers heeft geen notie van wat er zich op het net afspeelt."
En dat is precies de reden dat je OS je moet beschermen. Bijv. door bepaalde default-instellingen. En dat is precies wat Linux wel doet, en het is precies wat Windows niet doet. Bij Windows staat alles standaard open. Uiterst onveilig. Bij Linux staat alles dicht. Dat wil zeggen dat je er verstand van moet hebben om je systeem onveilig te maken. Bij Windows is het net andersom: daar moet je er verstand van hebben om 't maar een klein beetje veilig te maken. Maar er zitten zo gigantisch veel stommiteiten, ontwerpfouten en verkeerde prioriteiten in Windows dat zelfs een expert een Windows-bak niet goed genoeg kan dichttimmeren.
Jeroen, 29-03-2011 14:07
Ik heb het eerst voor mij gehouden omdat je anders al gauw als "Linux Fanboy" of zoiets wordt afgeschilderd.
Heb Windows zo'n 7 jaar geleden definitief de deur uit gedaan, eerst Red-Hat/Fedora, afgelopen jaren Ubuntu tot volle tevredenheid.
Ik gebruik mijn systemen voor multimedia/video-bewerking (kdenlive, devede, audacity) en het gebruikelijke kantoorwerk + Internet.
Heel veilig en blijvend snel, en geen overhead van allerlei "beschermings-software".
Ik draai alleen nog wel eens Win7 in een virtual box om de GPS van mijn auto te updaten (kan helaas alleen met Windows, o.a. omdat die applicatie op het .Net is gebouwd)...
Ubuntu is zo makkelijk geworden, dat mag het probleem niet zijn, maar het is haast niet voor elkaar te krijgen mensen eens iets anders te laten proberen.
En de (PC)- handel werkt natuurlijk ook niet mee, denken er niets mee te kunnen verdienen..
Technicus, 29-03-2011 17:10
"De meeste virussen zijn voor Windows. Windows is het meeste gebruikte besturingssysteem, dus als Linux het meest gebruikte besturingssysteem was, zouden de meeste virussen voor Linux zijn."
Ander voorbeeld van de 'met dit,dus door dit' (Bron: Wikipedia's 'drogreden')
"Zij was in augustus op vakantie met Gijs. Zij is in augustus zwanger geworden. Dus zij is zwanger van Gijs."
Eddy, 30-03-2011 0:38
Dat kan je ze amper kwalijk nemen, men weet gewoon niet beter. Een auto met 4 lekke banden en een 1 liter bak zal ook even wennen zijn voor een onervaren chauffeur maar die legt zich eruiteindelijk bij neer omdat hij niet beter weet.
18-06 ‘Acer is klap van 2011 te boven’
14-06 Supercomputer Cartesius verdringt Huygens
14-06 Applicaties mobiel inzetten; de do’s en dont’s
13-06 Met minder geld toch mobiel kunnen werken
13-06 ‘Besef wel dat je baas je telefoon kan wissen’
12-06 ‘Social business is een nieuwe manier van...
12-06 ‘Wie geld wil verdienen, moet vernieuwen’
11-06 ‘Bedrijven floreren met slimme mensen en slimme...
11-06 Mobiel werken betekent investeren
10-06 ‘Bedrijven die innoveren, kiezen voor IaaS’
13-06 Deciso Netboard A10 krijgt AMD-CPU mee
13-06 Vasco vindt in AET alternatief voor Diginotar
12-06 id-me komt met vingerafdrukidentificatie voor...
06-06 Tips om veilig mobiel te werken
05-06 MKB ondervindt problemen bij back-up en herstel
05-06 Kaspersky stuit op cyberspionage NetTraveler
04-06 Cybersecurity: aanval is beste verdediging
04-06 McAfee pakt beveiliging compleet en geïntegreerd...
04-06 GFI Software lanceert FixIT Scripts
03-06 Reclassering introduceert thuiswerken in één dag
|
|
10-05-11 'Botnetbestrijding zorgt voor wapenwedloop'
03-05-11 Ook Mac OS X heeft zijn eigen botnetkit
15-04-11 Non-profit organisatie sust botnet in slaap
14-04-11 Microsoft dicht 64 beveiligingslekken
23-03-11 'Kans is groot dat Rustock-botnet echt weg is'
21-03-11 LeaseWeb herbergde deel Rustock-botnet
18-03-11 KLPD haalt servers Rustock-botnet neer
13-12-10 Stichting wil ISP's helpen bij botnetbestrijding
08-11-10 Botnet is als de veelkoppige slang Hydra
02-11-10 LeaseWeb: botnet-overlast hosters is laag
02-11-10 'Bredolab-botnet is nooit opgerold'
07-07-10 'Verplicht provider niet tot botnetbestrijding'
06-07-10 'Bestrijding botnet is te duur voor provider'
05-07-10 EZ gaat botnetbesmetting per provider meten
08-06-10 'Provider pakt slechts fractie botnets aan'
08-06-10 'Bedrijfs-PC's zijn zelden onderdeel van botnet'
17-08-09 Providers willen botnets samen aanpakken
DoS-aanvallen: strategieen om de schade te beperken
 |
De kans dat organisaties getroffen worden door een DoS-aanval is helaas reëel. Omdat er allerlei soorten......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 803 | 6.1 | |
 | 2 | 711 | 6.3 | |
 | 3 | 656 | 6.4 | |
 | 4 | 609 | 6.3 | |
 | 5 | 556 | 6.2 | |
 | 6 | 547 | 6.3 | |
 | 7 | 313 | 6.3 | |
 | 8 | 236 | 6.2 | |
 | 9 | 166 | 6.1 | |
 | 10 | 124 | 6.0 | |
Alle rechten voorbehouden © 1995-2013 De Persgroep
Aan de andere kant is het wel weer een hoop werkgelegenheid voor virus- en botnetbestrijders..