Providers zijn cruciaal zijn bij de bestrijding van netwerken van met malware geïnfecteerde machines, maar pakken slechts een fractie van de botnets aan. Dat zegt Michel van Eeten, professor Techniek, Bestuur & Management aan de Technische Universiteit (TU) Delft in een op 8 juni 2010 gepresenteerd onderzoek dat hij deed in opdracht van de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO). Hij doet momenteel in opdracht van het ministerie van Economische Zaken vervolgonderzoek naar dit onderwerp.
In augustus 2009 kondigden veertien Nederlandse internet service providers (ISP's) aan te gaan samenwerken in de strijd tegen deze netwerken van met malware geïnfecteerde machines. De Delftse professor is echter kritisch over de schaal waarop botnets momenteel door providers worden aangepakt.
Uit op dinsdag 8 juni 2010 gepresenteerde onderzoek, dat van Eeten deed in opdracht van de de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO), blijkt dat providers cruciaal zijn bij de bestrijding van netwerken van met malware geïnfecteerde machines. De professor schrijft in het onderzoekspaper: 'Vanuit beleidsperspectief is dat een interessant gegeven. Inspanningen om collectieve actie te bewerkstellingen – hetzij via zelfregulering, hetzij via overheidsingrijpen – kunnen in eerste instantie effect hebben wanneer gefocused wordt op de verzameling providers die samen het grootste marktaandeel heeft.' Voor de langere termijn is echter 'meer werk nodig om te onderzoeken hoe het bestrijden van botnets voor providers belonender kan worden gemaakt.'
Samenwerking veertien Nederlandse internetproviders
Veertien Nederlandse internetproviders besloten in augustus 2009 kennis en informatie over geïnfecteerde pc's te gaan delen, om op die manier botnetwerken sneller op te merken. Door de samenwerking verwachtten providers pc's in een vroeger stadium tijdelijk van het internet af te kunnen sluiten, om zo verdere verspreiding van het probleem te voorkomen. Van Eeten: 'We doen een project voor het ministerie van Economische Zaken, een follow-up van het onderzoek in het paper, dat dit ISP-initiatief gaat voeden met meer inzicht en feiten.'
Van Eeten is in het op dinsdag 8 juni gepresenteerde rapport kritisch over de huidige inspanningen van de providers. Zo schrijft hij: 'De grootste ISP's in Nederland, met een gezamenlijk marktaandeel van negentig procent, hebben een convenant gesloten om hun bereidheid te tonen om botnet-activiteit aan te pakken binnen hun eigen netwerken. Ze claimen dat hun organisaties al procedures in bedrijf hebben, om contact op te nemen met klanten wiens computers met malware besmet zijn. Dat kan zo zijn, maar er zijn momenteel geen gegevens beschikbaar over de schaal waarop deze procedures uitgevoerd worden. Schaal echter is cruciaal, omdat er aanwijzingen zijn dat ISP's slechts een fractie van geïnfecteerde machines binnen hun netwerk aanpakken.'
Vijf procent van alle machines in netwerken geïnfecteerd
Van Eeten haalt een eerdere studie van zijn hand aan bij een 'grote provider met vier miljoen klanten'. Deze benaderde naar eigen zeggen ongeveer duizend klanten per maand, om hen erop te wijzen dat hun machine geïnfecteerd is. Maar, aldus van de professor: 'Volgens schattingen van beveiligingsonderzoekers is ongeveer vijf procent van alle machines in netwerken geïnfecteerd met malware. Dat wijst op ongeveer tweehonderdduizend besmette machines voor deze specifieke provider.'
Van Eeten wil met dit voorbeeld overigens niet zeggen dat providers de plicht hebben om contact op moeten nemen met alle eigenaren van geïnfecteerde computers. Hij noemt het voorbeeld alleen om de urgentie aan te tonen van zijn onderzoek naar de rol van providers bij de bestrijding van botnets.