Dagelijks bereiken ons verschillende pers- en nieuwsberichten – de een relevanter dan de ander – waar we een selectie uit maken. We kunnen helaas niet overal over schrijven. Dat is jammer, omdat er veel nieuws afkomstig van bedrijven in de branche is, dat interessant is voor de ISPam.nl lezers. Voor al dat nieuws is de rubriek ‘Nieuws uit de branche’.

In de vierentwintigste editie van Nieuws uit de branche:

• Ziggo stelt NAW-gegevens alleen beschikbaar na opdracht van rechter
• LeaseWeb stelt Vincent Steenhuis aan als Sales Manager
• SPAMfighter: elk seizoen z’n eigen spam
• IS Interned Services op zoek naar hét ICT Murphy Moment
• EDPnet stopt haar website in een nieuw jasje

Om in de volgende editie van Nieuws uit de branche te komen, kan nieuws gemaild worden naar redactie@ispam.nl (inclusief url waar wij heen kunnen linken!). Daarnaast houden we ook verschillende andere bronnen in de gaten.

De NL-ix blijft groeien. In de nieuwste editie van haar nieuwsbrief kondigt de internet exchange aan Leaseweb als 250e klant aangesloten te hebben.In totaal nemen deze klanten nu 677 switchpoorten af in 38 verschillende datacentra verspreid over 17 steden in Nederland.

Met de aansluiting van Leaseweb en de mijlpaal van 250 klanten blijft de NL-ix voorlopig verzekerd van een plek binnen de top-5 van wereldwijde internet exchanges. Momenteel verwerkt de NL-ix circa 75 Gbit data. Om de groei te kunnen bijwerken heeft de directie van de NL-ix dan ook besloten meer te investeren in netwerkapparatuur. Om op korte termijn te kunnen uitbreiden is gisteren een bestelling geplaatst voor 14 nieuwe switches.

De keuze daarbij is gevallen op Brocade (voorheen Foundry) switches. Op de corelocaties zal gebruik worden gemaakt van een MLX-32. Op kleinere locaties zet de NL-ix MLX-16 switches in en in kleine regionale datacentra worden klanten op een MLX-8 aangesloten. Nieuw aangesloten datacentra zijn Datahouse in Alkmaar en SmartDC in Rotterdam.

Een 19-jarige jongeman B. die de Nederlandse providers Argeweb en LeaseWeb bedreigde met een DDoS-aanval en deze later ook uitvoerde is veroordeeld tot 15 maanden gevangenisstraf.

De reden om de providers te bedreigen en te DDoS-en was het feit dat deze de websites www.turkishplace.nl en www.turkplace.nl hosten. B. eiste dat de providers deze websites uit de lucht zou halen. Toen dat niet gebeurde voegde B. de daad bij het woord en voerde de DDoS-aanvallen uit.

Door de aanvallen werden de servers waar de websites op draaien slecht bereikbaar. Bij Argeweb had het netwerk ook te lijden onder de aanval, terwijl bij LeaseWeb de grote netwerkcapaciteit de aanval kon opvangen, meldt nu.nl.

Daarnaast is B. ook veroordeeld voor het stelen van een lijst met creditcard nummers door middel van een SQL-injection aanval (hacking) en het misbruik van deze creditcard nummers om bestellingen te doen.

Uit de overwegingen bij de veroordelingen van de rechtbank blijkt dat zijn aanval hem zwaar wordt aangerekend, zie de overwegingen bij de veroordeling:

Door aldus te handelen is een grove inbreuk gemaakt op het nog steeds toenemende economische belang van de informatie- en communicatietechnologie en het grote maatschappelijke belang van het internet en daarmee samenhangende toepassingen, zoals het elektronische betalingsverkeer.

Hoewel de verdachte deze feiten binnenshuis, vanachter zijn computer, kon plegen en dus niet feitelijk in woningen of bedrijven hoefde in te breken, is de gemaakte inbreuk op rechten van derden niet minder groot. De rechtbank rekent het de verdachte zwaar aan dat hij zich niet heeft bekommerd om de schade en overlast die hij aan de benadeelden heeft toegebracht.

De rechtbank is van oordeel dat dit ernstige feiten zijn waarvoor in beginsel een gevangenisstraf van geruime duur moet worden opgelegd.

De rechtbank veroordeelde B. daarom tot 15 maanden gevangenisstraf, waarvan 5 maanden voorwaardelijk. Lees het volledige vonnis hier.

