mboost-dp1

CSIS Security Group A/S

CSIS vil udbygge den danske DNS-blokering

- Via EPN.dk - , redigeret af Net_Srak , indsendt af bbb2020

I Danmark er der indført blokering af en række udenlandske hjemmesider, heriblandt The Pirate Bay og AllOfMP3, men står det til sikkerhedsfirmaet CSIS, så bør listen over blokerede sider udvides. Det skriver Computerworld.

CSIS ser gerne, at listen kommer til at indbefatte domænenavne, der er blevet identificeret til at være blevet oprettet af kriminelle, med det ene formål at bruge dem til kriminelle formål.

Flere af sådanne domæner anvendes for eksempel af malware, der skal kommunikere tilbage til bagmændende, enten for at aflevere opsamlet data eller for eventuelt at få instrukser, der kan føre til installation af ny malware.

Jan Kaastrup, teknisk direktør hos CSIS til CW skrev:
Hvis man blokerer for samtlige kendte domænenavne, der benyttes til malware, så afbryder du kommunikationen til de it-kriminelle, og du forhindre samtidig malwaren i at muterer sig, hvis de it-kriminelle eksempelvis forsøger at opdatere malwaren.

På spørgsmålet om hvorvidt forslaget vil øge internetcensuren i Danmark, så mener Kaastrup ikke, at blokering af domæner, der kun har kriminelle formål, vil være censur.





Gå til bund
Gravatar #1 - kimsondergaard
5. mar. 2013 10:23
Ja nu ved jeg ikke om det blot er mig, men den så kaldte DNS "blokering" hjælper da ikke ret meget, hvis man har viden nok til at benytte anden DNS så som den elskede 8.8.8.8/8.8.4.4. Så selvfølgelig for den alm hjemme bruger vil denne muligvis beskytte en smule mere, but stil internettet skal være frit og ikke cencureres, dog tænker jeg dette kunne være en mulighed at slå til/fra for de forskellige ISP'er.

Ved ikke om det blot er mig der har denne tanke ?
Gravatar #2 - Mnc
5. mar. 2013 10:26
Så hvad han siger, er...

så mener Kaastrup ikke, at blokering af domæner, der kun har kriminelle formål, vil være censur.


Riiiiiight.
Gravatar #3 - Kofoj
5. mar. 2013 10:33
Hvornår har DNS-blokering nogensinde virket? Alle ved jo hvordan man omgår det, og man må jo gå ud fra, at de såkaldte "IT-kriminelle" har et vidensniveau til at lave en service, der gør DNS-blokering værdiløs - fx pirateproxy.

Hvem bestemmer i øvrigt hvilke domæner der skal blokeres? Lad os gætte på at de såkaldte "antipirater" får ret stor indflydelse.
Gravatar #4 - vooze
5. mar. 2013 10:39
Jamen perfekt, hvad så når de begynder at tilføje alle mulige forkerte sider til filtret?

Og hvem skal som #3 siger, styre det? For hvis det er anti pirat hovederne, så sker dette jo bare: http://torrentfreak.com/should-bogus-copyright-tak...

Nej hvad med vi prøvede at lære folk allerede i folkeskolen noget KILDE KRITIK.. Så var vi også uden om facebook spam (læs give away apple lort), ingen indtastede sine kreditkort oplysninger på siden uden HTTPS osv. osv.
Nu er dette selvfølgelig bare en drømme verden, da der altid vil være folk som er komplet idioter så snart noget har med strøm at gøre.
Gravatar #5 - kasperd
5. mar. 2013 10:47
kimsondergaard (1) skrev:
dog tænker jeg dette kunne være en mulighed at slå til/fra for de forskellige ISP'er.
Det ville være en udmærket idé. Dog er det lidt tricky at understøtte. Og den løsning f.eks. OpenDNS har valgt har en del huller.

Det en udbyder kunne gøre var at sætte forskellige puljer af DNS servere op. En pulje af rekursive DNS resolvere uden nogen form for fusk. Derudover et antal puljer af forwards der blot forwarder forespørgsler til de rekursive resolvere og laver filtrering.

Udbyderne tilbyder så en håndfuld forskellige muligheder og for hver mulighed har de en pulje på tre IP adresser, man kan sende sine DNS opslag til.

