Volgende week presenteert Microsoft op de SIGCOMM-conferentie in Barcelona een techniek waardoor verschuilen achter proxies, NATs en een dynamisch IP-adres geen zin meer heeft. Het systeem Hosttracker kan ondanks deze door hackers vaak toegepaste kunstgrepen nagaan op welke de computer de kwaadwillende internetter actief is.

“Waar we naar op zoek gaan, is de echte host achter de aanval”, legt Yinglian Xie uit aan Technology Review. Xie vormt samen met twee andere onderzoekers het team achter Microsoft Hosttracker. “We proberen de identifiers niet te achterhalen, maar onderzoeken een verband met een bepaalde host.”

Betere inschatting van blokkades

Het prototype-systeem van Hosttracker moet uiteindelijk leiden tot een betere verdediging tegen online-aanvallen en spamcampagnes. Bedrijven kunnen beter inschatten welke traffic naar hun domein geblokkeerd moet worden en hackers zullen meer moeite moeten doen om hun activiteiten te camoufleren.

Xie en haar collega’s hebben voor hun onderzoek 330 gigabyte aan maildata onderzocht. Deze gegevens, die een maand lang waren opgeslagen bij een grote mailprovider, bevatten meer dan 550 miljoen e-mailadressen bestaande uit 220 miljoen IP-adressen. Het team is vervolgens nagegaan welk verband bestaat tussen de accountinformatie en de hosts waarvan de email is verstuurd.

Proxyserver niet langer anoniem

Hosttracker kon bij de analyse van de berg e-mails nagaan welke mails vanaf een proxyserver was verstuurd, door te kijken welke hosts gebruikmaakten van hetzelfde IP-adres. Ook kon het systeem ontdekken wanneer vanaf een legitieme host mail verstuurd werd. “We zijn in staat om cyberaanvallen naar de proxy te herleiden. Dat is al een verbetering op zich”, aldus Xie.

De onderzoekers ontdekten ook een manier om automatisch verkeer vanaf een bepaald IP-adres op een blacklist te plaatsen. Hosttracker kan nagaan wanneer een IP-adres wordt misbruikt. In de simulatie leverde dit een foutmarge op van 5 procent. Bij 100 keer testen (met goede data), werd 5 keer data aangemerkt als ‘fout’. Met aanvullende informatie om gebruikers aan te merken als ‘goed’, moet deze foutmarge terug kunnen naar minder dan 1 procent, denken de onderzoekers.

‘Nuttig tegen DDoS en spam’

Gunter Ollman van beveiligingsbedrijf Damballa ziet wel brood in de techniek. “Deze techniek kan ons botnets met veel traffic laten opsporen, zoals spam en DDoS-aanvallen”, zo denkt hij. “Andere aanvallen, zoals het stelen van wachtwoorden en het inbrengen van Trojaanse paarden, profiteren minder van deze soort techniek.”

Volgens Yinglian Xie is Hosttracker bruikbaar om de hosts achter aanvallen te achterhalen, maar wordt het voor justitie hiermee niet gemakkelijker om hackers te veroordelen. Xie zegt dat het aantonen van criminaliteit ook niet het doel is. “We willen alleen de hosts kunnen identifceren.” Bron: Techworld