mboost-dp1

remora.ca

Internetudbyder advarer kunder, hvis de er inficerede med malware

- Via Ars Technica -

Det er ikke længe siden, chefen for DK-CERT, Shehzad Ahmad, foreslog, at man kunne bekæmpe udbredelsen af computere, der ufrivilligt deltog i et botnet, ved i samarbejde med internetudbyderne at overvåge trafikken fra kunderne.

I USA har den store ISP Comcast valgt at benytte netop denne metode til at reducere antallet af såkaldte zombie-computere blandt deres kunder. Ved at analysere trafikken fra kunderne kan Comcast slå fast, om kunden deltager i et botnet.

I første omgang er det kunder i Denver, Colorado, der kan opleve tjenesten. Registrerer Comcast en computer, der er en del af et botnet, så vil brugeren få en besked op på sin skærm, der fortæller, at vedkommende skal kontakte Comcast.

Kunderne skal ikke frygte, at alt deres trafik bliver gennemanalyseret. Ifølge Comcast anvender de et proxy-system, der klarer analysen uden at skulle kigge i de enkelte datapakker.





Gå til bund
Gravatar #1 - eviscerator
12. okt. 2009 12:06
Jeg synes det lyder lovende. Jeg forestiller mig at en ISP der gør dette også sparer båndbredde og dermed penge med sådan en løsning, så der kunne også være lidt motivering andet end at det ville være en god ting.
Gravatar #2 - Cyberguyen
12. okt. 2009 12:06
Hvordan får man en besked op på skærmen?

Det kræver da at man har trediepart software installeret, eller at messenger servicen i Windows er aktiv. Men den service blev jo disabled dengang man installerede service pack 2 pga. spam message angreb.

Mon ikke der hurtigt kommer nogle botter, som opsnapper de beskeder?

Bortset fra det, så synes jeg også det lyder lovende...
Gravatar #3 - myplacedk
12. okt. 2009 12:09
Det var godt nok på tide, at nogen gør noget i den stil!

Jeg har længe ment at maskiner som spytter spam eller malware ud på nettet, skal have lukket forbindelsen. Ligesom en bil der er farlig for sine omgivelser ikke må køre på vejene.

Ja, det er synd for fru jensen at hun pludselig ikke kan komme hverken i netbanken eller den lokale filial, fordi hendes forbindelse er lukket og hendes plader er klippet. Men så må hun jo få problemet løst, og overveje at få nogen med forstand på det til at kigge på hendes maskiner af og til.
Gravatar #4 - XorpiZ
12. okt. 2009 12:13
Nu har jeg ikke set beskeden, men jeg frygter lidt, at den vil drukne i al den anden spam de inficerede ofte modtager.

Jeg synes ofte jeg ser, at der popper vinduer op med falsk antivirus, falsk det ene og falsk det andet. Hvis denne besked er noget af det samme, der dukker op, så tror jeg den bliver ignoreret i stor stil.

Det kan måske redde nogen - men jeg tror personligt at et godt gammeldags brev eller et telefonopkald ville være langt mere effektivt.. omend noget dyrere for Comcast.
Gravatar #5 - Zeales
12. okt. 2009 12:18
Sådan! Et bifald her fra.
Gravatar #6 - Kedekede
12. okt. 2009 12:19
Orwell?
Gravatar #7 - decx
12. okt. 2009 12:22
#3 - Redirect port 80 til deres egen webserver - meget nemt
Gravatar #8 - Adagio
12. okt. 2009 12:26
decx (7) skrev:
#3 - Redirect port 80 til deres egen webserver - meget nemt


Hvis det er det de gør "fint" nok, men når man læser nyheden lyder det som om de vil få en msgbox til at poppe frem på brugerens computer (hvilket jeg så ikke kan se hvordan de vil have at det sker med mindre brugeren installerer noget software fra dem på computeren)... og selv om det er det som bliver gjordt (med msgbox) så ignorerer folk jo den med det samme

Hvis vi siger at de directer til deres egen specielle hjemmeside, så skal der være links derfra til steder hvor kan hente gratis software som kan fikse problemet
Man kan så sige at hvis brugeren har set den besked i flere uger uden at gøre noget ved det, så bliver brugeren smidt af nettet (lige bortset fra med adgang til de sider der kan hjælpe en) indtil problemet er løst
Gravatar #9 - loki
12. okt. 2009 12:44
#6 Men det er jo for din egen skyld! De prøver jo bare på at hjælpe! Tænk på børnene! ;)
Gravatar #10 - terracide
12. okt. 2009 12:49
#8:
Der er andre regler i USA hvis du har en internet forbindelse.
Nogle ISP kræver adgang til din PC via deres eget software...blocker du det, lukker de din linje.
Gravatar #11 - baloo
12. okt. 2009 12:53
Er jeg den eneste der ikke bryder mig om at nogen skal overvåge folks internet trafik, terrorpakken er slem nok i sig selv! (ved godt det ikke er i DK endnu)

Hvad med når systemet kommer med en falsk positiv? Jeg vil personligt være pænt træt af det, hvis jeg experimentere med noget cluster computing eller andet der vil ligne botnet trafik og jeg så får de beskeder fra min ISP...
Det er noget helt andet hvis en ISP får klager over en IP og de så reagere på det, men det er jo ikke det der ligges op til her...

Det kunne efter min mening være noget ISP'en kunne tilbyde kunderne og måske som standart var slået til, men det skal kunne slås fra gratis!

