Nederlandse internetproviders nemen maatregelen als ze zien dat de computers van abonnees besmet zijn, maar hoe weten ze dit nu precies en wat wordt er vervolgens gedaan? Security.nl sprak met Niels Huijbregts, woordvoerder van XS4ALL. "Vorig jaar hebben bijna alle providers een afspraak gemaakt over het bestrijden van botnets. Daarin is afgesproken dat ze klanten waarschuwen voor infecties als ze daar vanaf weten en ook maatregelen nemen."
De manier waarop providers dit doen kan echter verschillen. Zo waarschuwt Ziggo de klanten per brief, terwijl XS4ALL belt en een e-mail stuurt. "Dat telefoontje zien we als de primaire manier van waarschuwen, omdat daarmee de kans veel groter is dat de betreffende klant de informatie op tijd krijgt. Bellen wordt bovendien door klanten als veel klantvriendelijker ervaren."
De grootste vraag blijft hoe een provider weet dat je malware op je computer hebt staan. Huijbregts maakt duidelijk dat XS4ALL hiervoor niet naar het internetverkeer van de klanten kijkt. Aan de hand van een systeem genaamd 'Trusted Complainers' worden klachten over klanten verzameld.
Die klachten zijn bijvoorbeeld afkomstig van organisaties zoals The Shadowserver Foundation, die botnets monitort. Maar ook een systeem van 'aggregated firewalls' en feedback loops van grote maildiensten worden gebruikt om te zien of iemand besmet is. Met name spam speelt een belangrijke rol als identificatiemiddel van besmette pc's, omdat de meeste spam vanaf geïnfecteerde computers afkomstig is, laat Huijbregts weten. "Als er spam vanuit het XS4ALL-netwerk komt kun je met 99,99% zekerheid zeggen dat het om een besmet systeem gaat."
Walled Garden
XS4ALL probeert klanten zoveel mogelijk informatie te verstrekken, waaronder het soort malware dat is aangetroffen. "In het geval van botnetbesmettingen kunnen we bijna altijd goed aangeven om welke malware of malware-familie het gaat. We waarschuwen pas als we voldoende informatie hebben en we dus vrijwel zeker weten om welk probleem het gaat."
Zodra de provider een besmette klant waarneemt, wordt het IP-adres van de klant in een Walled Garden geplaatst. Een afgeschermd deel van het netwerk dat klanten naar een waarschuwingspagina leidt waarop staat dat ze besmet zijn, aangevuld met een verwijzing naar de mailbox waar aanvullende informatie en instructies wachten.
Aangezien klanten een vast IP-adres hebben komt het niet voor dat mensen ten onrechte in de Walled Garden belanden, omdat ze het IP-adres van een andere, besmette gebruiker krijgen, laat Huijbregts weten.
Vertrouwen
Om uit de Walled Garden te komen moeten klanten melden wat ze gevonden hebben. XS4ALL werkt nu aan een nieuw Walled Garden systeem dat een check uitvoert op de systemen die in de Walled Garden staan. Daar wordt niet op de computer gekeken, maar wat voor verkeer er van de systemen afkomstig is. In het geval een bepaald Trojaans paard via een bepaalde poort verbinding probeert te maken, kan dat worden gemonitord.
"Zover zijn we nog niet. Nu zijn we afhankelijk van wat klanten ons vertellen en moeten we erop vertrouwen dat de klant het verholpen heeft." Daarbij vraagt de abuse-afdeling wel om een log van de virusscanner.
Verwijdertools
In de e-mail die XS4ALL stuurt staan links naar meerdere gratis verwijdertools en scanners. "We gaan er in eerste instantie vanuit dat het opnieuw installeren van een systeem niet nodig is. Dat is nogal een ingrijpende oplossing. Als het niet nodig is, dan liever niet." In de meeste gevallen zouden de aangeraden verwijdertools en scanners voldoende zijn om de infectie te verwijderen.
Huijbregts erkent dat er ook hardnekkige gevallen zijn waarbij het nodig is om het systeem opnieuw te formatteren. "Soms omdat het heel hardnekkig is en soms omdat klanten geen zin hebben om verder te zoeken." De provider adviseert klanten dat ze wel een back-up van hun belangrijke gegevens moeten maken. "Maar geen volledige back-up, anders hebben ze de malware ook weer terug."
Morgen het tweede deel van het interview met Huijbregts (staat nu online)
Bron: http://www.security.nl/