FTC zet aanval in op zombie-pc's

Telecomwaakhond Opta, het directoraat-generaal Telecom en Post van het ministerie van Economische zaken en Nederlandse isp’s reageren verbaasd op mededelingen van de Amerikaanse Federale handelscommissie (FTC) als zouden ze deel uitmaken van een internationaal initiatief gericht tegen zombie-pc’s.

Aanbevelingen aan isp’s
De FTC doet de volgende aanbevelingen aan de drieduizend isp’s die ze zegt te hebben aangeschreven:

Blokkeer poort 25, behalve voor uitgaande smtp-verzoeken van betrouwbare gebruikers van mailservers.
Overweeg het implementeren van authenticated smtp op poort 587 voor klanten die uitgaand verkeer van mailservers bedienen.
Dwing af dat e-mail relays voorzien worden van controleerbare plafonds aan het aantal doorgestuurde mailberichten per domein of per tijdseenheid.
Computers die a-typische hoeveelheden e-mail versturen moeten geïdentificeerd worden. Vervolgens moet worden onderzocht of het om een zombie gaat. Zonodig moet de betreffende computer in quarantaine geplaatst worden, totdat de bron van het probleem duidelijk is.
Geef de klanten van de isp in begrijpelijke taal advies hoe ze hun computers kunnen beschermen tegen infectie door wormen, trojans of andere kwaadaardige code. Daar hoort het beschikbaar stellen van geschikte gereedschappen en ondersteuning bij.
Het wijzen op of zelfs beschikbaar stellen van makkelijke tooltjes om zombie-code van hun computers te verwijderen en bijbehorende ondersteuning.

Het ministerie van EZ is ‘niet betrokken en niet benaderd’ door de FTC en is verbaasd over de vermelding als deelnemer op de site van het FTC. De Onafhankelijke Post en Telecommunicatie Autoriteit (Opta) staat daar ook vermeld, maar heeft voor het FTC ‘slechts het Nederlandse isp-landschap in kaart gebracht en voor adressen gezorgd’. Volgens de woordvoerder van de Opta is de brief van de FTC echter ‘nog niet verstuurd’.
Een kleine rondgang langs betrokkenen leert dat dit klopt. Govcert, het Computer Emergency Response Team van de Nederlandse overheid heeft zelf nog niets ontvangen, aldus een woordvoerder. Govcert juicht initiatieven voor samenwerking toe, maar reageren doet het team pas als ze de brief hebben gezien. Govcert wijst er op dat ze tweemaandelijks met de grote isp’s om de tafel zitten. De reguliere vergadering is juist achter de rug, maar ook tussendoor zijn er intensieve contacten, aldus de woordvoerder.

Geen brief gezien

Internetprovider Xs4all heeft nog geen brief van de FTC ontvangen en schort commentaar op tot ze de tekst gezien hebben. Xs4all hanteert overigens een strikt abuse-beleid, aldus woordvoerster Van Erve. Dat geldt ook voor internetprovider BIT, die voornamelijk actief is op de zakelijke markt. Technisch directeur Alex Bik heeft evenmin een brief van de FTC gezien. Hij spreekt overigens van een ‘lovenswaardig initiatief, want de isp’s zullen het aantal zombies op het net moeten terugdringen.’
Het filteren van poorten vindt hij geen goed idee. Het afsluiten van poort 25 is begrijpelijk voor isp’s met veel consumentenklanten, zegt hij, maar voor zakelijke gebruikers die zelf een mailserver draaien is het geen oplossing. “Daar moet je dan weer een uitzondering voor maken en die zou dan gelden voor 95 procent van onze zakelijke klanten”. Authenticated smtp staat al langer op de roadmap van BIT, zegt Bik, maar dan puur uit ‘praktische overwegingen’, los dus van het FTC-initiatief.
De FTC Amerikaanse Federale Handelscommissie (FTC) heeft vorige week contact gezocht met overheidsinstanties in twintig landen en meer dan drieduizend internet service providers (isp’s). De FTC wil dat gekaapte zombie-pc’s die worden ingezet om spam en trojans te versturen door de isp’s worden afgesloten. Opvallend genoeg ontbreekt China op de lijst van benaderde landen, hoewel dat land in snel tempo digitaliseert en het gebrek aan technische kennis bij eindgebruikers groot zal zijn.
Zombienetwerken zijn naar schatting verantwoordelijk voor vijftig tot negentig procent van alle ongevraagde commerciële e-mail, aldus Don Blumenthal, internet lab coördinator bij de FTC. Sommige bronnen maken melding van een tweede fase van de FTC-operatie, waarin verdachte computers en hun provider worden geïdentificeerd. De provider wordt vervolgens op de hoogte gesteld van het bestaan van de zombie-computer; van de isp worden dan ‘corrigerende maatregelen’ verwacht.