[LACNIC/Seguridad] Fwd: [uknof] Fwd: [FRnOG] Détection des botnets et protection des internautes

[Arturo Servin]

	FYI

Begin forwarded message:

> From: Thomas Mangin <thomas.mangin en exa-networks.co.uk>
> Date: 30 October 2010 05:38:38 GMT-02:00
> To: UKNOF <uknof en lists.uknof.org.uk>
> Subject: [uknof] Fwd: [FRnOG] Détection des botnets et protection des internautes
> 
> Hello,
> 
> It appears that the FCC is starting a new working group, located at http://www.fcc.gov/pshs/advisory/csric/wg-8.pdf for the moment it only contain the text below.
> The mail below list of few resource on that matter.
> 
> Thomas
> 
> ---
> 
> Working Group 8 – ISP Network Protection Practices
> 
> Description: 
> 
> This Working Group will investigate current practices that ISPs use to protect their networks from harms caused by the logical connection of computer equipment, as well as desired practices and associated implementation obstacles.
> 
> The work should address techniques for dynamically identifying computer equipment that is engaging in a malicious cyber attack, notifying the user, and remediating the problem. The Working Group will develop proposed recommendations for CSRIC’s consideration for best practices and actions the FCC could take that may help overcome implementation obstacles.
> 
> Duration: Twelve months.
> 
> 
> Begin forwarded message:
> 
>> From: David Bizeul <dbizeul en gmail.com>
>> Date: 29 October 2010 23:18:06 GMT+01:00
>> To: frnog en frnog.org
>> Subject: [FRnOG] Détection des botnets et protection des internautes
>> Reply-To: David Bizeul <dbizeul en gmail.com>
>> 
>> Bonjour à tous,
>> 
>> La FCC va prochainement publier un document de bonnes pratiques pour
>> les FAI en matière de détection et de protection contre diverses
>> activités de cybercriminalité.
>> Le groupe de travail est localisé à l'adresse
>> http://www.fcc.gov/pshs/advisory/csric/wg-8.pdf.
>> 
>> De mon point de vue, cela reprend les différentes expérimentations qui
>> fleurissent à travers le monde :
>> 
>> - septembre : Initiative allemande pour détecter les utilisateurs
>> compromis : http://www.cio.com.au/article/359491/germany_launch_antibotnet_program_consumers/
>> - septembre : l'IETF propose des bonnes pratiques pour détecter les
>> bots pour les ISP (http://isc.sans.edu/diary.html?storyid=7138)
>> - juillet : Virgin Media détecte les bots et notifie ses clients
>> (http://www.theregister.co.uk/2010/08/16/vm_malware/)
>> - juin : les Etats Unis recherchent à calquer les actions entreprises
>> en Australie (http://www.zdnet.com.au/us-interested-in-aussie-zombie-code-339304063.htm?omnRef=NULL)
>> - juin : les FAI australiens proposent de déconnecter leurs clients
>> sans antivirus (http://www.darknet.org.uk/2010/06/australians-propose-no-anti-virus-no-internet-connection-policy/)
>> - juin : les FAI australiens mettent en quarantaine leurs clients à
>> risque (http://www.computerweekly.com/Articles/2010/06/09/241511/Australian-ISP-code-could-defeat-new-generation-of-DDoS-attacks-says.htm)
>> - les ISP japonais utilisent une plateforme centralisée pour détecter
>> les bots (http://krebsonsecurity.com/2010/03/talking-bots-with-japans-cyber-clean-center/)
>> - 2009 : Comcast lance son programme anti botnet:
>> http://blog.comcast.com/2009/10/security-scene-introducing-constant-guard.html
>> - 2009 : 14 FAIs néerlandais luttent conjointement contre les botnets
>> : http://www.darkreading.com/blog/archives/2009/09/dutch_isps_sign.html
>> - 2007 : Quest : http://news.qwest.com/index.php?s=43&item=305
>> 
>> 
>> Des organismes sont leaders en la matière, notamment la IIA
>> (http://www.iia.net.au/), le CCC (https://www.ccc.go.jp/en_ccc/) et
>> permettent de coordonner les actions entre opérateurs.
>> 
>> 
>> Bref, beaucoup de choses sont en train de changer en ce moment dans la
>> sphère Internet et les FAIs, sollicités depuis longtemps pour prendre
>> part à cette lutte semblent dorénavant adresser le sujet partout dans
>> le monde... sauf en France (j'exagère juste un peu)
>> 
>> Je sais pourtant que des actions techniques sont réalisées
>> ponctuellement chez certains opérateurs mais rien ne ressort en terme
>> de service officiel.
>> 
>> Ma question est donc simple : pourquoi ne faisons nous rien en France
>> ? Sommes nous différents des autres, cela ne nous coûte t-il rien ?
>> 
>> Je ne sais pas si les impacts suivants sont quantifiables :
>> - coût d'opérateurs de call center sollicités parce que les clients
>> sont infectés et leur ordinateur a un comportement inadéquat ;
>> - coût d'une structure abuse qui devra réagir pour des campagnes de
>> spams envoyés par des bots sur des clients;
>> - coût des réquisitions judiciaires pour causes de machine compromise
>> impliquée dans un schéma de fraude;
>> - coût d'une mobilisation d'experts techniques pour lutter contre des
>> clients à la source de dénis de service;
>> - charge induite sur les serveurs SMTP et DNS des FAI à cause  des bots;
>> - coût de frais de transit pour toutes les communications liées aux bots;
>> - amélioration de la satisfaction client et développement de la
>> confiance dans l'économis numérique en ligne;
>> 
>> Si tel est le cas, il serait intéressant de réfléchir à des actions
>> concrètes qui pourraient être réalisées en suivant d'autres modèles :
>> - mise en quarantaine des clients identifiés à risque et navigation restreinte
>> - sensibilisation adaptée en ligne à ces clients
>> - approche service de sécurité avec souscription de service en mode opt-in
>> - approche service de sécurité tout intégré proposé par défaut au client
>> 
>> Pour ma part, je serai ravi de promouvoir à mon entourage le FAI
>> français qui fera les premiers pas sur ce sujet.
>> 
>> J'espère que ce post fera permettra de susciter des réflexions autres
>> que le sempiternel débat sur la "neutralité du net".
>> 
>> Bon week end
>> 
>> David Bizeul
>> ---------------------------
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> 

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://mail.lacnic.net/pipermail/seguridad/attachments/20101030/e2b2d39e/attachment.html>