D: Alle gegen Botnetze

[Florian]

Der Verband der Internetwirtschaft, das BSI und finanziell das BMI tuen sich zusammen um die Botnetze einzudämmen. Zum einen gibt es eine Beratungsseite und sogar eine Telefon-Hotline (steht da…), zum anderen haben sich diverse Groß-Provider bereit erklärt in Zukunft Anschlussbesitzer, deren PCs gekapert wurden und an Angriffen beteiligt waren, zu informieren.  

Uns Mac-Nutzer betrifft das insofern wir auch Windows einsetzen, was ja nicht so ungewöhnlich ist.

Also:
https://www.botfrei.de/

Das kommt mir sehr sinnvoll vor. Übersehe ich einen Haken?

[MacFlieger]

zum anderen haben sich diverse Groß-Provider bereit erklärt in Zukunft Anschlussbesitzer, deren PCs gekapert wurden und an Angriffen beteiligt waren, zu informieren.
...
Das kommt mir sehr sinnvoll vor. Übersehe ich einen Haken?

Wie bemerken die denn, dass der PC gekapert wurde? Ist da evtl. ein Haken versteckt?

[Florian]

Wenn die IP-Logs des Angegriffenen auf einen Kunden hinweisen… 
Ja, stimmt, ohne IP-Speicherung beim Provider geht das ins Leere. Die ist ja rechtlich höchst problematisch. Eigentlich.

[warlord]

Wie bemerken die denn, dass der PC gekapert wurde?

Ich denke für die Provider wäre das kein allzu grosses Problem. Bin mir ziemlich sicher, dass sich ein Bot aufgrund seines Verbindungs-Verhaltens ziemlich rasch, problemlos und zuverlässig automatisiert erkennen liesse. Wenn man wollte. Schön, dass es mittlerweile immerhin Absichtserklärungen gibt. Meiner Meinung nach wäre da von den Providern schon länger mehr Engagement nötig gewesen.

[MacFlieger]

Fände ich aber zur Einschätzung schon wichtig zu wissen, wie das funktioniert. Eure beiden Vorschläge sind nämlich deutlich unterschiedlich in der Konsequenz.

Wenn die IP-Logs des Angegriffenen auf einen Kunden hinweisen… 
Ja, stimmt, ohne IP-Speicherung beim Provider geht das ins Leere. Die ist ja rechtlich höchst problematisch. Eigentlich.

Das würde bedeuten, dass der Angegriffene die Angriffe auswertet und dann an den Provider meldet und der, wenn er noch die IP-Kunden-Zuordnung hat, diesem eine Meldung macht. Auf diesem Wege habe ich nichts gegen derartiges.

Ich denke für die Provider wäre das kein allzu grosses Problem. Bin mir ziemlich sicher, dass sich ein Bot aufgrund seines Verbindungs-Verhaltens ziemlich rasch, problemlos und zuverlässig automatisiert erkennen liesse.

Bei dieser Methode muss der Provider den Datenverkehr analysieren und somit in die Pakete hinein schauen. Das lässt bei mir die Alarmglocken schrillen, denn DPI ist aktuell noch nicht erlaubt und würde nach Einführung auch sehr schnell Begehrlichkeiten von anderen Stellen wecken.
In der Beschreibung steht auch drin, dass der Provider einem Betroffenen z.B. eine Warnseite beim ersten Webseitenaufruf anzeigt, wenn er betroffen ist. Das erfordert aber auch ein Analysieren der Datenströme und Manipulation der Antwort oder aber einen Zwangsproxy.

Gerade die untergeschobene Warnseite lässt mich vermuten, dass warlords tipp eher in die richtige Richtung geht. Und das macht mir Sorge.

[warlord]

Bei dieser Methode muss der Provider den Datenverkehr analysieren und somit in die Pakete hinein schauen.

Muss er das? Ich gehe davon aus, dass sich ein Bot allein duch die Analyse von Kommunikations-Frequenz, Absender und Zieladresse problemlos identifizieren lässt. (Klar, es besteht natürlich das Risiko, dass die Bots dann diesbezüglich auch schlauer werden und ihr Verhalten "menschlicher" werden lassen.)
Und ich gehe davon aus, dass sich die Analyse gänzlich ohne Verknüpfung zu Personendaten realisieren lässt. Natürlich müsste eine solche dann stattfinden, wenn man glaubt, einen Bot identifiziert zu haben. Aber darum wird man letztlich nie herum kommen, wenn man Bots wirklich den Garaus machen möchte. Geregelt werden müsste halt einfach, wer unter welchen Voraussetzungen die Verknüpfung herstellen und weitere Abklärungen und Massnahmen einleiten darf/muss. Aber schmutzige Hände zu waschen, ohne sie dabei nass zu machen, wird nicht gehen.

Nachtrag: Gerade im Bereich Spam sind doch automatisierte Analysen (Spam-Filter) besonders auf Empfangs-Seite schon lang gang und gäbe. Mit der fast selben Technologie auf Versand-Seite liessen sich Spam-Bots easy identifizieren und aus dem Verkehr ziehen, würd ich meinen. Und mit Spam-Filter hat ja auch kaum jemand Mühe.

