De afdeling Informatica van de Vrije Universiteit in Amsterdam start met een budget van 700.000 euro een van de grootste onderzoeken naar het opsporen en bestrijden van wormen en virussen op internet.
Het onderzoekprogramma van de VU richt zich in het bijzonder op geavanceerde, zich snel verspreidende aanvallen op snelle netwerkverbindingen. Het uiteindelijke doel is identificatie en preventie van cyberaanvallen vast te stellen voordat ze de kans hebben gekregen om zich te verspreiden.
Volgens Herbert Bos, leider van het onderzoek aan de VU, is het weliswaar de taak van politie en justitie om de wormverspreiders op te pakken en te vervolgen, maar hebben netwerkbeheerders en zelfs individuele gebruikers in eerste instantie de plicht om een worm te vinden en te stoppen. “Je kunt het vergelijken met een terroristische organisatie die een dodelijk virus verspreidt: het is de zaak van elke dokter en zelfs van iedere burger om ervoor te zorgen dat het virus zich niet verspreidt. Het is vervolgens de zaak van de politie om uit te zoeken wie het verspreid heeft en om deze mensen op te pakken.”
Bij het onderzoekprogramma zijn drie projecten betrokken. Het DeWorm project richt zich op het opsporen van de allersnelste wormen (flash-worms). Zulke wormen zijn in staat gebleken om zich binnen enkele minuten te verspreiden naar elke kwetsbare computer op het Internet. Om ze te bestrijden, wordt eerst gekeken naar afwijkende patronen op hoog niveau in het netwerkverkeer (bijvoorbeeld: er is veel meer verkeer bestemd voor een bepaald programma dan gebruikelijk). Als zo´n afwijkende stroom datapakketten is gevonden, dan wordt deze vervolgens onderworpen aan een byte-voor-byte data-inspectie.
Het Europese NoAH project houdt zich bezig met het opzetten van een pan-Europees netwerk van honeypots. Dit zijn de internet-equivalenten van bliksemafleiders: pc's die bewust open worden gezet om cyber-aanvallen uit te lokken. Als een aanval de honeypot bereikt, wordt hij automatisch ontleed en het signalement van de aanval wordt doorgestuurd naar machines en instanties die zich bezighouden met het blokkeren van zulke pakketten.
Het Europese Lobster project ontwikkelt een Europese infrastructuur van netwerkmonitoren voor de backbone-verbindingen, waarmee beveiligingsprogramma´s het netwerk in de gaten kunnen houden (en alarm kunnen slaan als ze een uitbraak van wormen of virussen wordt vinden).
De 700.000 euro is overigens de som van drie verschillende subsidies: twee EU-subsidies en een subsidie van NWO/STW.
