Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Criminelen zetten hun eigen datacentra op

  • Door
  • John T. Knieriem
  • geplaatst op
  • 24 december 2009 08:08 uur

Schrijvers van malware en andere criminelen die botnets en spamengines exploiteren zijn bezig hun eigen virtuele datacentra op te zetten. Dat meldt Kaspersky lab security. Tot nu toe maakten deze criminelen gebruik van shared hosting platforms. Maar sinds de politie acties onderneemt tegen deze platforms zijn veel criminelen bezig om in het geheim eigen centra op te zetten.

Een de redenen waardoor deze criminelen hun gang kunnen gaan is dat bij de aanvragen voor IP-ranges er te weinig vragen worden gesteld door de uitgevende RIR’s (regional Internet registries) zoals RIPE. Normaal gesproken moet je een goede reden geven als je de beschikking wil krijgen over een IP-range. Maar vaak ontbreekt de tijd om een aanvraag goed te screenen.

Als de criminelen over een IP range beschikken hebben ze een belangrijke horde genomen om redelijk vrij hun werk te kunnen doen, aldus Kaspserky. “Het loopt volledig uit de hand. Als je een IP range hebt dan ben je je eigen ISP”, zegt Alex Lanstein van FireEye, een anti-malware verkoper. Een goed voorbeeld betreft een Russische groep die zonder al te veel problemen een IP Range kreeg toegewezen door het RIPE. Vervolgens duurde het nog twee jaar voorat Ripe in staat was om de criminelen weer af te sluiten.

Er wordt gepleit voor betere bewustwording, controle en de oprichting van een abuse-desk.

Tudududud, 24 december 2009 9:42 am

Wat een gelul, met een IP range alleen heb je nog geen routing dan moet je nog altijd een upstream vinden die bereid is je malware te faciliteren. Verder snap ik helemaal niet wat dit met een 'virtueel datacenter' te maken heeft. Ze proberen volgens kaspersky gewoon hun eigen netwerk op te zetten.

Alex Bik, 24 december 2009 10:45 am

Inderdaad. En dat is niet eens nieuw, dat deed Bevelander jaren geleden al met Cyberangels. Dat netwerk is ook nog nooit 1 bit legitiem verkeer vandaan gekomen. Het werd gebracht als "ADSL netwerken van klanten", maar ondertussen hadden de hosts wel allemaal pingtijden < 2 ms. De oplossing is inderdaad eenvoudig: gewoon filteren. Wij hadden in die tijd wel een peering met CA, maar al het verkeer wat er vandaan kwam werd al gedropt op de routers waar het binnenkwam. Ik praat over juni 2003, dus om dit nou 'nieuw' te noemen...

John T. Knieriem, 24 december 2009 4:22 pm

Als jij niet het fatsoen hebt om gewoon onder je eigen naam en met enige constructiviteit te reageren ben je gewoon een laffaard. En die verwijderen we gewoon.

Tudududud, 24 december 2009 4:30 pm

Ow wacht even, ik ga constructief op het artikel in door de inhoud onderuit te halen aangezien het onzin is -wat je zelf ook hadden kunnen doen-.

Nee, in plaats daarvan ga je comments verwijderen, succes met ooit een serieuze site worden 1 van je admins weet wie ik ben. Als ik anoniem wil reageren doe ik dat.

Nathalie, 24 december 2009 4:48 pm

Mag ik vragen waarop het idee gebaseerd is dat aanvragen voor IP adressen niet zorgvuldig worden geevalueerd? Ik heb even mijn prive-pet op, maar ik ben werkzaam op de betreffende afdeling die de aanvragen verwerkt. IP adressen worden uitgegeven op basis van een "demonstrated need". Wij kijken niet naar wat iemand wil uitspoken met zijn netwerk. Dit komt vooral omdat de RIPE community niet wil dat wij (RIPE NCC) een soort routing politie worden, en daar heb ik -persoonlijk- alle begrip voor.

Peter, 24 december 2009 4:58 pm

"Het loopt volledig uit de hand. Als je een IP range hebt dan ben je je eigen ISP"

Goed van Alex :).

Ten eerste zou ik de woorden "ben je een ISP" gebruiken, je hoeft niet percé je diensten aan je zelf te leveren imo. Daarnaast ben je er met alleen IP space niet, je zult toch echt een connectie naar buiten moeten hebben.

