De grootste overlast door botnets is afkomstig van de geïnfecteerde machines bij internetdienstverleners. Dat zegt manager ict-beveiliging Alex de Joode van LeaseWeb. Hostingpartijen zoals LeaseWeb zouden relatief weinig overlast veroorzaken.
'Geïnfecteerde machines staan altijd bij de toegangsproviders. Dat zijn de machines die verantwoordelijk zijn voor het doen van rare dingen, zoals spammen en hacken', zegt beveiligingsmanager Alex de Joode van hosting provider LeaseWeb in een interview met Computable. 'Bij de hosting partijen bevinden zich enkel de commando- en controlecenters. Die sturen de botjes aan, maar veroorzaken geen directe overlast', aldus De Joode.
LeaseWeb kwam eind oktober in het nieuws doordat in zijn datacentrum de commando- en controleservers van het Bredolab-botnet werden uitgeschakeld. Via dat botnetwerk werden virus- en spamaanvallen uitgevoerd, onder meer om bankgegevens van internetters te bemachtigen.
Pakketinspectie is te duur
LeaseWeb haalt commando- en controlecenters altijd binnen 24 uur offline. De dienstverlener doet zelf geen onderzoek naar eventuele criminele activiteiten binnen haar netwerk. 'Dat is technisch onmogelijk', aldus De Joode. 'Door ons netwerk stroomt 780 Gigabyte per seconde tijdens piekmomenten. Apparaten voor pakketinspectie kunnen maximaal 10 Gigabyte per seconde controleren. Omdat we al onze infrastructuur dubbel hebben uitgevoerd, betekent dat dat we 156 van die apparaten zouden moeten aanschaffen. Dat gaat niet, daar zijn ze veel te duur voor.'
De beveiligingsmanager vertelt dat volgens Europese richtlijnen 'hosters niet verantwoordelijk zijn voor het verkeer dat ze hosten, tot het moment dat ze worden geattendeerd op onrechtmatige handelingen die vanaf hun netwerk worden verricht. Daar komt nog een juridisch argument bij: als wij zouden beloven al het verkeer te controleren, zijn wij aansprakelijk op het moment dat er iets misgaat.'
Evenmin voert de provider controles uit op klanten die zich nieuw aanmelden: 'Onze orderverwerking is volledig geautomatiseerd. Iedereen die een PayPal-rekening heeft met voldoende saldo, kan een server- en datapakket bij ons afnemen.'
Community Outreach project
In plaats daarvan maakt de provider gebruik van tips van deelnemers binnen haar 'community outreach project'. 'Binnen dat project verstrekken we gratis servercapaciteit en bandbreedte aan organisaties die op vrijwillige basis de ip-adressen achterhalen van computers waarop commando- en controlecenters draaien van botnets. We hebben dat project begin 2010 gestart en vlak voor de zomer zijn de eerste partners voor ons aan de slag gegaan, waaronder ZeuS Tracker en HOSTexploit.'
De commando- en controleservers van het Bredolab-netwerk werden ontdekt door één van de partners binnen dit project.
Interview Alex de Joode
Lees het volledige interview met Alex de Joode van LeaseWeb.
