TDC hjælper gerne til i sikkerhedskampen, men der er en klar grænse.
Sådan lyder meldingen fra TDC's tekniske sikkerhedschef, Lars Højberg, efter at sikkerhedsekspert Peter Kruse fra CSIS i sidste uge fortalte Computerworld, at han mener, at der er behov for nye våben i kampen mod de it-kriminelle og deres botnet.
"Vi gør selvfølgelig en del, for vi har jo også en interesse i at holde vores net rent og reducere bot-pc'erne i vores net - og den effekt, de måtte have," siger sikkerhedschef Lars Højberg.
Det anslås, at der alene i Danmark er et sted imellem 90.000 og 100.000 aktive zombier, der indgår i botnet. Et botnet kan blandt andet anvendes i DDoS-angreb - Distributed Denial of Service - hvor de inficerede computere bruges til at sende så massive mængder trafik til en udvalgt internetserver, at den går ned.
Den allestedsnærværende spam udspringer ofte også fra et botnet.
ISP'erne sidder med nøglen
De danske internetudbydere kan være et effektivt våben i bekæmpelsen ved for eksempel at spærre for de såkaldte 'command and control'-servere, som zombie-pc'erne kommunikerer med i et botnet.
I Australien har internetudbyderens organisation IIA netop foreslået, at udbyderne i langt højere grad skal skride ind, hvis kunders computere er inficeret med malware.
Det skal i sidste ende medføre, at forbindelsen bliver afbrudt, hvis kunden ikke reagerer på råd om at fjerne den ondsindede software.
I Holland udarbejder ISP'erne lister over domæner, som man ved kun er oprettet med det formål at kontrollere inficerede maskiner i et botnet - og spærrer herefter for adgangen til disse.
For landets største internetudbyder, TDC, er kampen mod botnet vigtig - men det samme er den gældende lovgivning, forklarer teknisk sikkerhedschef Lars Højberg.
"Der er nogle retningslinier for, hvad en internetudbyder må gøre, og vi kan ikke tillade os at overvåge en kundes maskine, og hvad der er af aktivitet på sådan en maskine. Det må vi simpelthen ikke," siger han.
TDC: Sådan gør vi
Det betyder dog ikke, at TDC er fuldstændig handlingslammet, forklarer Lars Højberg.
Specielt i bekæmpelsen af spam har teleselskabet god mulighed for at reagere på problemer i eget net.
"Kommer der spam fra vores net, går det ud over vores omdømme - og i værste fald kan det betyde, at der er mailservere ude i verden, der ikke vil kommunikere med vores mailservere. Det vil sige, at vi ikke kan komme af med mails fra vores mailservere."
Lars Højberg forklarer, at TDC med baggrund i den problemstilling forsøger at dæmme op for den mængde spam, der udsendes fra de bot-pc'er, der er i TDC's eget net.
"Det er vigtigt for mig at sige, at vi på ingen måder overvåger vores kunder pc'er. Men vi kan få at vide fra andre internetudbydere ude i den store verden, at der fra lige præcis denne kunde-pc i vores net bliver der sendt rigtig meget spam ud."
Han uddyber, at det for eksempel kan være en internetudbyder i USA, der fortæller, at man inden for den seneste time har modtaget 200.000 spam-mails fra en pc i TDC's netværk.
"I den slags situationer kan vi simpelthen være nødt til at handle med det samme og blokere for, at denne her pc i vores net kan sende ud fremadrettet. Men det vil altid være, fordi vi bliver orienteret udefra om, at der kommer en voldsom mængde spam fra en pc i vores net."
Konkret går TDC så ind og laver en såkaldt port 25-blokering, hvilket betyder, at en pc ikke kan sende spam direkte ud på internettet.
"Det er sådan en slags best practice, og det har vi delvist rullet ud i vores net på nuværende tidspunkt," forklarer Lars Højberg.
Står og falder med dommerkendelse
Internetudbyderne kunne dog rent teknisk sagtens gå et skridt videre i bekæmpelsen af botnet ved at blokere for de command and control-servere, som inficerede computere i botnet kommunikerer med.
"Teknisk kan man godt gøre det, hvis man har kendskab til, hvad det er for nogle command and control-servere. Men vi blokerer jo ikke for websider eller IP-adresser ude på nettet, medmindre vi har en dommerkendelse," lyder det fra Lars Højberg.
Han tilføjer, at der kan være nogle tilfælde, hvor man er nødt til at blokere af hensyn til driftsstabiliteten i nettet, men ellers sker det kun, hvis der ligger en dommerkendelse. Det er heller ikke tilstrækkeligt at TDC får et tip om en sådan server - det skal komme fra en instans med en eller anden form for myndighed.
"Vi kan ikke på nogen som helt måde reagere på informationer fra en privat virksomhed," siger teknisk sikkerhedschef Lars Højberg fra TDC.
En række af de danske internetudbydere stiftede i 2004 ISP Sikkerhedsforum, der har til formål at 'styrke udbydernes bidrag til indsatsen mod virus, orme, hackerangreb og spam.'
Sikkerhedsekspert Peter Kruse efterlyste i sidste uge i Computerworld en endnu mere aktiv indsats fra ISP'ernes side.
"Jeg synes, at det er et glimrende initiativ, at man begynder at gribe det an lidt mere systematisk og begynder at lave modeller for, hvordan man i ISP-sammenhæng kan sætte sådan noget her op, så man kan begrænse antallet af bot-maskiner," lød det blandt andet fra Peter Kruse om de hollandske og australske ISP-initiativer.
Både han og Shehzad Ahmad, chef for DK Cert, udtalte dog samtidig, at det er helt afgørende, at man kan garantere, at man kun blokerer for servere, hvis det er 100 procent sikkert, at de tjener et ulovligt formål.