Dagelijks bereiken ons verschillende pers- en nieuwsberichten – de een relevanter dan de ander – waar we een selectie uit maken. We kunnen helaas niet overal over schrijven. Dat is jammer, omdat er veel nieuws afkomstig van bedrijven in de branche is, dat interessant is voor de ISPam.nl lezers. Voor al dat nieuws is de rubriek ‘Nieuws uit de branche’.

In de elfde editie van Nieuws uit de branche:

• InterNLnet viert 15-jarig bestaan
• OPTA: 39 waarschuwingen voor overtreden spamverbod
• MKB laat kansen liggen op het gebied van VoIP
• Kinderpornofilter LeaseWeb technologisch gereed, politie nog niet
• Minkels lanceert virtual datacenter
• InterConnect Dakar Team haalt 14.000 euro op voor goede doel

Om in de volgende editie van Nieuws uit de branche te komen, kan nieuws gemaild worden naar redactie@ispam.nl. Ook houden we het nieuwsoverzicht op zusterwebsite ISPGids.com in de gaten (met een rss-feed wordt nieuws automatisch ingelezen) en verschillende andere bronnen. In principe wordt alles dat wij nieuwswaardig vinden opgenomen.

LeaseWeb heeft in samenwerking met Dell, Microsoft en EvoSwitch een ‘uiterst energiezuinige’ dedicated server omgeving getest en geïmplementeerd. De dedicated server omgeving bevindt zich vooralsnog in de bètafase. Wie akkoord gaat met specifieke voorwaarden en geen probleem heeft met het experimentele karakter, kan de servers nu al met korting uitproberen.

De ‘Ultra Green Dedicated Servers’ zijn ondergebracht in een private suite in het EvoSwitch datacentrum. Door gebruik te maken van een specifieke koelopstelling, bepaalde energiezuinige servers en afstemming tussen verschillende systemen kunnen de koelcompressoren het hele jaar uit blijven staan.

“De dedicated server opstelling heeft volgens onze berekeningen in potentie een Power Usage Effectiveness van 1,1, wat beduidend lager is dan de huidige PUE van 1,5 binnen de algehele datacenteromgeving van EvoSwitch,” zegt Thorsten Einig, Product Manager bij hostingprovider LeaseWeb en lid van het R&D-team. “Een PUE van 1,1 betekent dat de serveropstelling 90 procent zuiniger opereert dan een traditionele serveropstelling met ‘gewone’ koeling.”

Na een half jaar lang testen blijkt dat de servers stabiel draaien. Nu is volgens LeaseWeb de fase aangebroken om het aantal klanten in de omgeving te verhogen, om op die manier de energievoordelen verder te optimaliseren. Het is namelijk algemeen bekend dat de voordelen toenemen naar gelang een toename van het aantal gebruikers.

Klanten die gebruik willen maken van de servers kunnen met korting instappen. Wie dat doet, moet wel instemmen met specifieke voorwaarden, waarin hij er mee akkoord gaat dat er nog verder met de omgeving wordt getest en de risico’s die daar aan verbonden zijn accepteert:

The ‘energy friendly cooling environment’ described above is currently in an experimental phase, whereby further tests are required – and being performed – to ascertain and enhance the reliability and stability of the environment, as well as to further enhance the efficiency of the environment. Accordingly there is or may be an elevated risk of service interruptions or outages in comparison to services that are provided in a more traditional and proven environment. By requesting the provision of (housing) services in an experimental environment, Customer acknowledges and accepts that there is or may be an elevated risk of service interruptions or outages in comparison to services that are provided in a more traditional and proven environment.

Vanuit het netwerk van het Nederlandse LeaseWeb en vier Amerikaanse providers werd het Pusdo-botnet aangestuurd. Atif Mushtaq van FireEye Malware Intelligence Lab wist het botnet te infiltreren. Een maand lang heeft Mushtaq bestudeert hoe het botnet onder de motorkap werkt. Daarbij ontdekte hij dat de Command & Control servers bij vijf verschillende providers waren ondergebracht.

Mushtaq kreeg op zijn verzoek van één van de vijf providers (SoftLayer), de mogelijkheid om gedurende korte tijd  – voor dat alle C&C-servers uit de lucht werden gehaald – toegang tot zo’n server. In het artikel dat Mushtaq op zijn blog schreef over de kwestie, meldt hij dat door alle vier de Amerikaanse providers de C&C-servers op 18 januari uit de lucht waren gehaald. Alleen twee IP-adressen binnen het LeaseWeb netwerk waren op 22 januari nog niet uit de lucht. Kort na publicatie gebeurde dat alsnog.

