‘Achterbuurten’ op internet zorgen voor veel overlast
01 maart 2013 door Eos-redactieNiet meer dan twintig Internet Service Providers (ISP’s) zijn verantwoordelijk voor bijna de helft van álle internetadressen die spam versturen, op een totaal aantal van ruim 42.000 onderzochte providers.
Niet meer dan twintig Internet Service Providers (ISP’s) zijn verantwoordelijk voor bijna de helft van álle internetadressen die spam versturen, op een totaal aantal van ruim 42.000 onderzochte providers. Dat is een van de opmerkelijke uitkomsten van een uitgebreid onderzoek van het Centrum voor Telematica en Informatietechnologie (CTIT) van de Universiteit Twente.
Net als in de echte wereld, kent het internet ook ‘achterbuurten’ waar het niet veilig is op straat en waar de criminaliteitscijfers hoger liggen dan in andere wijken. Onderzoeker Giovane Moura bracht voor zijn proefschrift deze achterbuurten op het internet in kaart: gebieden, soms zelfs geografisch bepaald, vanwaar veel spam, phishing of andere ongewenste activiteit komt.
Onderzoek naar deze ‘Bad Neighborhoods on the Internet’ kan leiden tot betere oplossingen voor de beveiliging. Moura heeft daarom voor het eerst systematisch de kwaadaardige hosts onderzocht, door netwerkgegevens te monitoren en te analyseren. Belangrijke conclusie is dat de kwaadaardige activiteiten zich inderdaad concentreren in beperkte gebieden: gebieden waarbinnen de IP adressen sterke overeenkomsten vertonen, per Internet Service Provider of zelfs per land. Zo vond de promovendus ook een enkele ISP waarvan 62% van de adressen gerelateerd was aan spam. Met deze kennis zijn securitymaatregelen ook te koppelen aan specifieke ISP’s.
Geografisch bepaald
Opmerkelijk is ook dat verschillende typen activiteiten ook uit verschillende werelddelen komen. Zo komt spam vooral uit zuidelijke Aziatische landen, terwijl phishing vooral voorkomt in de Verenigde Staten en andere ontwikkelde landen: reden voor dat laatste is dat deze landen de meeste data centers en cloud computing providers herbergen. Daarbij is ook een onderscheid te maken tussen een individueel IP-adres, dat slechts éénmaal aanvalt en een hele Bad Neighborhood die bijna altijd meer dan eens aanvalt. Ook dit is uiterst nuttige informatie om een beveiligingsstrategie te kunnen opzetten. De historie van een Bad Neighborhood, zoals door de promovendus in kaart gebracht, helpt daarbij.