Internetaanbieders moeten niet worden verplicht om elke met malware geïnfecteerde machine binnen hun netwerk aan te pakken. Dat zegt professor Michel van Eeten van de faculteit Techniek, Bestuur & Management van de Technische Universiteit (TU) Delft. Volgens hem willen providers graag besmette machines aanpakken, maar hebben ze tegelijkertijd bedrijfseconomische redenen om dat niet op grote schaal te doen.
Welke bedrijfseconomische mechanismen ontmoedigen providers om malware te bestrijden?
ISP's opereren allemaal onder dezelfde, weinig gunstige marktpositie: consumenten kopen voornamelijk op basis van prijs internettoegang. Dat maakt dat die partijen elkaar ook op prijs beconcurreren. Daardoor moeten ze heel voorzichtig zijn met het in quarantaine plaatsen van klanten.
Als een klant een provider één of twee keer per jaar belt, is de hele winstmarge op die klant weg. En als jij klanten in quarantaine plaatst, dan gaat een deel van hen je bellen. Dat is een incentive tegen het opschalen van botnetbestrijding. Desondanks zie je wel degelijk sterke verschillen in de hoeveelheid ellende die providers in hun netwerk herbergen. Dat betekent dat ze niet alleen gedomineerd worden door prijscompetitie.
Dus het is ook, in bedrijfseconomische zin, belonend voor providers om wel iets aan aan malware te doen?
Ja. Als je helemaal niks doet, dan krijg je veel tegenmaatregelen, van andere providers en van derden. Als jouw ISP-netwerk spam naar buiten stuurt en jij doet niks, dan verschijnen er steeds meer brokken van jouw netwerk op black lists. Gebruikers gaan dat dan merken, omdat hun mail niet meer doorkomt. En als je echt een heel beroerde ISP bent, dan neemt niemand je mailverkeer nog aan.
Dat is een Nederlandse ISP bijvoorbeeld in 2007 overkomen. Die had geen goede drempel gecreëerd voor het aanmaken van webmail-accounts. Het gevolg was dat Nigeriaanse spammers honderden accounts aanmaakten. Blijkbaar heeft die provider niet snel genoeg gereageerd, en toen is al het uitgaande verkeer op de blacklist gezet. Al hun klanten kregen foutmeldingen in hun inbox en gingen bellen. Op één dag kwamen er zo'n dertigduizend telefoontjes binnen, à acht euro per gesprek. Dat duurde een paar dagen, dus dat liep behoorlijk op. Die provider is daar heel erg van geschrokken. Dat is hem sindsdien niet meer overkomen
Recent onderzoek van uw hand heeft aangetoond dat providers cruciaal zijn bij de bestrijding van netwerken van met malware geïnfecteerde machines. Het ministerie van Economische Zaken heeft u gevraagd een vervolgonderzoek te doen. Waar gaat dat over?
We gaan specifiek onderzoek doen naar de Nederlandse markt: hoe groot is het probleem in Nederland, hoe verhoudt het probleem zich tot andere landen, en hoe verhouden de Nederlandse ISP's zich tot elkaar. Bovendien gaan we het onderzoek aanvullen met extra data: behalve ip-adressen van spambots, gaan we ook adressen verzamelen van met Conficker besmette machines. En we voegen data toe van het Amerikaanse SANS-instituut, onder meer van bots die zijn betrokken bij DDOS-aanvallen.
Omdat we dan drie bronnen hebben kun je iets robuuster zeggen over welke getallen we het eigenlijk hebben. Potentieel, we weten niet hoever we daarmee komen, kun je dan benchmarken. Als je van elke ISP ook de klantaantallen kent, dan kun je uitrekenen hoeveel geïnfecteerde machines je ziet per klant. In oktober brengen we rapport uit en verzorgen een technische workshop voor de veertien providers die vorig jaar een convenant afsloten om kennis en informatie over geïnfecteerde pc's te gaan delen, om op die manier botnetwerken sneller op te merken. Ons onderzoek is een belangrijk agenda-item voor hun botnetwerkgroep. En het geeft EZ de mogelijkheid om te kijken: doen die providers ook wat ze beloven?
