Probleem met afdeling abuse over 'virus' op iOS

Ik ga er eens achteraan. Ben benieuwd. 

Voor de zekerheid heb ik even de geschiedenis van mijn telefoon van de afgelopen 24 uur verwijderd. Ook daar stond dit linkje naar vpnservices*kuch*live in. 

Ik krijg het report ook alleen als ik er om vraag. Ik doe dat altijd om te kijken of ik kan achterhalen welk apparaat het geweest kan zijn

Bij deze het report die ik mee kreeg, in dit geval was het een linkje naar een speciale abuse-pagina waar ik dit gescreenshotted (en gecensureerd) heb. Duidelijk te zien dat het enkel de GET aanroep was op de genoemde http_host tijdens mijn test. En verder was het enkel op het moment dat ik die pagina bezocht.

Deze aanroep gaf overigens een 204 header terug (No Content), waarbij er geen content naar de browser kan zijn verstuurd.

Dus ik hoop dat KPN zulke dingen als 'false positive' gaat zien, en niet enkel naar requests van een malafide URL kijkt. Theoretisch kan het zo zijn dat de auteur van dit topic de request niet via een aparte (malafide) app uitvoert.

Jammer dat je het target-ip adres ook weggepoetst hebt.

Was dat hetzelfde adres als bij @SaZzM.?

Dat was… 85.17.31.xx
Een andere dus! Het kan zijn dat de DNS van de http_host wel eens aangepast lijkt te worden door de malware-crimineeltjes. Alles om waarschijnlijk buiten schot te blijven van firewalls en filtertjes die enkel naar IP's kijken.  Ik ga maar even geen traceroute uitvoeren, voordat ik KPN weer op mijn nek krijg ;).

Dat was dan waarschijnlijk 85.17.31.82 of 85.17.31.122.

Ook dat zijn beide IP adressen van Leaseweb Netherlands B.V., een hosting organisatie.

Overigens heeft vpnservices.live de onderstaande IP adressen.

Tijd voor een abuse reportje bij Leaseweb.

Ik ben overigens benieuwd of KPN nog iets te zeggen heeft over mijn onderzoek, of eventuele actie gaat nemen om de filter te verbeteren. 

Op mijn vraag of KPN nog maatregelen op mijn verbinding neemt, was de reactie:

Bedankt voor uw reactie. Wij wachten de komende periode af of wij nieuwe meldingen over uw internetverbinding zullen ontvangen. Indien dit niet het geval is beschouwen wij dit incident hiermee als afgehandeld.

Een enkele GET aanroep naar de malafide url, wat uitkomt in een NoContent header, zou niet hoeven te resulteren in een waarschuwings mail van KPN ;-). 

En nee, Ik heb geen e-mailtjes meer gekregen. En er werd verder niks beperkt.

@AriënC Ik vind erg knap dat een IOS bot een windows pc kan besmetten.😋

Daarom juist! En van een besmetting kon niet eens sprake zijn, in mijn situatie.

Ja, maar uit nieuwgierigheid een vraag aan @Raymondt . als alleen een bezoek aan een malware-site al een waarschuwing veroorzaakt, hoe detecteren jullie het? Via een DNS aanvraag of via Deep Packet Inspection? 

Hi allen, voor de zekerheid ter info: moderators zijn standaard aanwezig op het forum. Er zijn ook verschillende andere KPN-medewerkers actief, zoals @Raymondt hier in dit topic. Zij werken dus niet standaard op het forum en reageren alleen wanneer zij daar de gelegenheid toe hebben. Houd er daarom rekening mee dat je niet altijd (snel) reactie krijgt.

Wil je graag sneller een reactie, of heb je een persoonlijke vraag aan onze afdeling Abuse, dan kan je hen een mail sturen op abuse@kpn.com. Inhoudelijke, persoonlijke vragen kunnen sowieso enkel goed via de mail beantwoord worden, in verband met privacy, aangezien het forum een openbaar platform is. 

Op https://www.shadowserver.org/ kun je wat meer informatie vinden over hoe zij dingen doen en detecteren.

Deep Packet Inspection is niet toegestaan, dus daar doen we ook niets mee.

Het is weer raak hier 😳

Vorige week m’n iPhone (weer!!) terug gezet naar fabrieksinstellingen met alle ellende van dien (verbindingen met Authenticator voor m’n werk weg, databundel op binnen een uur omdat er kennelijk iets gesynct werd terwijl ik lekker aan het buitenspelen was) 

en nu weer zo’n K-melding van een veiligheidsprobleem… dit ligt echt niet meer aan mij hoor.

Heel erg dank voor jullie hulp allemaal, wordt zeer gewaardeerd van mijn kant maar ik krijg niet het gevoel dat KPN hier iets mee doet.