[MacFlieger]

Kann es sein, dass wir verschiedene Sachen meinen?
So wie ich Dich verstehe, meinst Du die Analyse (Frequenz, Absender-/Zieladresse) von ausgehenden Mails beim Mailprovider, richtig? Denn dann kann ich Deine Argumente und Vergleich zum Spam-Filter verstehen.

[warlord]

Kann es sein, dass wir verschiedene Sachen meinen?
So wie ich Dich verstehe, meinst Du die Analyse (Frequenz, Absender-/Zieladresse) von ausgehenden Mails beim Mailprovider, richtig?

Nicht nur. Aber auch. Mein erster Abschnitt bezieht sich nicht nur auf Spam-Bots und Mailverkehr.

[MacFlieger]

OK.
Also bezüglich Mailverkehr machen einige große Provider (z.B. T-Online) schon solche Analysen. D.h. die Gesamtzahl der E-Mails pro Tag oder die Zahl der Mails pro Minute sind limitiert. Man kann dann einfach keine Mails mehr senden. Deshalb haben Softwarepakete zum Verschicken von Massenmails (seriöser Art) auch Mechanismen integriert, bei denen man einstellen kann, wie schnell wie viele Mails rausgehen.
Dagegen habe ich auch nichts, wenn es dem Kunden transparent mitgeteilt wird.
Aber um derartiges kann es meiner Meinung nach bei dieser Initiative nicht gehen, denn der Mailprovider kann mir keine Warn-Webseite vorsetzen.

Ich vermute eher, dass es tatsächlich um die Zugangsprovider geht. Und da sieht die Sache meiner Meinung nach schon anders aus.
Darauf bezogen zu Deinem ersten Abschnitt:

Muss er das? Ich gehe davon aus, dass sich ein Bot allein duch die Analyse von Kommunikations-Frequenz, Absender und Zieladresse problemlos identifizieren lässt.

Ja, er muss in die Datenpakete hineinsehen. Ansonsten kann er Zieladresse und Frequenz von IP-Paketen gar nicht beurteilen. Zusätzlich muss er noch schauen, was für Inhalte da drin sind, sonst kann er das auch nicht beurteilen. Absendeadresse ist immer die gleiche: Die IP, die derjenige gerade hat.
Das bedeutet eine verdachtsunabhängige DPI müsste eingeführt werden. Das wiederum würde mich schon stark irritieren.
Auch der Einbau der Warnseite geht nur, wenn man eine DPI macht oder einen Zwangsproxy einsetzt. Beides Sachen, die ich nicht gut fände.

Evtl. sehe ich aber auch nicht, wie man normalen Datenverkehr von Bot-Verkehr trennen soll ohne DPI. Bzw. wie man eine Warnseite anders einbauen kann. Das war ja meine eingehende Frage, wie das technisch umgesetzt werden soll. Je nachdem wie, habe ich dazu natürlich völlig verschiedene Meinungen.

Und ich gehe davon aus, dass sich die Analyse gänzlich ohne Verknüpfung zu Personendaten realisieren lässt. Natürlich müsste eine solche dann stattfinden, wenn man glaubt, einen Bot identifiziert zu haben.

Ja, das ist der zweite Schritt. Aber wie ich ja auch schon oben schrieb, das macht mir keine Kopfschmerzen.

[Florian]

Konnte keine konkreteren Aussagen zur technischen Durchführung finden, ausser das man anonym bleiben kann auch wenn man die Hotline in Anspruch nimmt…das geht übrigens nur nach Zuteilung einer Nummer vom Provider.
Insofern muss man hoffen, dass die Stellen sich auch wirklich daran halten.

Wie Bot-Aktivitäten erkannt werden wird nicht offenbart. Lässt das vielleicht tief blicken? Bin jetzt doch recht skeptisch, danke für das Augen öffnen.

Von einer Warnseite habe ich nichts gelesen. Von Email und Briefen ist die Rede. Komisch das man im ganzen Internet nichts findet zu Genauerem ausser Forumsbeiträgen mit mehr oder weniger Güte.
Was sagen die Piraten dazu? Was die Datenschutzbeauftragten? Und vor allem: Warum schreibt kein einziger Journalist was Hintergründiges dazu?
Bin ich zu ungeduldig? Aber wenn die Sache mal richtig anläuft gibt's dann Chaos wenn Herr oder Frau Sowieso eine Warnung im Briefkasten hat. Von der auch Niemand weiß, wie sie ausschauen soll… also werden sofort Betrüger versuchen die Leute auf teure Nummern zu locken.

Für alles gäbe es eine einfache Lösung: Transparenz!

[MacFlieger]

Wie Bot-Aktivitäten erkannt werden wird nicht offenbart. Lässt das vielleicht tief blicken? Bin jetzt doch recht skeptisch, danke für das Augen öffnen.

