Het aantal met bots geïnfecteerde computers in Nederland bedraagt slechts 125.000, wereldwijd gaat het hard de verkeerd kant op. Eind 2008 zouden er wel 100 miljoen bots actief kunnen zijn, die naast creditcardgegevens ook privé foto's stelen. Security.NL had een interview met Dave Rand van . Rand was betrokken bij de ontwikkeling van het internet en is oprichter van het Mail Abuse Prevention System (MAPS) en Kelkea, het bedrijf dat later door zijn nieuwe werkgever werd overgenomen. Volgens Rand laten de eerste twee maanden van dit jaar een zorgwekkende trend zien. In januari en februari werden 2,5 miljoen stuks nieuw malware ontdekt, en dat is "niet goed voor de AV-industrie."

Unieke malware gebaseerd op IP-adres

Door de toename van het aantal bots beschikken computercriminelen over zoveel rekenkracht, dat ze die in de toekomst niet alleen kunnen inzetten voor het kraken van encryptie, maar ook voor het ontwikkelen van unieke malware, gebaseerd op IP-adres. Malware in de toekomst zal daardoor nooit meer generiek zijn, wat de bestrijding nog moeilijker maakt en met name de tijd dat er een update beschikbaar is explosief doet stijgen. "Dan wordt het voor ons een lastige taak om te bepalen wat we detecteren en wat niet," laat Rand weten. Daarom ziet hij in de toekomst een rol weggelegd voor het analyseren van het gedrag op en binnen het netwerk, bijvoorbeeld hoeveel klanten tegelijkertijd een bepaalde website opzoeken.

Anti-virusbedrijven roepen dit al jaren, maar een goed systeem dat inderdaad het gedrag herkent is volgens de bevlogen beveiliger niet op korte termijn beschikbaar. Een ander punt waar Trend Micro op inzet is het analyseren van 'bestandsgedrag'. Zo kijkt de reputatie software van Trend Micro naar de inhoud van een worm of virus. Als daar een URL wordt aangetroffen voert men die in het systeem in, waarna wordt gekeken of er meer domeinen met dezelfde gegevens zijn geregistreerd of dezelfde nameservers gebruiken. Op die manier kan men al vroeg kwaadaardige websites blokkeren. Daarnaast zijn er nog een aantal andere zaken, maar die wil Rand niet verklappen.

100.000.000 unieke bots in 2008

Rand zei zeven jaar geleden in een interview dat zijn 12-jarige dochter al gespamd werd, en dat hij bang was dat de eerste e-mail voor zijn 1-jarige dochter, die toen nog geen e-mailaccount had, spam zou zijn. Die vrees werd waarheid, want het eerste bericht was inderdaad spam. Het probleem is inmiddels zo omvangrijk dat 99,9% van de spam afkomstig is van zombies. In 2005 was de spam nog afkomstig van 2,1 miljoen unieke IP-adressen per maand, een aantal dat in 2007 tien miljoen bedroeg. Rand vertelt dat als deze trend wordt doorgetrokken er dit jaar 20 miljoen unieke IP-adressen zijn. Hij verwacht echter dat eind 2008 het aantal eerder rond de 100 miljoen zal liggen. Het totaal aantal besmette systemen die nu op het internet zijn aangesloten zou zo'n 175 miljoen bedragen, maar dat is een onbevestigd cijfer merkt Rand op.

Nederland de beste!

Zoals onderstaande grafiek laat zien is het aantal bots in Nederland veel lager dan in vergelijking met bijvoorbeeld Engeland of Turkije. Rand geeft hiervoor drie redenen. Ten eerste is de Nederlandse consument bewuster van internetveiligheid. Ten tweede zijn de ISPs actief bezig met het opsporen van besmette machines en waarschuwen van klanten. Als laatste is er de nodige media aandacht voor het onderwerp. Daardoor zijn er nergens in de wereld verhoudingsgewijs gezien zo weinig bots actief als hier. Op de vraag of wij slimmer zijn dan de rest laat Rand weten dat dit inderdaad het geval lijkt.

In andere landen zijn de internetproviders veel minder oplettend. Bijvoorbeeld in Turkijke wordt massaal gespamd via de netwerken van Turkish Telecom, maar de ISP negeert de problemen. Rand noemt als voorbeeld AOL, dat in 1998 een van de grootste spambronnen op het internet was. "Omdat het besloot te veranderen is inmiddels de hoeveelheid spam daar zo goed als verdwenen." En dat proces moet ook bij andere ISPs inzetten. De onderstaande grafiek laat niet het totaal aantal bots zien, maar de trend die plaatsvindt.

Op huidskleur zoekende bots stelen privé foto's

Geïnfecteerde machines worden niet alleen gebruikt voor het versturen van spam en uitvoeren van DoS-aanvallen, ze zijn ook ideaal voor het installeren van spyware of het stelen van vertrouwelijke gegevens. Traditioneel ging het dan om creditcardgegevens, logins voor bepaalde webservices, betaaldiensten en e-mail. Tegenwoordig zijn er bots actief die fotobestanden doorzoeken op huidskleur en daarna stelen. De vaak pikante foto's kunnen dan bijvoorbeeld op websites worden geplaatst die hier geld voor betalen of voor afpersingsdoeleinden worden ingezet.

Veel consumenten zeggen dat ze geen vertrouwelijke gegevens op hun computer hebben staan of zijn zich hier in de meeste gevallen niet van bewust. Zo kwam Rand een keer bij zijn tandarts, die geen virusscanner op de computer gebruikte. De tandarts begreep niet waarom Rand zich zo druk maakte, aangezien er geen belangrijke data op de machine stond. Een korte vraagronde leerde echter dat er sofi-nummers, creditcardgegevens, namen andere informatie op de PC was opgeslagen. De tandarts trok wit weg. Het is echter dit bewustzijn dat bij mensen moet doordringen.

Betere voorlichting en tools

Rand pleit daarom voor meer voorlichting en betere tools. Het moet eenvoudiger voor consumenten worden om hun systemen te upgraden en in de gaten te houden. Hij voorziet zelfs een geheel nieuwe bedrijfstak die zich hier gaat mee bezighouden. "Net zoals we een paar honderd jaar geleden de piraten moesten overkomen, hebben we nu met de digitale variant te maken. Het probleem is dat ze niet meer fysiek aanwezig hoeven te zijn om je schip te enteren." De voorlichting geldt trouwens niet alleen voor consumenten. Bij bedrijven speelt dezelfde problematiek, die vaak denken dat als ze een "box" neerzetten, de beveiliging geregeld is. Dat komt doordat beveiliging nog niet bij de top van het bedrijfsleven en het bestuur is doorgedrongen.

Internetpolitie hard nodig

Het bestrijden van internetcriminaliteit kent geen "zilveren kogel". Naast voorlichting en betere software moet ook wetgeving worden betrokken. Op dit moment hebben veel cybercriminelen vrij spel omdat het land van waaruit ze opereren geen wetgeving kent of laks is met handhaving. Er moet daarom een internetpolitie komen die wereldwijd de bevoegdheid heeft om te opereren, aldus Rand. Hij ziet ook de nodige olifanten op de weg, want hoe regel je de privacy?. Hoe zorg je ervoor dat de internetpolitie niet wordt misbruikt voor andere doeleinden? Wanneer is iemand een internetcrimineel, alleen omdat die e-mail gebruikt? Allemaal punten waar Rand geen antwoord op heeft. "Er moet iets gedaan worden." En dat is ook zijn boodschap, maak mensen bewust en werk gezamenlijk aan een oplossing voor het probleem.

Later vandaag het tweede deel van het interview met Dave Rand