Internetaanbieders hebben bedrijfseconomische redenen om botnets niet op grote schaal aan te pakken. Dat zegt professor Michel van Eeten van de faculteit Techniek, Bestuur & Management van de Technische Universiteit (TU) Delft. Hij meet in opdracht van het ministerie van Economische Zaken (EZ) het aantal geïnfecteerde machines binnen de netwerken van Nederlandse internet service providers (ISP's).
Volgens de professor beconcurreren ISP's elkaar voornamelijk op basis van prijs. 'Daardoor moeten ze heel voorzichtig zijn met het in quarantaine plaatsen van klanten. Als een klant een provider één of twee keer per jaar belt, is de hele winstmarge op die klant weg. En als jij klanten in quarantaine plaatst, dan gaat een deel van hen je bellen. Dat weerhoudt aanbieders ervan om botnets op grote schaal aan te pakken.'
Black listing
Aan de andere kant zijn er volgens Van Eeten ook bedrijfseconomische mechanismen die het voor providers wel belonend maken om iets tegen malware te doen: 'Als jouw ISP-netwerk spam naar buiten stuurt en jij doet niks, dan verschijnen steeds meer brokken van jouw netwerk op black lists. Gebruikers gaan dat dan merken, doordat hun mail niet meer doorkomt. En als je echt een heel beroerde ISP bent, neemt niemand je mailverkeer nog aan.'
De professor vertelt hoe dat een Nederlandse ISP in 2007 overkwam. 'Die had geen goede drempel voor het aanmaken van webmail-accounts gecreëerd. Het gevolg was dat Nigeriaanse spammers honderden accounts aanmaakten. Blijkbaar heeft die provider niet snel genoeg gereageerd en toen is al het uitgaande verkeer op de blacklist gezet.'
'Al hun klanten kregen foutmeldingen in hun inbox en gingen bellen', vervolgt Van Eeten. 'Op één dag kwamen er zo'n dertigduizend telefoontjes binnen, à acht euro per gesprek. Dat duurde een paar dagen, dus dat liep behoorlijk op. Die provider is daar heel erg van geschrokken. Dat is hem sindsdien niet meer overkomen.'
Benchmark botnetbestrijding
Van Eeten meet momenteel in opdracht van het ministerie van Economische Zaken het aantal geïnfecteerde machines binnen de netwerken van Nederlandse internet service providers.
Zijn onderzoeksgroep brengt in oktober 2010 rapport uit. De professor deed eerder onderzoek naar de rol van providers bij de bestrijding van netwerken van met malware geïnfecteerde machines. Die bleek cruciaal.
M.a.w: de huidige mate van marktwerking houdt botnets in stand. Er is geen financiële prikkel bij de ISP’s om er iets aan te doen.
Oplossing 1: die verantwoordelijkheid niet bij de ISP leggen, maar bij een overkoepelende instantie (bijv. de overheid). Zelfregulering heeft nooit gewerkt, werkt niet en zal ook nooit werken.
Oplossing 2: geconstateerde botnets verplicht in rekening brengen (een controlerende instantie moet dat dan dus verplichten), incl. de bijbehorende telefoontjes van de klant.
Oplossing 3: ISP’s leveren kant en klare PC’s met Ubuntu erop. Weg botnets!
Natuurlijk moet wel eerst de conclusie vallen dat botnets erg schadelijk zijn en hard bestreden dienen te worden. Zolang dat bewustzijn er niet is bij verantwoordelijke ministers en andere politici, zal er weinig of heel traag iets kunnen veranderen. Stem dus links: rechts is voor meer marktwerking (en dus meer botnets).