Vanaf het voorjaar van 2011 is er mogelijk een Botnet Internet Exchange (BOTN-iX). Deze gaat internet service providers (ISP's) informeren over de ip-adressen van commando- en controleservers van botnets. Wanneer ISP's deze cybercrime servers 'in quarantaine plaatsen' zal dat de activiteiten van internetcriminelen ernstig hinderen. Dat hopen althans drie initiatiefnemers uit de provider-branche.
Het drietal heeft een stichting opgericht en subsidie aangevraagd bij het Ministerie van Binnenlandse Zaken voor een anderhalf jaar durend experiment. De Botnet Internet Exchange (BOTN-iX), zoals het botnetbestrijdingscentrum gaat heten, moet ip-adressen uitwisselen van botnetcommando- en controleservers, vertelt initiatiefnemer en Erik Bais, die directeur is van een zakelijke provider.
Internet service providers kunnen het verkeer naar deze ip-adressen vervolgens blokkeren. Dat gebeurt op vrijwillige basis, zo benadrukt stichtingsvoorzitter Bais.
Abuse-afhandeling
De stichting achter BOTN-iX hoopt de criminelen achter botnets op deze manier een stapje voor te zijn: 'Het duurt vaak even voordat een bot instructies krijgt van een commando- en controleserver. Via BOTN-iX kunnen besmette pc's gedetecteerd worden voordat ze overlast geven.'
'Abuse-afhandeling wordt nu door veel providers nog gezien als een sluitpost. Het levert geen geld op. Daardoor wordt het, vooral bij kleine providers, slecht of niet uitgevoerd. Maar als je het botnetprobleem negeert, wordt het probleem alleen maar groter.'
Commando- en controleservers
De kracht van het initiatief is volgens Bais dat het internetcriminelen aangepakt 'precies waar het pijn doet', namelijk in hun portemonnee: 'Hoe meer pc's er aangestuurd worden door een commando- en controleserver, hoe meer er mee te verdienen valt.'
Bais erkent dat criminelen, zodra ze merken dat internetverkeer naar hun servers wordt geblokkeerd, waarschijnlijk de locatie van hun commando- en controleservers zullen wijzigen. Dat kan volgens hem worden opgelost door de lijsten met ip-adressen ' op regelmatige basis' bij te werken.
De locatie-informatie over botnet-servers wil BOTN-iX overigens verzamelen via 'allerlei organisaties die deze online publiceren.'
DDOS-aanvallen
Behalve dat ISP's met via BOTN-iX kwaadwillende commando- en controleservers in 'quarantaine' kunnen plaatsen, kunnen ze bovendien klanten gericht benaderen om hen te waarschuwen dat hun pc geïnfecteerd is.
Die klanten zijn zich er volgens Bais 'vrijwel nooit van bewust dat zij onderdeel zijn van een botnet. Maar ze lopen daardoor wel gevaar. Behalve dat hun pc ongevraagd misbruikt kan worden voor DDOS-aanvallen en spam-zendingen, bestaat ook het gevaar dat criminelen wachtwoorden afvangen, bijvoorbeeld voor internetbankieren.'
Financiering
Bij het Ministerie van Binnenlandse Zaken is inmiddels een subsidie aangevraagd, waarmee volgens Bais gedurende anderhalf jaar 'twee à drie' werknemers zouden kunnen worden betaald. 'Daarmee kunnen we bewijzen dat het systeem werkt.'
Mocht BOTN-iX in de eerste anderhalf jaar succesvol blijken, dan hoopt de stichting erachter hierna financiering te kunnen ontvangen vanuit de private sector. Die zou bijvoorbeeld kunnen komen uit het bankwezen. 'Banken zijn nu veel geld kwijt aan fraude met credit cards. Wanneer onze stichting ook maar een tiende van al die gevallen kan voorkomen, is dat al een enorme besparing.'
ISP’s
Volgens Bais heeft hij tot nu toe veel positieve reacties van ISP's gekregen. Maar ja zeggen, betekent niet dat ze zich ook daadwerkelijk aansluiten op BOTN-iX.'
De positieve reacties zijn volgens hem mede te danken aan de onafhankelijkheid van de stichting. 'Het bestuur is heel duidelijk over de doelstelling van de stichting: we bestrijden alleen commando- en controlecentra van botnets en de kwaadaardige effecten van malware. We lenen ons niet voor het blokkeren van andere zaken, zoals bijvoorbeeld Piratebay, WikiLeaks of kinderporno sites.'
