Niet meer dan twintig internet service providers (isp’s) wereldwijd zijn verantwoordelijk voor bijna de helft van alle internetadressen die spam versturen. Dit blijkt uit onderzoek van het Centrum voor Telematica en Informatietechnologie (CTIT) van de Universiteit Twente (UT) onder ruim 42.000 providers. De universiteit deed onderzoek naar ‘bad neighborhoods’ op het internet: gebieden, soms zelfs geografisch bepaald, vanwaar veel spam, phishing of andere ongewenste activiteit komt.
Giovane Moura heeft zijn promotieonderzoek uitgevoerd in de groep Design and Analysis of Communication Systems, onderdeel van het CTIT van de UT. Hierin bleek dat net als in de echte wereld, ook het internet ‘achterbuurten’ kent waar het niet veilig op straat is en waar de criminaliteitscijfers hoger liggen dan in andere wijken.
Securitymaatregelen
Het onderzoek kan leiden tot betere oplossingen voor de beveiliging. Moura heeft daarom voor het eerst systematisch de kwaadaardige hosts onderzocht, door netwerkgegevens te monitoren en te analyseren. Belangrijke conclusie is dat de kwaadaardige activiteiten zich inderdaad concentreren in beperkte gebieden waarbinnen de ip-adressen sterke overeenkomsten vertonen, per isp of zelfs per land. Zo vond de promovendus ook een enkele isp waarvan 62 procent van de adressen gerelateerd was aan spam. Met deze kennis zijn securitymaatregelen ook te koppelen aan specifieke isp’s.
Opmerkelijk is ook dat verschillende typen activiteiten ook uit verschillende werelddelen komen. Zo komt spam vooral uit zuidelijke Aziatische landen, terwijl phishing vooral voorkomt in de Verenigde Staten en andere ontwikkelde landen. Reden voor dat laatste is dat deze landen de meeste datacenters en cloud computing-providers herbergen.
Beveiligingsstrategie
Ook is er een onderscheid te maken tussen een individueel ip-adres dat slechts eenmaal aanvalt en een hele ‘bad neighborhood’ die bijna altijd meer dan eens aanvalt. Ook dit is uiterst nuttige informatie om een beveiligingsstrategie te kunnen opzetten. De historie van een internetachterbuurt helpt daarbij.
Op zich natuurlijk prima extra beveiliging aan de ontvangende kant, maar dat is niet de helft van het probleem , helaas maar een klein deel.
ISP’ers aanpakken, die dit soort “klanten” hebben is effectiever. Wellicht wat lastiger, maar toch. dat is de bron en niet andersom.
Ik kan niet bevestigen of de vaststelling van Sander juist is, maar indien zo dan is het toch vrij eenvoudig om de hele range van die 20 ISP’s compleet te blokkeren, kleine moeite
Je blokkeerd dan natuurlijk ook een hoop ‘goede’ diensten, waarvan de eigenaren vervolgens moeten verkassen naar andere ISP’s, zodat de boosdoenners snel genoeg tot inkeer zullen komen.
Misschien wel handig om een directe link te geven naar het artikel?
http://eprints.eemcs.utwente.nl/21235/01/noms2012.pdf
Ik vroeg me naleijk af waar de input voor zijn onderzoek vandaan komt. Blijkbaar van de CBL.
Ik ben het met Maarten eens dat de foute ISP’ers ook moeten worden aangepakt als ze criminelen niet willen blokkeren of dit soort lieden zelfs aantrekken met hun bijzondere voorwaarden. Eigenaren van ISP’s die zelf achter de criminele organisaties zitten, mogen wat mij betreft zelfs levenslang uitgesloten worden om nog ooit een ISP, enz. te mogen leiden. Als dit de regel in de westerse landen zou zijn, dan zou een heel groot deel van de ellende kunnen worden voorkomen.
Zo’n voorstel zou door de branche bij de politiek bepleit moeten worden.
Wat mij betreft mogen ze deze ISP’s direct afsluiten. Bij mijn server gebeurt dit ook automatisch als een hacker inbreekt op mijn server, en deze misbruikt voor het versturen van spam. Ik houd mij volgens een (goede) ISP daardoor niet aan de voorwaarden maar heb er ernstig last van. Zijn er geen aansluitvoorwaarden voor het gebruik van IP-adressen? Lijkt mij een goede stok achter de deur als de IANA de IP-adressen bij misbruik kan terugvorderen. ISP’s worden dan misschien wat alerter.