Gepubliceerd: Donderdag 10 april 2008
Auteur: Loek Essers
Storm is een schaduw van zichzelf geworden, Kracken is gewoon een andere naam voor Bobax en het grootste botnet heet Srizbi. Onderzoeker Joe Stewart bracht de botnets in kaart.
Toon volledig artikel
Waarom alleen Microsoft?
Ik mis een overzichtje van plaforms die in de botnet zitten, in de trant van bijvoorbeeld een overzicht van het type browser waarmee mensen Websites bezoeken.
Of heb je gewoon gelijk als je stelt dat het alleen maar Microsoft is?
als MS een update uitbrengt die heel veel bots eruit gooit dan mag je concluderen dat de 85000 resterende ofwel illegale kopies zijn ( waarschijnlijk) ofwel andere os sen ( waarschijnlijk) dan is de keuze dus beperkt ;)
als MS een update uitbrengt die heel veel bots eruit gooit dan mag je concluderen dat de 85000 resterende ofwel illegale kopies zijn ( waarschijnlijk)
Sociale hygiene...
Wat is de zin van jouw argument? Het doet er gewoon niet toe, het is gewoon ziek om op het spoor van legaal of illegaal te gaan zitten. Het gaat voorbij aan het probleem.
Worden de meeste vuurwapenmoorden in Nederland met legale of met illegale wapens gepleegd? Ik heb geen idee, maar ik vermoed illegaal.
Het doet er voor de doelwitten van bots niet toe of ze worden getroffen door een legale Microsoft Zombie of illegale (al dan niet verondersteld) Zombie.
De maker heeft gewoon een verantwoordelijkheid, legaal verspreid of niet.
Wat is de zin van jouw argument? Het doet er gewoon niet toe, het is gewoon ziek om op het spoor van legaal of illegaal te gaan zitten. Het gaat voorbij aan het probleem.
Ziek is wel een erg grote krachtterm, maar in essentie heb je helemaal gelijk. Daarnaast kun je ook met een illegale versie gewoon de security updates binnenhalen. Ik zou het alleen wel eens interessant vinden om te kijken hoe de verhoudingen liggen per land/ISP. Volgens mij wordt in Nederland door een aantal providers (oa. XS4ALL) actief gemonitord en afgesloten als het nodig is. Dat dit een probleem is op Windows machines mag duidelijk zijn, alhoewel ik toch ook vrees dat in de toekomst ook andere OS-en prooi zullen worden. Zeker nu de Mac in populariteit aan het winnen is (voorlopig ben ik nog safe, zolang ik niet teveel porno kijk). Ook zou ik wel eens willen weten welke aandelen er per versie zijn (9x/XP/Vista). Iemand een idee waar dat na te lezen is?
Ziek is wel een erg grote krachtterm, maar in essentie heb je helemaal gelijk.
OK, geaccepteerd. Fair is fair: U4iA+
Dat dit een probleem is op Windows machines mag duidelijk zijn, alhoewel ik toch ook vrees dat in de toekomst ook andere OS-en prooi zullen worden.
Hiervoor wil ik eerst een bewijs zien voordat ik dit accepteer. Linux kraken kan wel hoor, bijvoorlbeeld als je Joomla draait, en dat is mij gebeurd. Oplossing: Virtualisatie en een IPS ervoor.
De reden dat botnets uitsluitend uit ms-bakken bestaan, is volgens mij (al kan ik mij hierin vergissen, dan zou ms dit euvel inmiddels verholpen hebben, al betwijfel ik dat) ook en vooral doordat de ms-"firewall" (of wat er voor door wil gaan) alleen inkomende packets - min of meer - filteren, maar totaal niet de uitgaande packets en daar zit nu het probleem. En het verzenden van spam, kan niemand ontkennen, is uit gaand verkeer.
Dit nog afgezien van het feit, dat door de vrijwel geheel afwezige basis-beveiliging in ms-warez - en ook heel belangrijk: de vrijwel volstrekte onwetendheid van de meeste ms-gebruikers op het gebied van veilig surf-gedrag - botnets uitsluitend uit ms-bakken bestaan...
De kans dat ms ooit echt effectief het uitgaande verkeer van hun systemen zouden gaan filteren lijkt mij vrij onwaarschijnlijk, omdat dat de ingebouwde trojans, control/censor/spywarez e.d. van ms zelf dan mogelijk ook niet meer zou werken...
Bovendien heeft ms er geen enkel belang bij, om hun spullen ooit echt veilig te maken, als zij dat al zouden kunnen en dat denk ik van niet. Dan zou namelijk niemand meer die "verplichte" upgrades naar een "geheel nieuwe systemen" nog nodig hebben... De gewone ms-marketeering dus, niet nieuws onder de zon.
Bij (heel onaangename) "grapjes", zoals spam verzenden, maakt het ook helemaal geen enkel verschil via welke port dit gebeurt, denken dat men veiliger zou zijn door slechts bepaalde ports af te sluiten/niet te gebruiken is echt een illusie. Aangenomen dat het afsluiten van ports onder ms-warez al echt zou kunnen, zo'n systeem kan de "afgeloten" ports als het wil zo weer openen...
Het heeft nog wel zin om ports beneden de 1024 niet vanaf de WWWeb toegankelijk te maken, behalve dan - indien men services wil verlenen aan de WWWeb - ports zoals b.v. 80 (http), enz. Gebruik ook liever geen ms-IM e.d., dit geeft altijd een gat in de beveiliging - of nog veel beter zelfs: gebruik helemaal geen warez van ms...