Hebben de providers dan kwantitatieve beloften gedaan over het bestrijden van botnets?
Nee, in het convenant staan alleen een paar vrij algemene zinnen. De vraag is op: welke schaal doen ze dat.
Is het probleem wel oplosbaar?
Laten we eens beginnen het convenant serieus te nemen. Als providers er bijvoorbeeld in slagen quarantaines zo in te richten dat klanten minder snel bellen, dan kun je wel degelijk je bestaande inspanning opschalen binnen de bestaande incentive-structuur. Ik vind ook niet dat wij die ISP's moeten verplichten – of zelfs maar moeten verwachten van ISP's – dat zij elke geïnfecteerde machine aanpakken.
De ISP's veroorzaken dit probleem niet: ze besmetten die machines niet en het zijn ook niet hun machines. Het is evident dat er grenzen zijn aan wat je zo'n partij kunt vragen. Maar het is ook onzinnig om niets te vragen. Dat vinden providers zelf ook.
Gaat uw onderzoeksgroep vervolgens EZ adviseren over een plan van aanpak?
Nee, dat gaat EZ zelf bedenken. Wij doen alleen maar aan fact finding. Normatieve conclusies zijn voorbehouden aan EZ.
Michel van Eeten
Michel van Eeten is hoogleraar Bestuurskunde, in het bijzonder op het gebied van de governance van infrastructuur, aan de Technische Universiteit (TU) Delft. Sinds ongeveer tien jaar doet hij in opdracht van Economische Zaken onderzoek naar de continuïteit van, en de beveiligingsrisico's rond, nutsvoorzieningen zoals watersystemen, telecom en energie. Een jaar of zes geleden kwamen daar internetdiensten bij.
In 2009 vroeg de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO) hem om de incentives van internet service providers (ISP's) en andere marktspelers in kaart te brengen om malware te bestrijden. In 2010 kwam er een vervolgopdracht op dat onderzoek van het ministerie van Economische Zaken: om het aantal geïnfecteerde machines te meten binnen de netwerken van Nederlandse internet service providers.
Behalve wetenschapper is van Eeten ook weblogger op Bijzinnen.com en schrijver. In 2008 verscheen zijn eerste roman: Tegennatuur.
ISP moeten gewoon doen waar ze goed in zijn.. internet leveren aan hun klanten. Het is de isp haar verantwoordelijkheid “de digitale puin” te ruimen bij hun klanten thuis.
Of als ISP’ er toch geld aan willen verdienen, ga een nieuw product ontwikkelen zoals “STERIEL INTERNET”:
Een domme client-terminal server solution, waarin klanten alleen kunt surfen via een virtaul desktop bij je ISP. 100% schoon, gemonitord, geen privacy meer, maar wel SCHOON INTERNET 🙂
Het ligt aan Microsoft, met hun gammele OS die al die botnets ondersteunt.
Verder: als een ISP eenmaal weet dat een PC gebotnet is, dan hoeft de ISP och niet direct de hele PC uit te sluiten van internet? Je blokkeert dan alleen ’t betreffende internetverkeer en stuurt gelijk een brief (op kosten van die klant) met aanbevelingen en info, zoals een virusscanner installeren of Ubuntu installeren.
Dat een paar telefoontjes naar een ISP die ISP geld kost: dat vind ik maar een vreemde redenatie. Als ’t evident is dat de klant een botnet heeft, dan kunnen (moeten) die betreffende telefoonkosten gewoon doorberekend worden aan die klant.
Als een enkel telefoongesprek gemiddeld 8 euro kost, dan doe je waarschijnlijk ook iets fout op dat punt…
@mm:
Een botnet is niet OS afhankelijk, het is ronduit naïef om een oorzaak bij een software leverancier te leggen.