Ministerie meet botnetbesmetting per provider
Gepubliceerd: Woensdag 7 juli 2010
Auteur: Ernst-Jan Hamel
In opdracht van het ministerie van Economische Zaken gaat de TU Delft onderzoek doen naar de omvang van botnetbesmetting in Nederland. Ook de infectiegraad per providernetwerk wordt gemeten.
Met het onderzoek wil het ministerie naar eigen zeggen inzicht verkrijgen in de aard en omvang van het probleem, en betrouwbare data verzamelen over geïnfecteerde machines en de trends hierin. Vier onderzoekers van de TU Delft onder leiding van hoogleraar Technische Bestuurskunde Michel van Eeten hebben de opdracht gekregen dit in kaart te brengen.
Pc's in quarantaine
Zonder een onderzoek naar de omvang van het probleem is het "lastig om te beoordelen of de maatregelen die getroffen worden om geïnfecteerde machines aan te pakken wel effectief zijn, zoals het zoeken van contact met klanten door ISP's, het in quarantaine plaatsen van geinfecteerde machines en het geven van voorlichting aan eindgebruikers", laat Economische Zaken (EZ) in e-mail aan Webwereld weten.
Het ministerie vraagt zich af wat providers concreet doen aan het ontmantelen van botnets. "Dat maakt het urgent om verifieerbare empirische data te verzamelen die hierover meer duidelijkheid kan verschaffen."
Botnetconvenant
Het door EZ geïnitieerde onderzoek staat los van het botnetconvenant dat providers in augustus 2009 tekenden. Hierin spraken providers af om vanaf januari 2010 kennis en informatie onderling te delen, onder regie van toezichthouder OPTA. "Dat is in wezen iets van de providers zelf", laat EZ weten.
Economische Zaken laat onderzoeken hoeveel geïnfecteerde machines zich in Nederland bevinden ten opzichte van andere landen. Ook worden benchmarks ontwikkeld die "de infectiegraad binnen de verschillende netwerken met elkaar kunnen vergelijken, zowel onderling als met netwerken in andere landen".
Winstmarges
Van Eeten van de TU Delft vertelt aan Computable dat providers worstelen met het actief aanpakken van besmette pc's van hun klanten. "Als een klant een provider één of twee keer per jaar belt, is de hele winstmarge op die klant weg. En als jij klanten in quarantaine plaatst, dan gaat een deel van hen je bellen. Dat weerhoudt aanbieders ervan om botnets op grote schaal aan te pakken."
Voor het onderzoek worden diverse databronnen gebruikt en vergeleken. Dit zijn volgens EZ data uit een spam trap, de incident data van het Internet Storm Center en 'sinkhole data' van het Conficker botnet. "Dit zijn drie volstrekt verschillende bronnen die de onvermijdelijke tekortkomingen die elke bron kent, in belangrijke mate kunnen compenseren."
Platform Internetveiligheid
Economische Zaken verwacht eind dat het onderzoek eind dit jaar gepresenteerd wordt. De uitkomsten worden volgens EZ gebruikt om de dialoog over de aanpak van botnets in het Platform Internetveiligheid te voeden en aan te zwengelen. In dit platform zitten providers en de overheid samen. De inbreng en interpretatie van de onderszoeksresultaten door providers worden in het onderzoek verwerkt.
De TU Delft presenteerde afgelopen mei al de resultaten van een vier jaar durend onderzoek naar botnets, in opdracht van de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO). Uit een analyse van de herkomst van 63 miljard spamberichten bleek dat 50 grote isp's wereldwijd vernantwoordelijk zijn voor 50 procent van alle botnet-pc's. Volgens het onderzoek is één op de 20 consumentenpc's onderdeel van een botnet.