Iedere port is voor ieder soort van packet-transport te gebruiken - of meent er nog iemand serieus dat spammers e.d. zich aan het door ms of wie dan ook "voorgeschreven" gebruik van ports zou houden ?? Yeah, right...! ;-)
Of heb je gewoon gelijk als je stelt dat het alleen maar Microsoft is?
Als je stelt OS dan zeg ik Ja.
Als je stelt browser, dan zeg ik Nee.
Exploits komen ook voor via Opera en Firefox. Daarnaast is één van de grootste boosdoeners 3rd party applicaties, zoals Adobe Flash (vandaag nog via advertenties op USA Today) en Reader, QuickTime, RealPlayer, Java, etc. Probleem is dat mensen wel Windows Update draaien, maar vergeten de andere applicaties. Adobe Reader staat bijna op elke PC en vaak staat updates hiervoor uit en gebruikt men nog een oude versie van 6 of 7. Flash staat zowat op elke PC (Windows/Mac/Linux) en is daarom bijna het grootste gevaar. De patchdrift van Adobe is ook al niet om over naar huis te schrijven...
Het beveiligingslek in Flash waardoor een onderzoeker Windows Vista wist te hacken, is 10 dagen na het evenement door Adobe gepatcht, maar was al sinds 7 februari bij het bedrijf bekend. Op 29 maart demonstreerde Shane Macaulay tijdens de PWN to OWN wedstrijd zijn exploit. Uit de advisory blijkt echter dat een andere onderzoeker de kwetsbaarheid al in februari aan het Zero Day Initiative (ZDI) had gemeld, waarna Adobe werd ingelicht. Adobe laat wel weten dat alle platformen kwetsbaar zijn. Vanwege het grote aantal machines dat over Flash beschikt, is de kwetsbaarheid zeer interessant voor cybercriminelen. Gebruikers wordt daarom dringend aangeraden zo snel mogelijk de patch te installeren.
tegenwoordig nog 'slechts' de vijfte plaats op de bot-lijst
Wat is vijfte ?
Kom op zeg mijn spellingchecker in mijn browser geeft al een rood streepje!!
Als zulke botnets/virussen een poort open hebben staan, misschien is het dan een idee voordat mail servers email accepteren dat ze dan kijken of die poort open is bij de zender. Zoja dan komt die client op een algemeen blacklist. Zo'n blacklist zou niet alleen voor email moeten gelden maar voor alle poorten en protocollen. Dit gaat alleen werken als de applicatie op een poort draait dat niet op een standaard poort draait bijvoorbeld 25, 21 of 80 enz maar het is zeker een idee.
Het verbaast me eigenlijk dat er al een aantal oplossingen voor het mailprobleem zijn bedacht, maar geen enkele echt goed werkt. Goed, er zijn altijd mogelijkheden, maar als ik spam krijg van m'n eigen emailadres van een ander IP dan mijn eigen IP's dan moet het toch simpel zijn om dit op een hoger plan te trekken. (reverse lookup toestanden)
De meeste bots maken zelf een uitgaande verbinding naar (vaak) een private IRC-server en daar wachten ze op commandos die op het kanaal van de irc-server worden 'gesproken'. De meeste thuis-PC's zijn helemaal niet rechtstreeks te benaderen b.v. door firewalls en NAT-routers en dat hoeft dus ook niet als de PC, de client, zelf een weg naar buiten baant. Dat valt ook nog eens niet op. Een ISP kan dus niet eens zien dat een klant geinfecteerd is. Dat begint pas op te vallen als de PC spam begint te versturen. En ook dat is moeilijk te detecteren als de spam met 'mate' wordt verstuurd. Zoals 1 bericht per minuut. Dat verstuurt de uplink-capaciteit niet en als 50.000 PC's dat simultaan doen heb je nog steeds een fikse stroom spam.
Lokaal is zo'n bot ook erg moeilijk te detecteren, als je zelf "netstat -n" op je PC uitvoert dan zie je allerlei verbindingen. (zoals naar je spam/virus-filter, openstaande http-verbindingen en elke zoveel tijd je mailprogramma wat de post aan het ophalen is)
Voor de meeste gebruikers is dat al abracadabra dus die zien die verbinding naar een ip-adres poortje 6881 niet eens als kwaadaardig.
Tenzij je regelmatig een virus/malware/trojan scanner draait (elke dag) kun je dergelijke grappen opmerken (en verwijderen). Verder is het natuurlijk logisch dat je met een up-to-date virusscanner welke je mail en downloads controleert je vrijwel onmogelijk slachtoffer kan worden.
Uitgaande verbindingen naar IRC-servers van botnets worden door XS4ALL wel actief gemonitord. Het is me bij een klant al eens overkomen dat de ADSL-verbinding in quarantaine is gezet vanwege die irc-link. Spam is er niet verstuurd (want poort 25 staat daar naar buiten toe dicht, en via de interne mailserver is er niets verzonden), maar toch hadden ze iets gedetecteerd.
Die netstat -n output is overigens ook niet betrouwbaar als je een trojan op je pc hebt staan. Dan ziet dat er keurig uit, want een beetje trojan verbergt zichzelf.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 22 maart 2008
3 jaar geleden: 22 maart 2007
4 jaar geleden: 22 maart 2006
5 jaar geleden: 22 maart 2005
6 jaar geleden: 22 maart 2004
11 jaar geleden: 22 maart 1999
IDG Nederland is uitgever van: ChannelWorld, CIO, Computer!Totaal, GameZ, Gadget, Computerworld, ITworld, MacWorld, Techworld, Tips & Trucs, Webwereld, Zoom.nl en ADSL!Totaal.nl
Meer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