Op Security.nl reageren verschillende bezoekers weinig verbaasd op het feit dat LeaseWeb als laatste de C&C-servers offline haalt. Een anonieme reageerder stelt: “Leaseweb is al veel vaker geattendeerd op het feit dat er ook menig Zeus server gehost werd. Na diverse meldingen werd er contact opgenomen en vervolgens werd er niets met de aangeleverde informatie gedaan. Een ‘dankjewel’ was teveel moeite.”. LeaseWeb security officer Alex de Joode laat in een reactie op Security.nl weten dat verschillende melders klagen over het feit dat er geen terugkoppeling wordt gegeven op klachten. Daar wordt volgens hem aan gewerkt.

Twee jaar geleden gingen we op de koffie bij Con Zwinkels, managing director van LeaseWeb. Destijds presenteerde het bedrijf zich als de grootste zakelijke speler van Nederland. Nu presenteert LeaseWeb zich als één van de meest prominente hostingproviders in Europa en een toptwintigspeler in de wereld. In het verschil waarop het bedrijf zichzelf presenteert, weerspiegelt zich de groei die LeaseWeb in een korte tijd heeft doorgemaakt. Tijd voor een update, dachten wij van ISPam.nl.

Dit artikel is ook als PDF te downloaden. Ideaal om uit te printen en later nog eens rustig door te lezen. Ook bevat de PDF-versie een aantal extra’s.

Q – In de introductie haalden we al aan dat LeaseWeb de laatste jaren flink is gegroeid. Toen we u twee jaar geleden spraken had uw bedrijf 7.500 servers in beheer, nu zijn dit er meer dan 22.000. Twee jaar geleden telde uw bedrijf 30 werknemers. Nu werken er meer dan 130 werknemers bij LeaseWeb. Dat zijn indrukwekkende cijfers! Wat is het verhaal achter deze enorme groei? Lees verder »

The Pirate Bay is Zweden uitgejaagd en moest op zoek gaan naar een nieuwe veilige haven, meldt Torrentfreak. West-europese landen zouden geen optie meer zijn – specifiek wordt Nederland genoemd als een land waar geen plaats voor Bittorrent trackers meer is. Vandaar dat The Pirate Bay naar het oosten zou zijn uitgeweken, om specifiek te zijn naar de Oekraïne. Niets is minder waar. Traceroutes naar The Pirate Bay komen op het moment van schrijven allemaal uit op het netwerk van LeaseWeb, blijkt uit onderzoek van ISPam.nl.

Daarmee is het de tweede keer in korte tijd dat The Pirate Bay na een verhuizing ineens via een Nederlands netwerk bereikbaar is. Eind augustus was The Pirate Bay kortstondig bereikbaar via het netwerk van NFOrce. De eigenaar van NFOrce verklaarde achteraf van niets te weten. Daarnaast is de klant die daar verantwoordelijk voor was er op aangesproken.

Het is waarschijnlijk dat men bij LeaseWeb ook niet op de hoogte is van het feit dat The Pirate Bay via hun netwerk bereikbaar is. LeaseWeb heeft in het verleden rechtszaken gevoerd over de legaliteit van Bittorrent websites. Na dat uit deze rechtszaken bleek dat Bittorrent websites illegaal zijn, heeft LeaseWeb alle Bittorrent websites de deur gewezen. Daarnaast heeft LeaseWeb het hosten van Bittorrent websites in haar gebruiksvoorwaarden verboden.

De vraag is daarom niet of, maar wanneer The Pirate Bay door LeaseWeb wordt afgesloten. LeaseWeb is gisteravond per e-mail door ISPam.nl op de hoogte gesteld.

Update 9:25:
Het lijkt er op dat NFOrce opnieuw iets te maken heeft met deze kwestie. Het IP-adres 85.17.40.33 bevindt zich in het netwerk van LeaseWeb, maar staat op naam van NFOrce.

Update 9:50:
Vanuit in de titel vervangen met via.

Update 14:30: Reactie LeaseWeb

Alex de Joode, Security Officer van LeaseWeb:

Wij hebben in onze gebruikerspolicy staan dat er geen BitTorrent websites in ons netwerk gehost mogen worden, omdat het sinds vorig jaar juridisch helder is dat BitTorrent sites volgens de Nederlandse wetgeving niet zijn toegestaan. Websites zoals The Pirate Bay kunnen daarom geen hostingklant bij LeaseWeb worden/zijn.