Als laatste: Om te spammen kun je ook wel toe met een PI range, of zelfs een shared hosting accountje. Om nou te stellen dat het uit de hand loopt omdat ze een eigen IP range hebben...

Alex Bik, 24 december 2009 5:26 pm

Inderdaad een bullshitartikel, ik denk dat de meerderheid het daar wel over eens is. Op meerdere punten: Het hebben van een IP range heeft niets met datacenters te maken, het afsluiten of filteren van zo'n IP range is nog steeds mogelijk door degene die er transit aan levert, RIPE NCC heeft hier (zoals Nata al terecht opmerkt) niets mee te maken en zal de range dus ook niet afgesloten hebben zoals in het artikel staat, dat kunnen ze ook helemaal niet. Last but not least is het hele fenomeen van netmisbruikers die zelf ISP-tje gaan spelen al zou oud als de weg naar Rome.

Het lijkt er inderdaad sterk op dat er een persbericht ge-copy/paste is zonder er verder naar te kijken. Dit soort onzin hoor je doorheen te prikken, zoals dat in een aantal andere gevallen door ISPAM wel gebeurd is weet ik (zoals het persbericht waarin Signet beweerde de eerste ISP te zijn die IPv6 leverde over glasvezel).

Goed, dat vastgesteld hebbende rijst de vraag hoe je daar dan als ISPAM mee omgaat. Door comments van lezers te verwijderen (ongeacht de vraag of ze valide zijn of niet), zorg je er onherroepelijk voor dat je lezers zich tegen je gaan keren, dat is duidelijk. Dat is dus geen optie als je wilt dat je serieus genomen wordt.

Er zijn dus 3 opties: 1) Niet reageren en de reakties laten voor wat ze zijn, 2) proberen te onderbouwen waarom het wel hout snijdt wat er geschreven is of 3) sorry zeggen.

Voor de toekomst: Als je niet wilt dat er onwegevallige opmerkingen gemaakt worden, doe je er verstandiger aan niet de mogelijkheid te bieden om te reageren dan om reakties te verwijderen. Dat draagt niet bij aan de mate waarin je serieus genomen wordt.

Ohja, for the record: Ik ben niet de Alex uit het bericht :)

Alex Bik, 24 december 2009 5:31 pm

Ohja, iemand die anoniem reageren een lafaard noemen draagt volgens mij ook niks positiefs bij. Ook hier geldt: Als je niet wilt dat mensen anoniem reageren, moet je die mogelijkheid niet bieden.

Bovendien staat in de regels hieronder dat je niet onnodig op de man moet spelen en het gezellig moet houden. Iets met het goede voorbeeld geven.

Arnout Veenman, 24 december 2009 6:48 pm

Comments verwijderen is uit den boze op ISPam.nl, tenzij de huisregels zoals die onder het reageer veld staan worden overtreden. Dan gebeurt dat wel zonder pardon. Anoniem reageren mag op ISPam.nl. De bewuste comment is daarom hersteld. Wie hierover verder wil discussieren kan mij mailen. Rest mij jullie allemaal een fijne kerst toe te wensen!

Alex Bik, 24 december 2009 6:56 pm

Heel goed. Jij ook :)

Tudududud, 24 december 2009 7:05 pm

Bedankt Arnout :)

John T. Knieriem, 24 december 2009 8:00 pm

Tijd om de huisregels aan te passen zou ik zeggen, maar goed daar gaan anderen over. Alex heeft het fatsoen om onder eigen naam te reageren, dat lijkt me een belangrijke norm die helaas niet voor iedereen vanzelfsprekend is.

Verder dreigt het weer een aardige techneuten discussie te worden. Maar dat is wat mij betreft niet de kern van de zaak. Alhoewel ik wel begrijp dat als je een hamer bent je alles als een spijker bekijkt.

Waar het natuurlijk om gaat is dat er internationaal nu eindelijk eens oog komt voor cybercrime. In de USA is zojuist een hotshot aangesteld die de bestrijding moet gaan coordineren. Een stap in de goede richting zou ik zeggen. Het persbericht van Kaspserky kan in dat licht worden gezien.

