F-Secure doet op dit moment proeven met een nieuwe tool waarmee ISP's de pc's van klanten van afstand kunnen schoonmaken. Zo moeten botnets effectief worden uitgeschakeld. Mikko Hypponen van F-Secure zei dat tegen Webwereld in een interview op de RSA Conference in San Francisco. Hypponen wilde niet zeggen om welke ISP's het gaat, maar een van de grootste klanten van het Finse bedrijf is T-Mobile. De test wordt niet in Nederland gedaan.

Volgens Hypponen moeten ISP's de autoriteit krijgen om de pc's van eindgebruikers van afstand schoon te maken van malware zoals Zeus of ZeroAccess. Hij refereert aan de actie van de Nederlandse politie waarbij eindgebruikers een waarschuwing kregen dat zij een geinfecteerde pc hadden, dat onderdeel uitmaakte van een botnet. Die slachtoffers van het botnet Bredolab kregen een popup van de politie te zien. Daarover ontstond commotie omdat een dergelijke melding inbreuk zou maken op de persoonlijke levenssfeer van de eindgebruiker.

Sleutelrol voor ISP's

Hypponen vindt die actie van de Nederlandse politie juist goed en stelt het als voorbeeld van een werkwijze waarbij eindgebruikers betrokken worden bij het neerhalen van een botnet. “Zulke acties moeten vaker voorkomen. Daarin zie ik wel een sleutelrol voor de iSP's. Die hebben al het vertrouwen van hun klanten, staan letterlijk in direct contact en hebben de middelen om de problemen direct te herkennen en op te lossen."

F-Secure zegt de forensische technieken in het achterhalen en herkennen van malware te hebben geautomatiseerd. Inmiddels is er een betaversie van het programma Antibot uit, dat tevens door eindgebruikers zelf kan worden gebruikt. De bedoeling van F-Secure is dat het programma wordt gebruikt door ISP's, die al andere producten van het Finse bedrijf gebruiken om de internetverbinding van hun klanten schoon te houden. “We hebben niettemin te lang gedacht dat we malware moesten stoppen voordat het de pc kon besmetten. Die strijd win je dus niet. Dus nu hebben we de focus verlegd naar het verwijderen van de malware."

Eindgebruiker krijgt informatie

In eerste instantie geeft het programma de eindgebruiker een melding van de besmetting, de aard van de besmetting en wat de bedoeling is van de malware. De pc-eigenaar kan vervolgens zien wat de malware tot het moment van ontdekking al heeft gedaan, bijvoorbeeld het proberen van versturen van spam, of het stelen van wachtwoorden. Daardoor kan de eindgebruiker als nodig verdere actie ondernemen, zoals bijvoorbeeld het veranderen van wachtwoorden, nadat de pc door de software van F-Secure is schoongemaakt.

ISP's laten dus van te voren aan eindgebruikers weten wat er aan de hand is, maar als het aan Hypponen ligt krijgen die ISP's de macht om ook zonder toestemming van de eindgebruiker diens pc schoon te maken. "Het kan twee kanten op: of de eindgebruiker moet van te voren toestemming geven voor de schoonmaak, met als restrictie dat hij anders niet meer het internet op mag, of de ISP maakt zonder meer de pc schoon, Linksom of rechtsom is een dergelijke harde actie tegen botnets nodig."