On Mon, 24 May 2004, Remco Bressers wrote:
Wat mij opviel is dat je in dit geval een geweldige database aan het bouwen bent voor potentiele hackers/scriptkiddies en wat al niet meer. We kijken even in de VIRBL database voor iedereen met het MyDoom virus en gaan vervolgens keurig staan spammen via poort 3127 van de target. Dit maakt het wel HEEL makkelijk voor hackers niet?
Ik weet niet of ik dat wel zo'n sterk argument vind. Mensen die met mydoom besmette bakjes willen exploiten, kunnen ook gewoon een portscan doen op de netblocks van willekeurige DSL boeren. Of in hun inbox kijken. Dat de virussen steeds vaker gebruikt kunnen worden (en worden) als spamtool, is IMHO reden te meer om besmette hosts te blacklisten.
Los daarvan is de database ook toegankelijk voor abusedesks van ISP's. Die kunnen vervolgens aktie ondernemen. Gelukkig zijn er steeds meer die dat ook inderdaad doen. Een aantal heeft zich inmiddels opgegeven voor de dagelijkse reports die we versturen.
Hetzelfde argument gaat mijn inziens ook op voor 'normale' blacklists. Ook die blacklists kunnen gebruikt worden door spammers om op open-relay te scannen en eventueel te misbruiken. Misschien minder effectief omdat die blacklists (momenteel althans) frequenter gebruikt worden door ISP, maar in principe hetzelfde probleem. Ik denk dat de voordelen van een dergelijke virusblacklists weldegelijk opwegen tegen de nadelen. Voor ISPs die de lijst gebruiken, zorgt dit voor minder bandbreedte en een lagere belasting van de mailsystemen. Ook voorkomt dit helpdesk werk (het uitleggen van bounces naar de valse afzenders, etc...). En ISPs die de blacklist al gebruiken zijn sowieso niet 'vatbaar' voor de spammers die de lijst willen misbruiken. Met vriendelijke groet, Jaap O. Mark IS AbuseDesk -------- I S - I N T E R N E D - S E R V I C E S - B V -------- domeinregistratie - webhosting - colocating - dedicated servers www.is.nl - helpdesk at is.nl - T: 0299-476185 Gorslaan 18 - 1441 RG - Purmerend ---------------------------------------------------------------