DK-CERT: Blokering er en sidste udvej

Klumme: Hvis et botnet giver store problemer, kan man som en sidste udvej blokere for trafikken fra de inficerede pc'er, skriver Shehzad Ahmad i denne måneds klumme.

Af
Publiceret d. 30. marts 2009 kl. 10.57 | Antal kommentarer (6)
Send Tip en ven Print Udskriv


Annonce:
 
ANNONCE:
 

Tastatur topfoto
Læs mere:

Rapporten "Botnät: Kapade datorer i Sverige" (PDF-format).

Artikel fra Computer Sweden: "PTS: Stäng av de smittade.

 
 
I Sverige overvejer myndighederne at blokere for trafikken fra pc'er, der er inficeret med botnetsoftware.

Det fremgår af rapporten "Botnät: Kapade datorer i Sverige" fra Post- och telestyrelsen.

Jeg blev glad, da jeg hørte om den anbefaling. Den er nemlig helt i tråd det, som vi skrev i DK-CERT's Trendrapport 2008.

Her anbefaler vi, at internetudbyderne ved lov forpligtes til at samarbejde om at opdage, varsle om og afværge it-kriminalitet.

Flere grader
Den svenske rapport understreger, at blokering af trafikken fra en brugers pc er et alvorligt skridt, som kun skal tages i særligt alvorlige tilfælde.

Forfatterne gør opmærksom på, at der kan være flere grader af blokering.

Man kan for eksempel spærre for det meste trafik, men tillade adgang til et websted, hvor brugeren kan hente sikkerhedssoftware og få renset sin pc.

En anden mulighed er, at internetudbyderne opretter et nyt produkt: En tjeneste, hvor der på forhånd kun er åbnet for de tjenester, de fleste brugere har behov for.

Ifølge rapporten er nogle udbydere positive over for tanken, men de frygter, at kunderne vil opfatte den begrænsede tjeneste som et ringere produkt.

Derfor vil den blive svær at markedsføre.

Fortsættes ...
« forrige side
1 2
»










Kommentarer - Debatoversigt


Endelig
6 indlæg

Ser det ud til at der er nogen der vil gøre noget ved problemet.

Fin ide at internet udbyderne spærrer adgangen for inficerede computere og kun vil give adgang til en side som forklarer at man har virus/spyware/botnet på sin maskine og giver link til at rense lige netop den type man har på maskinen. Efter endt rensning kunne man så passende lave det så man skal indtaste sin adgangskode eller en kode man kunne få døgnet rundt via en voiceboks og som var individuel fra gang til gang og så få genoprettet forbindelsen....Som så kunne scannes endnu engang for at se om malwaren var væk.

Samtidigt kunne man lave al SMTP kommunikation "opt-in" istedetfor idag hvor det enten er opt-out eller slet ikke kan ændres.

Hvis alle de brugere som reelt ikke har brug for at kunne sende mails direkte fik deres port 25 spærret og de folk som gerne af den ene eller anden grund gerne ville have åbnet kunne få det nemt så ville 99.9% af alle brugere jo ikke kunne bruges nær så nemt som spam-relay's / spam senders.

Det burde også være i internetoperatørernes interesse at få spærret af for disse ting da de genererer en helvedes bunke trafik.

Henrik Madsen

30. marts 2009 kl. 12.11
Anmeld Besvar
Peder Vendelbo Mikkelsen
Henrik Madsen skrev:
Hvis alle de brugere som reelt ikke har brug for at kunne sende mails direkte fik deres port 25 spærret og de folk som gerne af den ene eller anden grund gerne ville have åbnet kunne få det nemt så ville 99.9% af alle brugere jo ikke kunne bruges nær så nemt som spam-relay's / spam senders.


På de fleste internet-opkoblinger i DK er der idag ikke mulighed for at tilslutte til en ekstern server på port 25, andre end internet-udbyderens. I sin tid købte jeg en erhvervsforbindelse til dels for at slippe for denne begrænsning (på det tidspunkt synes jeg det var sjovt at lære forskellige mailløsninger at kende og havde behov for uhindret adgang til internettet).