The Pirate Bay wordt dan ook niet gehost vanuit het LeaseWeb netwerk. Zoals technisch gezien zichtbaar is, wordt The Pirate Bay gehost vanuit een ander autonomous system (AS). LeaseWeb is in deze geen hoster, ook de betreffende klant van LeaseWeb is geen hoster van The Pirate Bay. Wij zijn alleen IP Transit leverancier, oftewel carrier van internetverkeer, voor een bedrijf dat van onze carrierdiensten gebruik maakt. Dat transitverkeer wordt, zoals wij hebben onderzocht, gebruikt voor inkomend verkeer van internet naar The Pirate Bay. Daarnaast worden ook andere transit providers gebruikt voor The Pirate Bay.

Eventuele klachten over hosting van The Pirate Bay zal bij de betreffende leverancier van de hosting terecht komen, en niet bij LeaseWeb als transit provider/carrier. LeaseWeb heeft een totaal van 440 Gbps dataverkeer (810 Gbps capaciteit) en is in beginsel niet verantwoordelijk voor de content die over het ip-transit netwerk heengaat. Zouden carriers dit wel zijn, dan zou dit een filter-precedent scheppen, waardoor zij vanwege een content-aansprakelijkheid geen internetverkeer meer kunnen en zullen leveren.

Als transit provider zijn we een ‘mere conduit’, oftewel een doorgeefluik. Uit de E-ommerce richtlijn volgt dan ook dat we in beginsel niet aansprakelijk zijn voor netwerkverkeer dat we transporteren.

In beginsel heeft De Joode gelijk, echter blijft het feit dat naar het blijkt al het (volgens LeaseWeb inkomende) dataverkeer via het LeaseWeb netwerk wordt gerouteerd. Natuurlijk heeft LeaseWeb in dit geval een “mere conduit” status, dat is echter ook zo bij colocatie . Resumerend speelt LeaseWeb in ieder geval een essentiële rol bij het online zijn van The Pirate Bay.

Update 7 oktober: Reactie NFOrce

Tot enkele maanden geleden werd deze IP range (194.71.107.0/24) door DCP networks over NFOrce gerouteerd voor hun DNS anycast services. Op een gegeven moment is de IP range in gebruik genomen voor het hosten van TPB. Op dat moment heeft DCP networks de BGP sessie uitgezet omdat het niet hun bedoeling was de /24 via NFOrce te routeren omdat het niet meer voor deze dienst werd gebruikt.

Echter zoals je in de email van Tom van DCP networks kunt lezen is de BGP sessie weer opgestart (zaterdag) na een reboot. Omdat niemand de configuratie had verwijderd is deze gewoon online gekomen. Dit houd niet in dat de hele wereld via deze BGP sessie naar deze /24 ging, maar alleen de providers die deze BGP sessie als beste route hadden naar deze /24. Aangezien het gaat om 20 MBIT verkeer is dit ons niet opgevallen tussen de 60GBIT die ons netwerk verstuurd. Het is ons pas opgevallen toen Tim Kuik hier ons over belde. We hebben toen DCP networks gemaild en deze heeft de BGP sessie weer uitgezet en verwijderd uit hun startup scripts.

Wij hebben uit voorzorg aan onze kant hetzelfde gedaan. De TBP was niet uit de lucht toen de BGP sessie offline is gegaan. Gelijk nadat de BGP sessie offline ging, ging deze route over AS34109 / C3br0b. Echter een paar uur later bleek de TPB alsnog offline te zijn gegaan, dit kwam echter niet door deze BGP sessie.

Daarnaast stuurt NFOrce ook de volgende mail van DCP Networks door ter onderbouwing:

—
Looks like one of our servers rebooted, and started a old BGPd and IP tunneling configurations that had not been removed from the startup scripts, even after it no longer were in use, and had previously been removed from runtime, but someone forgot to remove it from the startup scripts.