De kan så have en simpel opsætningsside, hvor man med en enkelt radioknap kan vælge hvilken af puljerne man vil have oplyst gennem DHCP.

Det kunne laves endnu smartere med IPv6.

Brugte man IPv6 kunne man route et /64 prefix til hver forwarder. Så kan den have en separat IP adresse per bruger. Gennem en webside kan man vælge alle de filtre til og fra som man synes og forwarderen får dernæst at vide hvilke af filtrene der skal bruges på den specifikke IP adresse.

På den anden side, med IPv6 har man heller ikke brug for dynamiske adresser, og hvis man bruger statiske adresser, så kan forwarderen bruge klientadressen til at vide, hvilken bruger det er.

Dog ville løsningen med at bruge serveradressen gøre det muligt at have flere profiler og på hver enkelt computer vælge hvilken man ønsker at bruge.

Kofoj (3) skrev:
Hvornår har DNS-blokering nogensinde virket? Alle ved jo hvordan man omgår det
Det er ligegyldigt i denne sammenhæng. Der er jo stor forskel på at lave et filter som tjener brugernes interesse og et filter som i stedet forsøger at tilfredsstille udenforstående tredjeparter.

Det er nemt for brugerne at omgå DNS blokering, men hvorfor skulle man gøre det, hvis blokeringen tjener brugernes interesse?
Gravatar #6 - Montago.NET
5. mar. 2013 10:47
fordi... IT kriminelle ved jo intet om at omgå DNS blokkeringer ?

*host* TOR *host*
*host* VPN *host*
*host* lokal dns *host*
*host* hosts filer *host*
Gravatar #7 - Remmerboy
5. mar. 2013 10:52
Montago (6) skrev:
fordi... IT kriminelle ved jo intet om at omgå DNS blokkeringer ?

*host* TOR *host*
*host* VPN *host*
*host* lokal dns *host*
*host* hosts filer *host*

artiklen handler ikke om it kriminelle der surfer rundt på nettet, men almindelige borger der ikke skal tilgå kriminelle hjemmesider (f.eks. phising sites).

on:
det næste csis, eller et anden instans, siger, at hjemmeside med ekstreme udtalelser skal blokeres. nå nej, der er nogen der allerede har ytret at det burde ske
Gravatar #8 - gramps
5. mar. 2013 10:55
Mnc (2) skrev:
Så hvad han siger, er...

så mener Kaastrup ikke, at blokering af domæner, der kun har kriminelle formål, vil være censur.


Riiiiiight.


Hvis en side i en retssal er dømt ulovlig er det ikke censur.

Kaastrup ødelægger i øvrigt sine egne dokumenter flere gange i kilden. Han er blandt andet inde på at malware kan have sin egen DNS-service, så den spørger ved f.eks. OpenDNS i stedet for ved teleselskabets DNS.
Gravatar #9 - atrox
5. mar. 2013 11:07
CSIS er ikke en "instans" men en privat virksomhed. De vil UTROLIGT gerne spille med musklerne og agere autoritet indenfor IT-sikkerhed.

Det er da KLART at de er fortalere for DNS censur og Deep-packet inspection. De er jo igang med at etablere sig selv som super know-it-alls indenfor IT sikkerhed.

Se på den sidste uges kampagne de har kørt sammen med TV2:
Scan din computer
Danskerne er under angreb
Du bliver hacket


Skræmmekampagne af VÆRSTE skuffe. Et plattenslagerfirma uden lige, hvis eneste formål er at skræmme danskerne til at kaste deres penge efter dem. Føj, føj og ekstra føj! De skræmmer sig vej ind i danskernes bevidsthed som værende internettets beskytter, politi og dommer.

Selvfølgelig taler CSIS for blokering og censur. Hvem skal mon vedligeholde disse lister over "kriminelle" sider? Jo hvad med et firma med et smart 4 bogstavers navn der prøver at ligne en IT sikkerheds instans og i mange danskeres bevidsthed allerede er det. Det er da en MÆGTIG idé at lade et privat firma kontrollere det danske internet. ALLE TIDERS CSIS!

Yderligere, malware der "muterer"... Get a fucking grip CSIS tåber.