Jeg synes det er lidt underligt forslag som DK-CERT kommer på bane med, men det er jo nok for at få udvidet deres arbejdsområde, økonomi og charge, for den måde som denne slags problemer normalt klares på er ved at man tager kontakt til uplink så tæt på hjertet af botnettet som muligt og får lukket forbindelsen der (af og til kommer der informationer om det på NANOGs mailingliste (som er en sammenslutning af nordamerikanske netværksoperatører), men det meste trafik om det er flyttet til mailinglister som man skal inviteres til for at få adgang til).

Så vidt jeg husker er US-CERT med i arbejdet, og en række andre landes CERT-organisationer, men de arbejder vistnok på en helt anden måde end DK-CERT (bl.a. med en udstrakt grad af "frivillig" arbejdskraft fra større virksomheder).

Det er meningsløst at blokere trafikken fra en klient, for hvis den får at vide at den maskine i den anden ende den gerne vil snakke med ikke er der, eller ikke kan navneopløses, sender den slet ikke mere trafik (med mindre botten er kodet af den mest tumbede programmør som ikke kender det mindste til hvordan et netværk virker).

30. marts 2009 kl. 13.56
Anmeld Besvar

Allan Olesen
Det er meningsløst at blokere trafikken fra en klient,


Det er måske meningsløst i det enkelte tilfælde, men jeg mener ikke, at det er meningsløst i en større sammenhæng.

En stor del af ansvaret for botnet ligger hos de PC-ejere, der lader sig inficere uden at tage tilstrækkelige forholdsregler. Hvis det bliver almindeligt at få frataget sin internetadgang i tilfælde af infektion, vil flere måske tage deres ansvar alvorligt.

30. marts 2009 kl. 17.39
Anmeld Besvar

Michael Nielsen
Allan Olesen skrev:
Det er måske meningsløst i det enkelte tilfælde, men jeg mener ikke, at det er meningsløst i en større sammenhæng.

En stor del af ansvaret for botnet ligger hos de PC-ejere, der lader sig inficere uden at tage tilstrækkelige forholdsregler. Hvis det bliver almindeligt at få frataget sin internetadgang i tilfælde af infektion, vil flere måske tage deres ansvar alvorligt.


Så må man jo gøre det nemmere, jeg er en ganske erfarn computer bruger (skull jeg gerne være som IT-konsulent), men forleden fandt jeg en trojan på min computer, hvordan den var kommet forbi mit forsvar aner jeg ikke, men det var den, hvordan opdagede jeg den.

1. Min virus scanner.
- nø, den indikerede ikke noget.

2. Min mail scanner
- nø heller ikke noget.

3. Gentagende scans med microsoft's sikkerheds scanner.
- nø heller ikke.

Men der var noget underligt med maskinen, noget jeg ikke kunne definere.

Så pludsligt fand miscrosoft's sikkerheds scanner noget, som den defineret som udefinieret, muglig trussel, men den kunne ikke fjernes.

Hvordan fjernede jeg den så, jo jeg bootede maskine til linux, nulstillede hele harddisken (bare lige for at være sikker), og gen-installerede windows igen (min spille computer). Men nu virker microfon ingangen ikke længere, uanset hvad jeg gør med driverne, lydkortet fungere suboptimalt, og reagere på både harddisk aktivitet, og grafisk aktivitet.. Så jeg blev nød til at skift lydkortet ud.

Hvordan forventer du at hr. og fr. jensen skal havde bare den mindste chance for at holde deres systemer sikret ?

Ansvaret ligger hos producenterne af software som gør det nærmest umuligt at køre et system på en sikret måde, og selvom om du tager alle mulige forholds-regler, så kan det smutte noget igennem, som ingen af de sikkerhedsprogrammer som 99% af folk kender kan finde.

30. marts 2009 kl. 18.00
Anmeld Besvar

Michael Nielsen
Notere jeg jagted dette system problem i godt og vel 2 måneder før at microsoft sikkerheds scanner endelig kunne identificere der var noget inde på maskinen.

Jeg troede der var noget galt med en driver et eller andet sted.

Så jeg aner virkeligt ikke hvordan nogen kan mene at hr. og fr. Jensen bare skal tage ansvar for at sikre deres maskiner ordenligt!

30. marts 2009 kl. 18.04
Anmeld Besvar

Allan Olesen
Du skriver meget om scannere. Du skriver ikke noget om, at du havde gjort noget for at sikre maskinen. Kan du uddybe?