Also this session should have been disabeled at Leasewebs end a month ago, this might be why no-one removed it from the startup scripts. The prefix had previously been in use for a Anycasted DNS system, but have been re-sold sold to another party, for other uses. The lingering configuration has now been removed from the system to prevent this from happening again.
—

Tracing route to thepiratebay.org [194.71.107.15]
over a maximum of 30 hops:

1     3 ms     4 ms     3 ms  192.168.2.1
2    18 ms    18 ms    17 ms  195.190.242.4
3    20 ms    19 ms    18 ms  nl-asd-dc2-isp-bb21-ge-5-2-0.72.wxs.nl [213.75.1.9]
4    20 ms    18 ms    19 ms  nl-asd-dc2-isp-bb21-ge-5-2-0.72.wxs.nl [213.75.1.9]
5    21 ms    21 ms    47 ms  crs-tc2.leaseweb.net [195.69.144.215]
6    32 ms    20 ms    20 ms  te1-4.sr1.esy.leaseweb.net [62.212.80.102]
7    22 ms    20 ms    20 ms  ge0.anycast1.ams1.nl.dcpnetworks.net [85.17.40.33]

Leaseweb heeft afgelopen weekend het Self Service Centrum (SSC) moeten sluiten nadat deze gehacked was. Klanten hadden hierdoor geen inzage in het verbruik en toegang in het datacentrum kon tijdelijk alleen per e-mail aangevraagd worden.

De redactie van ISPam.nl heeft gebeld met Alex de Joode, Security Officer bij LeaseWeb. Alex legt uit dat hackers binnen gekomen zijn via een development server. Details kan hij niet loslaten, maar er zou gebruik gemaakt zijn van een PHP-exploit. Via deze server hebben hackers vervolgens toegang gekregen tot het SSC, dat via een SVN verbinding in geupdate werd. Leaseweb ontdekte dit tijdens een onderhouds- en securitycheck, waarop het SSC direct afgesloten is en klanten in kennis gesteld zijn.

“Het is belangrijk om open en transparant te communiceren als provider”, zegt De Joode. “We hebben daarom ook direct een mailing naar alle klanten gedaan met het verzoek het wachtwoord preventief te wijzigen. Vervolgens hebben we gekeken wat de impact was”. LeaseWeb heeft direct FOX-IT ingeschakeld om een aantal audits te doen op de systemen. De gehackte server(s) werden zelf weer gebruikt om dictionary SSH-aanvallen uit te voeren. Ook zijn logfiles en ander forensisch materiaal veilig gesteld om te gebruiken bij een aangifte. Het SSC is inmiddels weer hersteld en bereikbaar voor klanten.

LeaseWeb, de grootste hostingprovider van websites in Nederland, heeft in een half jaar tijd de bandbreedtecapaciteit van haar hostingnetwerk verhoogd van 500 naar 750 Gigabit per seconde. Een grote aanwas van nieuwe klanten, maar vooral ook het toegenomen gebruik van video op websites zijn belangrijke drivers achter de sterke groei in internetverkeer.

“De laatste tijd zien we dat het gebruik van streaming video in webomgevingen sterk toeneemt,” zegt Con Zwinkels, Managing Director van LeaseWeb. “Video is een belangrijke factor in de toename van internetverkeer in ons netwerk. Daarnaast hebben we te maken met een continue stroom nieuwe klanten, uit Nederland maar vooral ook uit het buitenland, die de kwaliteiten en de scherpe prijs/kwaliteit verhouding van LeaseWeb weten te waarderen. Om een idee te geven, op dit moment hebben we ongeveer 22.000 servers in beheer en komen er ongeveer 300 servers per maand bij. Die groei is dus enorm.”

De capaciteit van 750 Gbps in het netwerk is twee keer zo groot als de daadwerkelijke hoeveelheid bandbreedte die door klanten wordt verbruikt. Het daadwerkelijke internetverkeer bedraagt momenteel ongeveer 400 Gbps. Op de noc pagina valt actueel in een grafiek af te lezen hoe het dagelijkse internetverkeer in het netwerk van LeaseWeb zich ontwikkelt.

Zwinkels: “Het aanhouden van veel bandbreedte is een bewuste keuze. Onze dubbele capaciteit in bandbreedte is voor bedrijven met snelgroeiende webomgevingen een belangrijk argument om voor LeaseWeb te kiezen.”

De groei in internetverkeer is sterker dan van tevoren verwacht. Zwinkels: “Precies een jaar geleden bedroeg de bandbreedte capaciteit in het hostingnetwerk van LeaseWeb 210 Gbps. Dat was al veel, zeker vergeleken met de capaciteit van de gemiddelde hostingprovider in Nederland. Dat we zo snel richting de 750 Gbps zouden gaan, had ik niet durven voorspellen.”