Malware die misbruik maakt van beveiligingslekken in browsers kan worden herkend aan aan bepaalde karakteristieken van het http-verkeer. Het gebruik van poort 8080 is zo’n aanwijzing, net als de geografische locatie waarvandaan de website gehost wordt. Dat blijkt uit onderzoek door twee studenten van de Universiteit van Amsterdam (UvA), Thijs Kinkhorst en Michael van Kleij. Ze wonnen met hun afstudeerscriptie de Joop Bautz Information Security Award 2009.
De jury van deze prijs noemde hun gezamenlijke scriptie ‘voortreffelijk in elke categorie en erg relevant voor de maatschappij.' De studenten van de faculteit systeem- en netwerkontwerp (SNE) van de UvA bezochten voor hun onderzoek een verzameling websites die erom bekend staan malware te verspreiden. Ze bezochten ter vergelijking ook een aantal ‘schone' websites. Hun hoop was om via de analyse van bepaalde karakteristieken van het http-verkeer indicatoren te kunnen destilleren voor ‘drive-by infections'. Dat zijn besmettingen door malware die misbruik maakt van beveiligingslekken in browsers.
Vreemd gedrag
Tot de karakteristieken die een aanwijzing vormt voor de aanwezigheid van dit soort malware bleek het gebruik van poorten met bepaalde nummers te behoren. De studenten schrijven: ‘Geen van de geteste schone websites gebruikt poort 8080. Het gebruik van die poort zou een aanwijzing kunnen zijn voor kwaadaardig verkeer, vooral omdat alle sessies naar websites met malware, net als sessies naar schone websites, begonnen op poort 80. Maar ergens gedurende de sessie werd vervolgens poort 8080 geïntroduceerd. Dat is vreemd gedrag.'
Joop Bautz
De JBISA-award draagt de naam van de in 2000 overleden Joop Bautz, een pionier binnen het vakgebied Informatiebeveiliging. De wedstrijd is georganiseerd door de verenigingen ECP.NL, ISACA, NOREA en PvIB. De prijsuitreiking vond plaats op 14 oktober 2009 in de Reehorst te Ede tijdens het Security-Congres. De ingezonden werken zijn gepubliceerd op de JBISA-website. Voor het winnende werkstuk werd tweeduizend euro uitgekeerd.
