Een belronde langs ISP's leert dat de bereidheid om zich aan te sluiten op BOTN-iX laag is. BOTN-iX is een internetknooppunt in oprichting die providers gaat informeren over de ip-adressen van commando- en controleservers van botnets. Wanneer ISP's deze cybercrime servers 'in quarantaine plaatsen', zou dat de activiteiten van internetcriminelen ernstig hinderen. Providers zeggen echter al lang over de benodigde botnet-informatie te beschikken en voorzien daarnaast privacyproblemen als BOTN-iX doorgaat. Bovendien kleven er technische bezwaren en risico's aan een internetknooppunt voor botnetbestrijding, aldus hoogleraar Michel van Eeten van de TU Delft. Zijn analyse wordt bevestigd door een studie uit 2004 door de London Internet Exchange.
Volgens ingewijden zou het ministerie van Binnenlandse Zaken op het punt staan een subsidie van 900.000 euro toe te kennen aan de stichting achter BOTN-iX. De bereidheid van providers om zich aan te sluiten op BOTN-iX lijkt echter vooralsnog laag.
XS4All: geen behoefte
Een woordvoerder van XS4all: 'Ik vind het een wat wonderlijk initiatief, waar XS4all op het eerste gezicht geen behoefte aan heeft. We hebben geen tekort aan informatie. We hebben in de zomer van 2009 met een groep grote providers, die samen zo'n 90 procent van de markt vertegenwoordigen, het botnet-convenant ondertekend. In dat convenant is afgesproken informatie uit te wisselen over botnets. Die samenwerking loopt goed. We hebben inmiddels een heel overzichtelijk en compleet beeld van alle botnetbesmettingen. We komen regelmatig bijeen en wisselen best practices uit op het gebied van onder meer de communicatie met klanten en de gebruikte tools.'
Intiatiefnemer van BOTN-iX Erik Bais bestrijdt dat ISP's voldoende inzicht in botnetbesmettingen hebben. Volgens hem blijkt uit recent onderzoek door de TU Delft dat providers slechts één op de tien besmettingen ontdekken.
KPN staat ‘niet in de rij’
Ook KPN staat 'niet in de rij' om zich aan te sluiten op BOTN-iX. Dat vertelt Gert Wabeke, die vanuit KPN in de botnetwerkgroep zitting heeft. De provider heeft daarvoor twee reden. Ten eerste ziet KPN de bestaande botnet-werkgroep 'als de belangrijkste as waarlangs we in samenwerking met andere providers de botnetbestrijding willen verbeteren'.
Daarnaast heeft KPN twijfels bij de technische oplossing van BOTN-iX. 'De initatiefnemer van BOTN-iX heeft voor de werkgroep botnet een presentatie gegeven. Daaruit bleek ze de inhoud van het berichtenverkeer willen scannen, om zo te achterhalen welke ip-adressen commando en controleservers herbergen. Dat is een inbreuk op de privacy, waartegen KPN ernstige bezwaren heeft. We zijn geïnteresseerd in alle intiatieven om botnets te bestrijden, maar de door BOTN-iX gehanteerde methode heeft bij ons toe nog toe veel vraagtekens opgeworpen.'
Bais bestrijdt dat BOTN-iX het berichtenverkeer zou scannen.
Technische beperkingen aan BOTN-iX
'Het idee klinkt sympathiek, maar de meeste grote providers hebben al gemeld de dienst niet te gaan gebruiken. Dan bouw je iets waar geen vraag naar is, eigenlijk', zegt ook Michel van Eeten. Hij is hoogleraar bestuurskunde aan de faculteit Techniek, Bestuur & Management van de Technische Universiteit (TU) Delft en onderzoekt in opdracht van het ministerie van Economische Zaken de botnetbesmetting per provider.
Daarnaast ziet van Eeten 'technische beperkingen': 'De kans dat botnets werkelijk worden belemmerd lijkt me klein. BOTN-iX kan niets doen tegen botnets die fast flux of peer-to-peer technieken gebruiken. Zelfs de botnets die klassieke commando- en controleservers gebruiken, ontkomen makkelijk aan deze vorm van verstoring. Er hoeft namelijk maar een enkele server niet geblokkeerd te worden om te blijven functioneren. En er ontsnapt altijd wel iets. De lijsten die BOTN-iX wil gebruiken zijn zelden of nooit volledig en up-to-date. Dan heeft het geen zin dat je veel servers wel blokkeert. Met andere woorden: de gedachte dat alle beetjes helpen gaat niet op. Het blokkeren zal ondertussen wel bijschade veroorzaken. Op een hosting server staan soms vele honderden websites. Als een van die websites meewerkt in de aansturing van een botnet, zal BOTN-iX al die honderden websites tegelijk blokkeren. Beheerders en gebruikers van die site zullen niet begrijpen waarom de site niet bereikbaar is.'