31. marts 2009 kl. 00.57
Anmeld Besvar

Kommentér
Log ind | Ny bruger
Titel:

Ytringer på debatten er afsenders eget ansvar - læs debatreglerne

Forsiden lige nu

Galleri: De fedeste håndholdte gennem 40 år
Her har du de mest banebrydende håndholdte computere gennem alle tider.
25. maj 2012 kl. 16.04 | læs »

Min Mac er under angreb - Apple skal tage det alvorligt
Klumme: Angrebet fra Flashback viser, at Apple nu må tage sikkerheden på Mac alvorligt, skriver Shehzad Ahmad fra DK-CERT i sin månedlige klumme
25. maj 2012 kl. 14.30 | læs »

Overblik: Masser af danske IBM-folk sendt hjem
Overblik: Få overblikket over IBM Danmarks store fyringsrunde.
25. maj 2012 kl. 15.30 | (2) | læs »

Landmænd låst fast til konkursramt bredbånds-firma
Landbrugsorganisation er godt sur i skralden over, at landmænd i randområder skal bestille bredbånd hos konkursramt firma.
25. maj 2012 kl. 14.04 | (2) | læs »



Mest læste på Computerworld:
»
Stortest: Her er de bedste gratis antivirus-programmer

»
Så er det nu: IBM sætter 198 mand på porten

»
SAS dropper 34 år gammelt it-system i gigant-projekt

»
Her er forklaringen på IBM Danmarks massefyringer

»
IBM Danmark fyrer 170 mand

»
It-studerende afslører kæmpe CPR-sikkerhedshul



Seneste debat:

»
Overblik: Masser af danske IBM-folk sendt hjem | (2)
»
Landmænd låst fast til konkursramt bredbånds-firma | (2)
»
Derfor findes Microsoft Office ikke til iOS og Android | (7)
»
Mobil-producenter strides om dit næste SIM-kort | (4)
»
Boot-tider: Hvor lang tid må det tage på din pc? | (11)
»
Microsoft: Sådan afliver vi genstarts-løkke i Windows | (4)







 
Navnenyt fra it-danmark
Vis alle »
Steen Vestergaard - ej til avis!
Steen Vestergaard - ej til avis!
Jakob Damgaard Lund
Jakob Damgaard Lund
Gert Steffen Møller
Gert Steffen Møller
Lars Lytton Kejser
Lars Lytton Kejser
Betina Lundsbjerg
Betina Lundsbjerg

Torben Gade
Torben Gade
Ekaterina Bakhbava
Ekaterina Bakhbava
Pernille Gaustad
Pernille Gaustad
Jesper Sebbelin
Jesper Sebbelin
Jan Thorsø
Jan Thorsø


 
White papers
Opbyg tillid og fortjeneste online med internetgarantimærker
En stor procentdel af forbrugerne er stadig tilbageholdende med at bruge kreditkort på...
Er du beskyttet mod truslerne fra nettet?
Dette white paper vurderer det aktuelle trusselsniveau fra nettet i dag. Dets konklusioner er...
BrugerPortal for 'Glemte passwords' til AD, SAP, AS400
FastPass Password Manager tilbyder en integreret løsning, hvor brugerne kan administrere og...
Alle whitepapers »

 

Få nyhedsbrevet

Med Computerworlds nyhedsbreve er du altid orienteret om it og it-branchen
Partnerlinks

Webhotel

Computer

Bærbar

Digital TV

RSS fra Computerworld

Få besked så snart Computerworld opdateres



Mest læste seneste uge

Stortest: Her er de bedste gratis antivirus-programmer
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Læs mere

Så er det nu: IBM sætter 198 mand på porten
Næsten 200 IBM-ansatte får med få timers varsel sidste arbejdsdag i dag. Ingen var orienteret forud for dagens massefyring, som effektueres øjeblikkeligt.
Læs mere

SAS dropper 34 år gammelt it-system i gigant-projekt
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
Læs mere

Her er forklaringen på IBM Danmarks massefyringer
Her er forklaringen på, at IBM Danmark med direktør Lars Mikkelgaard-Jensen i spidsen fyrer 170 medarbejdere.
Læs mere

It-studerende afslører kæmpe CPR-sikkerhedshul
To danske it-studerende har udviklet et program, der kan suge kundernes CPR-numre ud af teleselskaberne.
Læs mere