[Nlnog] VRIBL

Jaap O Mark jaap at is.nl
Tue May 25 06:55:14 UTC 2004 

> On Mon, 24 May 2004, Remco Bressers wrote:
> 
> > Wat mij opviel is dat je in dit geval een geweldige database aan het
> > bouwen bent voor potentiele hackers/scriptkiddies en wat al niet meer.
> > We kijken even in de VIRBL database voor iedereen met het MyDoom virus
> > en gaan vervolgens keurig staan spammen via poort 3127 van de target.
> > Dit maakt het wel HEEL makkelijk voor hackers niet?
> 
> Ik weet niet of ik dat wel zo'n sterk argument vind. Mensen die met
> mydoom besmette bakjes willen exploiten, kunnen ook gewoon een portscan
> doen op de netblocks van willekeurige DSL boeren. Of in hun inbox
> kijken. Dat de virussen steeds vaker gebruikt kunnen worden  (en worden)
> als spamtool, is IMHO reden te meer om besmette hosts te blacklisten.
> 
> Los daarvan is de database ook toegankelijk voor abusedesks van ISP's.
> Die kunnen vervolgens aktie ondernemen. Gelukkig zijn er steeds meer die
> dat ook inderdaad doen. Een aantal heeft zich inmiddels opgegeven voor
> de dagelijkse reports die we versturen.

Hetzelfde argument gaat mijn inziens ook op voor 'normale' blacklists.
Ook die blacklists kunnen gebruikt worden door spammers om op open-relay
te scannen en eventueel te misbruiken. Misschien minder effectief omdat
die blacklists (momenteel althans) frequenter gebruikt worden door ISP,
maar in principe hetzelfde probleem.

Ik denk dat de voordelen van een dergelijke virusblacklists weldegelijk
opwegen tegen de nadelen. Voor ISPs die de lijst gebruiken, zorgt dit voor
minder bandbreedte en een lagere belasting van de mailsystemen. Ook voorkomt
dit helpdesk werk (het uitleggen van bounces naar de valse afzenders,
etc...).
En ISPs die de blacklist al gebruiken zijn sowieso niet 'vatbaar' voor de
spammers
die de lijst willen misbruiken. 



Met vriendelijke groet,

Jaap O. Mark
IS AbuseDesk


-------- I S - I N T E R N E D - S E R V I C E S - B V --------
domeinregistratie - webhosting - colocating - dedicated servers
www.is.nl         -      helpdesk at is.nl     -    T: 0299-476185
Gorslaan 18       -         1441 RG         -         Purmerend
---------------------------------------------------------------

More information about the NLNOG mailing list