Bais: 'Zoals de heer Van Eeten vermeldt, zal BOTN-iX niet alle vormen van botnet's honderd procent kunnen afvangen en dat is ook niet het doel. Het uiteindelijke doel is om de besmette PC's in de netwerken van ISP's te identiciferen en deze op te schonen. Zelfs zombie's in fast-flux netwerken kan je blokkeren.'
Blackhole Policy Announcement Service
De analyse van Van Eeten wordt bevestigd door een studie uit 2004 door de London Internet Exchange. Een Britse overheidsorganisatie, NISSC, die belast was met het beschermen van de nationale infrastructuur tegen digitale aanvallen, stelde in 2004 een soortgelijke dienst voor: de Blackhole Policy Announcement Service. Het plan was om websites waarvandaan criminele activiteiten plaatsvonden te blokkeren voor internetgebruikers.
Een consultatieronde onder providers door de London Internet Exchange, wees echter op een aantal mogelijke problemen. Zo zou het, concludeerde de organisatie achter het Britse internetknooppunt, vrijwel onmogelijk zijn om bijtijds te reageren op verplaatsingen van commando- en controleservers. Daarnaast zouden zelfs nieuwe risico's ontstaan: kwaadwillenden zouden kunnen besluiten de informatiedienst zelf aan te vallen. 'Elke deelnemende ISP zou de directe controle over hun netwerken in handen geven van dezelfde geautomatiseerde dienst. Dat is een inherent gevaarlijke actie', aldus het rapport.
Botnetbestrijding via handhaving
Ook beveiligingsadviseur Rik Ferguson van antivirusleverancier Trend Micro vertelde eerder in een interview met Computable dat het uitschakelen van commando- en controleservers niet de manier is om botnets uit te schakelen: 'Je kunt een botnet vergelijken met Hercules die de de veelkoppige slang Hydra bestrijdt: je kunt het niet uitschakelen door de koppen er af te slaan. Sla er één hoofd af en er zullen twee nieuwe groeien. Dat is het probleem met botnets. Je moet dus een andere manier vinden.' Volgens Ferguson zijn daarbij drie bouwblokken belangrijk: 'handhaving, een proactieve opstelling van internet service providers en internationale harmonisering van wetgeving.'
“Je moet dus een andere manier vinden.’ Volgens Ferguson zijn daarbij drie bouwblokken belangrijk: ‘handhaving, een proactieve opstelling van internet service providers en internationale harmonisering van wetgeving.”
Hier wordt teveel uitgegaan van symptoonbestrijding i.p.v. het aanpakken van de oorzaken van botnets.
1: Handhaving is, alhoewel wel nodig, voornamelijk symptoonbestrijding.
2: Een proactieve opstelling van ISP’s komt er alleen als de voordelen de nadelen overschrijden. En dat is wellicht minder snel ’t geval dan je denkt: zeker als een ISP vooral naar zijn eigen huishoudboekje moet kijken en inherent niet zoveel belang heeft in botnetbestrijding.
3: Internationale harmonisering van wetgeving: zolang er verschillende geloven en zolang er grote (economische/culturele) verschillen zijn tussen landen/continenten, komt daar niet zoveel van terecht. Het kan wel, maar is héél-lange termijn. Verder is ook dit grotendeels slechts symptoonbestrijding. Pak liever de *oorzaken* aan, zoals: verbiedt die besturingssystemen die keer op keer lek blijken te zijn. Open Source OS’sen blijken keer op keer -tig malen veiliger te zijn. Stimuleer/subsidieer die.
Overige oorzaken aanpakken: protocollen en methoden verbeteren – ook hier door zoveel mogelijk openheid en transparantie toe te passen. Als een qua beveiliging verbeterd protocol/methode eenmaal daar is: dan de oudere protocollen/methoden afbouwen en op een gegeven moment gewoon verbieden/stopzetten/niet langer toelaten op de netwerken/systemen.
Over het geheel bekeken over lange duur, is symptoonbestrijding in dezen gewoon duurder, arbeidzamer, onveiliger, privacy-schendiger. Net zoals zovaak in het algemeen, wanneer je symptoonbestrijding vergelijkt met ’t aanpakken van oorzaken.
Klinkt meer als een aktie van de overheid om controle te vergaren op alle dataverkeer.
Volgens mij is die tijd voorbij, dat kan niet niet meer en dat willen we niet meer.
Wij wensen niet gereguleerd te worden door een overheid welke zijn eigen emails print.
Maar als de overheid graag wil dweilen met de kraan open zijn er andere projecten te noemen waar we meer aan hebben dan hier 900K in te storten.