Daarnaast zou het aardig zijn als er discussie zou ontstaan over aan wie wel en wie niet en onder welke voorwaarden IPreeksen uitgegeven zouden kunnen worden. Nu gaat dat blijkbaar zonder al te veel controle. En RIPE wil ook niet een soort politie worden (dat zou ook dicht in de buurt van censuur komen). Maar een beperking in de uitgifte zou criminelen het leven wel lastiger kunnen maken. Dit wordt een lastige discussie met veel aspecten maar het lijkt mij nogal belangrijk dat deze gevoerd wordt.

Ook het gesignaleerde feit dat criminelen nu echt 'ondergronds gaan' lijkt me relevant en was mij niet bekend.

En een pleidooi voor betere bewustwording is voor de uber-nerds misschien niet nodig maar het moge duidelijk zijn dat niet voor iedereen geldt.

Dus los van mogelijk enkele technische onvolkomenheden in het verhaal (in ogen van sommigen) lijkt het mij dat er best wat andere relevante zaken in zitten.

Ik was al gewaarschuwd. "Als je ooit iets schrijft op ISPAM wat technisch mogelijk niet helemaal klopt dan wordt je afgemaakt.", zo vertrouwde een goede bekende mij toe.

Ik wens iedereeen hele prettige feestdagen toe !

Peter, 24 december 2009 8:20 pm

John T. Knieriem

Het zou je sieren als je interne dingen intern oplost, dit lijkt me niet de plek om je ongenoegen over de huisregels kenbaar te maken lijkt me.

Waarom zou volgens jouw iedereen onder zijn eigen naam reageren? Ik reageer nu onder mijn eigen naam, maar als ik er kees, john of iets anders neerzet is het wel goed?

Het is niet zo dat je verhaal "niet helemaal klopt" er klopt gewoon niets van.

De titel zegt "criminelen zetten hun eigen datacentra op", vervolgens begin je in de tekst al terug te vallen op virtuele datacentra (wat is dat überhaupt) en je eindigt met een IP range. Ik snap dus absoluut niet hoe jij de link legt tussen een datacenter openen en een IP range toegewezen krijgen.

Als laatste, die IP range is absoluut niet het belangrijkste, je moet namelijk eerst een niet-virtueel datacenter vinden en als allerbelangrijkste een netwerk vinden/bouwen. Met alleen een IP range ben je alles behalve een isp.

Die IP range is niet van levensbelang, sterker nog, zolang je betaald kun je alles krijgen. Bij elke dedicated server zitten IP adressen.

En ja, als je op een isp gerelateerde nieuws website dingen schrijft die niet kloppen dan kun je kritiek verwachten, als je daar niet tegen kunt kun je imho beter voor het lokale huis-aan-huis blad gaan schrijven.

Als je tekst fouten en kromme redeneringen bevat kun je in het vervolg beter toegeven en eventueel dingen aanpassen.

Alex Bik, 24 december 2009 9:24 pm

Welja joh. Bagatelliseer het maar tot 'mogelijke technische onvolkomenheden' als je aantoonbaar complete onzin schrijft en daarbij een verschijnsel wat ruim 6 jaar geleden al voor kwam als 'nieuw' bestempelt. Je zou de politiek in moeten.

Overigens: RIPE is heel iets anders dan RIPE NCC, en dat heeft met techniek niets te maken. Wel met zorgvuldigheid, maar die is hier blijkbaar ver te zoeken.

Tot slot: voordat je techniek afdoet als onbelangrijk, zou je je misschien beter eerst kunnen verdiepen in wie de doelgroep van ISPam ook al weer vormen. En als je techniek zo onbelangrijk vindt, kun je misschien ook beter stoppen met het schrijven over technische onderwerpen.

Persoonlijk vond ik dat ISPam de laatste tijd aardig goed op weg was. Dit doet daar naar mijn idee behoorlijk afbreuk aan. Niet alleen de inhoud van het artikel, maar ook het feit dat je het blijkbaar niet eens bent met de policy van ISPam om anonieme reakties toe te staan, en 'm bovendien en plain publique aan je laars lapt.

t.bloo, 25 december 2009 11:37 am

Toen ik de titel las, kreeg ik gedachten over datacentra verstopt in bossen en bunkers :-)

Je kunt je voorstellen dat alleen daarom al het artikel dus wat tegenviel...

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.