On topic:
DNS blokering af kriminelle sider... Jeg ved næsten ikke engang hvor jeg skal begynde...

Hvem beslutter om en side er kriminel?
Er en side kriminel hvis den spreder malware?
Er en side kriminel hvis den er blevet hacket, og så spreder malware?
Er malware automatisk, uanset formål, kriminelt?
Hvad er malware helt præcist?
Hvem beslutter om malware er tilstrækkeligt "mal" til at blive kriminelt?


Jeg er træt, uendeligt træt, af private virksomheder der ingen midler skyr for at tjene penge. Skide være med informationsfrihed og dermed ytringsfrihed. Pisser løs på internettets fremtid for at tjene til Porsche nr. 4. Vammelt.
Gravatar #10 - El_Coyote
5. mar. 2013 11:23
Tja hvor mange linier kode kræver det for malware udvikleren at omgå det?
Når han er inde på PC'en, så skal der bare køres et replace primær dns med 8.8.8.8 script. Blokering fjernet, problem solved.
Gravatar #11 - Jakob Jakobsen
5. mar. 2013 11:29
#1

Så når du får en besked "Denne side er blokeret, da den indeholder malware", skynder du dig med at ændre din hosts fil eller din DNS, så du kan komme ind på siden?

Og dem der har problemer med malware osv. er sjældent de personer der kan finde ud af ovenstående.
Gravatar #12 - cnr
5. mar. 2013 11:54
Hvorfor blokere? Hvad med en simpel advarsel ala "Siden du prøver at tilgå er markeret som værende brugt til kriminelle formål. Ønsker du at fortsætte?"

Så har den ikke-IT-kyndige en chance for at få paraderne op, når han tror han er på vej ind på hans netbank, plus at du minimere skaden ved fejlregistreringer
Gravatar #13 - Nize
5. mar. 2013 11:55
Fantastisk idé - som de vil tjene på.

Der findes sjovt nok heldigvis netop noget man kan ligge ind på IP niveau i sin firewall, som løser præcis den opgave - på en endnu bedre måde end CSIS's - og så er den ganske gratis:

Spamhaus's DROP list (Dont Route Or Peer) som kun indeholder menneske-godkendte kriminelle-only IP adresser - kører med den flere steder, og det reducerer masser af spam, og stopper en masses C&C chatter.

http://www.spamhaus.org/drop/

CSIS bud her er bare pinlig grim markedsføring af eget produkt for ussel mammon.

Det bedste er at det er helt frivilligt om man vil ligge den på - men jeg er dævlme glad for den.
Gravatar #14 - HenrikH
5. mar. 2013 11:55
Remmerboy (7) skrev:
men almindelige borger der ikke skal tilgå kriminelle hjemmesider (f.eks. phising sites).

Såsom det der fancy stads der popper op i min browser når jeg bruger Googles DNS?

Den der advarsel om at der er detekteret malware på et site så og så ofte indenfor den sidste tid - og en "omgå spærring"-knap, min mor i hvert fald aldrig ville finde (og der ud over aldrig ville klikke på).
Gravatar #15 - chult
5. mar. 2013 12:38
#6 Host* N00b Host*
Gravatar #16 - Æblemos
5. mar. 2013 13:36
DNS blokkeringer hjælper *INTET* mod malware (som der umiddelbart snakkes om i Newz artiklen).

netsh interface ip set dns "Local Area Connection" static 8.8.8.8

^ Og så er censuren fuldstændigt omgået. Meget malware bruger også hardcoded IP'er, så de bliver aldrig ramt.

Hvad angår domæner brugt til spam og diverse snyd, så vil man jo altid være et skridt bagud. Det hjælper ikke meget at DNS censurere, når man ALTID vil være et skridt bagud.
Gravatar #17 - cnr
5. mar. 2013 14:10
>#13

Problemet er bare, at når det kræver en aktiv handling fra dig som bruger for at slå det til, så er det netop de brugere, der mest har brug for det, der ikke får slået det til..
Gravatar #18 - kasperd
5. mar. 2013 14:12
El_Coyote (10) skrev:
Tja hvor mange linier kode kræver det for malware udvikleren at omgå det?
Malware skal blokeres inden det kommer ind på computeren. Hvis computeren ikke kan downloade malwaren på grund af blokeringen, så kan du skrive nok så mange linjer kode i malwaren til at omgå blokeringen, det vil ikke hjælpe.