Da steht nur, dass der Rechner anhand von Verhaltensmustern erkannt wird.

Von einer Warnseite habe ich nichts gelesen. Von Email und Briefen ist die Rede.

Ich bin mir eigentlich sicher, dass ich das auf deren Seiten gelesen habe. Ich finde es aber nicht mehr wieder. Also bitte mein obiges Statements ignorieren.

[warlord]

Das bedeutet eine verdachtsunabhängige DPI müsste eingeführt werden. Das wiederum würde mich schon stark irritieren.

Was irritiert Dich daran denn stärker als ein Spam-Filter, der sich die Mails anschaut, die so bei ihm vorbei kommen?

[MacFlieger]

Was irritiert Dich daran denn stärker als ein Spam-Filter, der sich die Mails anschaut, die so bei ihm vorbei kommen?

Das ist eine gute Frage.
Mich stört daran, dass das noch deutlich weiter geht und umfassender ist.
Bei den Mails ist es so, dass nur Mails verarbeitet werden und dieses bei jedem Mailprovider einzeln mit unterschiedlichen Kriterien. Hier die komplette Kommunikation einer Person (mehrere Mail-Adressen) für andere Zwecke auszuwerten, ist daher nicht so "attraktiv" und es weckt keine Begehrlichkeiten.

Am Rande: Ich erlebe es durchaus auch, dass diese Automatismen bei Spam-Mails teilweise schon zu weit gehen. Beispielsweise kann ich Bekannten, die Hotmail verwenden, kaum noch Mails schicken. Bereits deren Eingangsserver lehnt meine Mails fast alle ab und schickt die zurück. D.h. der Empfänger bekommt keinerlei Rückmeldung, dass da für ihn was gekommen wäre.
Daher benutze ich auch Provider, die eben keine Spam-Sortierung machen bzw. schalte das ab. Das kann mein Mail besser.

Was ist bei diesem BotNetz-Schutz anders (oder scheint anders)?
Es muss der komplette Datenverkehr von Dir analysiert werden. Und da man sehr viel unterschiedlichsten Verkehr zu unterschiedlichsten Zwecken auslöst, muss man schon sehr genau die Pakete anschauen und analysieren. Dafür muss die notwendige Infrastruktur bei den Providern neu geschaffen werden. Jetzt habe ich da aber zwei Sachen:
- Ich frage mich weiterhin, wie man selbst mit einer DPI einen Bot (mal abgesehen von Spam-Mails) einfach am Verhalten erkennen können soll. Einzig Zugriffe auf Server, bei denen sich der Bot neue Befehle holt, wird man recht gut finden können. Dazu muss dann aber das Botnetz schon ausgeforscht sein und ständig die Providerfilter von einer zentralen Stelle aus neu justiert werden. Ich vermute daher, dass die reine Verhaltensanalyse recht ineffektiv sein wird.
- Steht erst einmal eine solche Infrastruktur zur verdachtsunabhängigen DPI, werden sehr schnell viele Begehrlichkeiten wach. Das war hier in Deutschland in letzter Zeit immer so, dass wenn irgendwo Daten gesammelt wurden, ganz schnell die Forderung nach einer Ausweitung im Raum stand und dann auch durchgesetzt wurde.

Beide Punkte zusammen (Massnahme ist in der Realität nur wenig geeignet, Infrastruktur mit erheblich mehr Möglichkeiten wird etabliert) gab es in letzter Zeit hier in Deutschland auch öfters und es war jedes Mal klar, dass der vorgeschobene Grund nicht das Ende sein sollte.

Also zusammenfassend: Die verdachtsunabhängige DPI im Gegensatz zum Spamfilter ist deutlich umfassender und bietet erheblich mehr Möglichkeiten zum Missbrauch oder Ausweitung, was meiner Meinung nach das eigentliche Ziel zu sein scheint.

[MacFlieger]

Der De-Cleaner scheint noch nicht ganz sauber zu arbeiten und produziert jede Menge falscher Alarme:
DE-Cleaner verunsichert Anwender mit Fehlalarmen

Dabei gibt das Programm zunächst einmal Warnungen aus, die man dann im Anschluss daran dann im Internet noch einmal gegen prüfen lassen soll/muss. Dann kommt die Entwarnung.
Einige wissen das nicht, denn die lesen sowieso keine Anleitungen, und kriegen Panik.
Andre prüfen das ein paar mal gegen, bekommen ständig gesagt, dass die Warnung eine Fehlermeldung war und stumpfen ab, d.h. irgendwann prüfen die nicht mehr, weil es ja eh "eine Falschmeldung ist".

Als weiteres Gegenmittel sollen sich betroffene Programmhersteller auf eine Whitelist setzen lassen, die natürlich was kostet...

[warlord]

Ein ausführlicherer Artikel von Bruce Schneier zum Thema Internet-Quarantäne:
http://www.forbes.com/2010/11/10/microsoft-viruses-security-technology-quarantine.html