En anden løsning kunne være at ISP'erne fik fingeren ud og havde fast IP til alle kunder, så ville folk nok hurtigt finde ud af det når de fik vrøvl med at sende Email eller div. hjemmesider...
Gravatar #12 - ty
12. okt. 2009 12:59
Cyberguyen (2) skrev:
Hvordan får man en besked op på skærmen?


Det kan være de indlejrer den i en vilkårlig html-side, som brugeren henter. Eller blot omdirigerer brugeren (via DNS) til en oplysningsside.
Gravatar #13 - Decipher
12. okt. 2009 13:03
Det er da ingenting, ComX påtog sig helt selv at lukke min internetforbindelse uden varsel, da en af mine maskiner havde fået en Rustock klient indenbords. Søndag eftermiddag... uden at give mig nogen som helst besked.

Beskeden fra supporten, da jeg ringede dagen efter var, "når vi får så mange rapporter om spam, så ryger man altså af"

Det viser sig at de havde fået noget der ligner 48 meldinger fra en eller anden central tjeneste der registrerer den slags - synes måske selv det var lige i underkanten til at lukke uden varsel. Jeg har i øvrigt 3 faste IP'er, og man kunne blot have blokeret den ene... (EDIT: Det hører til historien, at Rustock klienten max havde ligget på maskinen i en uge, og at maskinen kun kortvarigt havde været tændt i perioden)

Lang historie kort, ja ADVARSEL er en fantastisk ting .. mere end det, not so much.
Gravatar #14 - duppidat
12. okt. 2009 13:13
#13 Det lyder også lidt ekstremt... Men hvis en ISP oplyser en kunde at deres pc er inficeret og der ikke sker noget i løbet af X uger så kunne man lukke uden problemer.

De der zombie PC'er der bliver udnyttet til kriminalitet og spam er jo totalt latterlige, og ikke engang ret svære at gøre noget ved hvis folk bare får besked... Jeg arbejder selv for en ISP og har foreslået dette mange gange - men det er ikke vigtigt da man ikke rigtig mister/tjener på at gøre noget ved det...
Gravatar #15 - XorpiZ
12. okt. 2009 13:14
duppidat (14) skrev:
De der zombie PC'er der bliver udnyttet til kriminalitet og spam er jo totalt latterlige, og ikke engang ret svære at gøre noget ved hvis folk bare får besked... Jeg arbejder selv for en ISP og har foreslået dette mange gange - men det er ikke vigtigt da man ikke rigtig mister/tjener på at gøre noget ved det...


Vil man ikke spare penge på det? I og med at mange af disse pc'er står og sender en fandens masse trafik, så må det da alt andet lige spare penge at lukke ned for den trafik.
Gravatar #16 - ulrikl
12. okt. 2009 13:44
Gad vide hvor lang tid der går inden der begynder at dukke popup der er lavet til at ligne teleudbyderens, men istedet opfordrer brugeren til at installere en falsk patch. Så vil alle de kære naive brugere efter at have hørt om dette nye system velvilligt indstallere patchen. Det kræver vel ikke meget arbejde at lave et script der finder ud af hvilken internetudbyder det drejer sig om..

Kære TDC-kunde, vi har hos TDC desværre mistanke om der i øjeblikket ligger noget ondsindet software på din computer. Du bedes kontakte kundeservise, eller selv løse problemet ved at køre denne (link)patch(/link).

Og med tdc logo og det hele, nøj hvor bliver den fin :)
Gravatar #17 - javamanden.dk
12. okt. 2009 14:00
Kunde hos os bliver lukket uden varsel. og bliver bedt om at få renset deres PC.
Da det belaster netværket voldsomt
Gravatar #18 - Unbound
12. okt. 2009 14:01
Personligt vil jeg nu være lidt pissed hvis der er folk der begynder at overvåge min internet forbindelse, så kan de kalde det hvad de vil, og sige det er nok så godt for mig. Jeg vil sku have mit porno i fred...

Gravatar #19 - javamanden.dk
12. okt. 2009 14:01
Det er port scanning der bliver overvåget, intet med P2P
Gravatar #20 - homer
12. okt. 2009 15:32
Syntes klart det burde være standard..
Desværre Hr Nielsen din sikkerhed er crap og det går ud over os andre, så få lige styr på lortet, så kan du logge på igen.
Også kun give ham adgang til en side med tools til rensning, med en udførlig guide. /slap hehehe
Gravatar #21 - BluepaiN
12. okt. 2009 17:16
Telenor giver allerede besked om det, hvis man har noget lort liggende på computeren, og at den først bliver åbnet igen, når det er væk.
Det er et skridt i den rigtige retning, og folk der er bange for at blive overvåget, bør lige tage den med ro. Det er jo ikke deep-packet inspection, men blot nogle ganske almindelige scans, ala som man kender det fra antivirus (heuristics).

#18
Du bliver allerede logget, jf. logningsbekendtgørelsen. Så det er sQ et fedt alligevel. Din ISP (og PET, hvis det går så langt) kan alligevel se alle de snuff-sider du har besøgt.
Gravatar #22 - TheAvatar
12. okt. 2009 19:02
#16 Man kunne jo lave siden dynamisk med kundens navn/adresse evt kundenummer, for at gøre siden mere troværdig.
Jeg vil sige bare kundens fulde navn gør meget ved troværdigheden, og den oplysning mener jeg godt man kan tillade sig at sende med ud på sådan en side.

Jeg synes også helt klart ISP'er bør gøre noget lignende dette her - problemet er, at mange af de lande der er flest problemer med (Kina, Korea, Rusland, Rumænien osv.) er dem som kommer sidst med på sådan en løsning her, om nogensinde.
Mener dog også at USA ligger godt oppe på "problemlisten", så fint de tager fat om problemet
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login