Hvis malwaren ikke kan omgå blokeringen før den er downloadet og malwaren ikke kan downloades før blokeringen er omgået, så er den trussel væk.

cnr (12) skrev:
Hvad med en simpel advarsel ala "Siden du prøver at tilgå er markeret som værende brugt til kriminelle formål. Ønsker du at fortsætte?"
Det er ikke teknisk muligt at lave gennem DNS. Det kunne gøres af browseren. Og det kan nok også gøres med et browser plugin i flere browsere.

HenrikH (14) skrev:
Såsom det der fancy stads der popper op i min browser når jeg bruger Googles DNS?
Kan du give et eksempel?
Gravatar #19 - LaMaH
5. mar. 2013 18:09
DNS blokering er jo så satans genialt og effektivt, så satans effektivt!
Gravatar #20 - Mulpacha
5. mar. 2013 21:33
@#9 - atrox
Det føltes næsten lige så godt at læse det som hvis jeg havde skrevet det selv :D - er helt enig.

Kan godt lide at du kalder deres opførsel "Vammelt".

Definition på vammel:
http://da.wikipedia.org/wiki/Vammel skrev:
Vammel er et tillægsord, som anvendes om personer som enten hygiejnisk, seksuelt eller sprogmæssigt ikke opfører sig ordentligt. Ordet kan også anvendes i forbindelse med mad, som ikke ser særlig indbydende ud. Hvis man, eksempelvis, indtager for meget tequila, kan udfaldet også blive vammelt
Gravatar #21 - Fanatiskfanboy
5. mar. 2013 21:57
Er det ikke også bare det Kina gør?
Altså blokerer malware og spam (oppositionssludder)?

Lad os endelig få mere beskyttelse (censur).
Utroligt hvordan man kan fordreje ting ved at overveje formuleringen.
Gravatar #22 - Martinius
5. mar. 2013 22:56
Hmm er der overhovedet nogle virus programmører der ikke kan finde ud af at tilgå en server via en ip, hvilket vil gøre dns blokkering ubrugeligt !!! Det er da et vildt kompetent it sikkerheds firma det der CSIS ?
Gravatar #23 - LordC
6. mar. 2013 09:23
Det er da klart, at det er nemt for mange at omgå sådan et filter, men mon ikke det mest er ment som en hjælp til de folk, som IKKE kan omgå filteret og måske er mere naive i deres færden på nettet? Min mormor ville da i hvert fald ikke kunne omgå filteret, og hun ville nok heller ikke kunne gennemskue om hendes netbank nu var den rigtige eller en oprettet af kriminelle.
Gravatar #24 - afogh
6. mar. 2013 10:00
De mener det sikkert godt, men når man ser på hvad der er sket af pis siden de indførte børnepornofiltret så er jeg godt nok glad for at jeg frit kan vælge en anden DNS udbyder ;)
Gravatar #25 - Screek
6. mar. 2013 11:14
10 år frem i tiden, kigger vi tilbage på de her tider og tænker "det var starten på internet censur" .... for det er jo hvad det er.

Det er fandme trist at ting som dette bliver gjort, og jeg er ikke i tvivl om at det kun er starten.
Gravatar #26 - stekkurms
7. mar. 2013 20:13
Screek (25) skrev:
10 år frem i tiden, kigger vi tilbage på de her tider og tænker "det var starten på internet censur" .... for det er jo hvad det er.
Er det ikke snart 10 år siden der blev indført "frivillig" censur af Internettet for hovedparten af den danske befolkning?
Gravatar #27 - kasperd
13. mar. 2013 21:27
kasperd (18) skrev:
HenrikH (14) skrev:
Såsom det der fancy stads der popper op i min browser når jeg bruger Googles DNS?
Kan du give et eksempel?
Skal det manglende svar fortolkes sådan at du ikke har noget eksempel?

At svarene skulle være troværdige var et af grundprincipperne da Google Public DNS blev designet. Indtil jeg ser dokumentation for andet vil jeg formode at det stadigvæk er tilfældet. Så længe det princip følges kan der ikke laves noget fancy ved opslag af phishing sites.
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login