En als KPN hier niet betere hulp gaat bieden ga ik een andere provider zoeken. Ik ben voor m’n thuiswerk afhankelijk van een goede internetverbinding thuis en kan niet het risico lopen dat ik afgesloten of gehackt wordt.

Ik zelf neem alle voorzorgsmaatregelen die realistisch zijn. 
 

groet, Saskia

@Raymondt, Klopt het dat bij @SaZzM. opnieuw vanaf een iOS apparaat contact gemaakt wordt met "vpnservices.live"?

Wat kunnen jullie voor @SaZzM. betekenen om dit probleem getackeld te krijgen?

@wjb check

Hi wjb,

Volgens mij is je eerste vraag al beantwoord door de screenshot die geplaatst werd.

Uiteindelijk kunnen we niet veel meer doen dan wat we al gedaan hebben. Er is sprake van een probleem wat speelt op een Apple apparaat, en wij constateren dat slechts. Dat hier de bal bij KPN neergelegd wordt is m.i. ook onterecht, maar dat heb ik ook al meerdere malen uitgelegd in dit topic. Als een politieagent je op straat aanhoudt en aangeeft dat je auto dusdanig onveilig is dat je er niet meer mee op de openbare weg mag rijden, is het niet aan die politie om dat probleem op te lossen.

Apple heeft in dit geval een apparaat op de markt gebracht dat vatbaar is voor bepaalde issues, en het is daarmee ook aan Apple om daar een oplossing voor te bieden. Zij weten als geen ander hoe hun apparatuur in elkaar zit, en geprogrammeerd is, en daarmee zijn zij de enigen die echt kunnen pinpointen hoe dit nu steeds gebeuren kan. Je kunt dan natuurlijk op een gegeven moment uit frustratie (en die frustratie begrijp ik uiteraard) naar een andere provider toe gaan, maar ook die zullen een soortgelijk abuse-beleid hanteren en zullen hier consequenties aan gaan verbinden.

@Raymondt, Ik snap dat het aan Apple is om dit issue te tackelen.

Ik had echter gehoopt dat jullie nog een mogelijkheid zouden hebben om de abonnee te helpen om met 100% zekerheid vast te stellen welk apparaat dit issue veroorzaakt.

Nee helaas. Op het moment dat we die informatie hebben, zullen we die altijd delen. Helaas is dat altijd toch nog beperkt.

@Raymondt

Het punt is ook dat een enkele aanroep naar die site via de browser (op poortje 80) ook al voldoende is om dit te triggeren, wat op Windows duidelijk een false-positive is. Wordt daar nog wat mee gedaan?

Misschien is zoiets wel de oorzaak bij de @SaZzM. dat een app een aanroep doet via de browser, net als bij mij gebeurt, terwijl er geen sprake is van een AdLoader.

Is er goed onderzoek gedaan naar deze AdLoader? Op welke poorten vindt misbruik plaats? Ik heb het idee dat er meer filters zouden kunnen worden ingesteld? Want als ik enkel op poort 80 of 443 (SSL) die link zou aanroepen, dan zou ik ook weer een melding krijgen. En dat zou m.i. echt niet mogen. Vooral omdat er toch geen data wordt overgezonden (No Content header).

Of anders: Blokkeer de toegang tot die URL. Probleem opgelost.
Als KPN zou een filter heeft, zoals XS4ALL aanbood dan kan de gebruiker zelf kiezen tot hoever die filter werkt. En ook zal de abuse-afdeling worden ontlast ;-)

Hallo allemaal, 

ik heb KPN verzocht mijn case naar een leidinggevende door te zetten omdat ik denk dat ik er echt alles aan heb gedaan wat redelijkerwijs van mij gevraagd kan worden, en ik kreeg dit antwoord 

dus ik hoop dat het opgelost kan worden. 
allemaal heel erg bedankt voor jullie hulp en suggesties alvast en ik hou jullie op de hoogte.

groet, Saskia

@AriënC nog even een snel antwoord hierop:

Het punt is ook dat een enkele aanroep naar die site via de browser (op poortje 80) ook al voldoende is om dit te triggeren, wat op Windows duidelijk een false-positive is. Wordt daar nog wat mee gedaan?

Ja, absoluut. Het feit dat dit via jouw verbinding zo makkelijk ging vinden we absoluut wat van. Hier wordt naar gekeken dus.

Of anders: Blokkeer de toegang tot die URL. Probleem opgelost.

Ten eerste, dat zou niet mogen. De wet staat dat simpelweg niet toe. Ten tweede, daarmee zou het probleem niet opgelost zijn. Een blokkade van een url zorgt er alleen voor dat de infectie niets meer kan, maar de infectie is er nog steeds. Zou de url bijvoorbeeld veranderen (wat niet ongewoon is bij malware dat eens in de zoveel tijd de url naar de Command & Control server wijzigt) dan kan het weer ongestoord zn gang gaan. Een oplossing als deze staat dus gelijk aan het opzetten van oogkleppen.