Anti-virusbedrijven komen vaak in de media door te waarschuwen voor nieuwe, grote botnets, maar in werkelijkheid maakt omvang helemaal niet uit, zegt onderzoeker Dave Dittrich. "De PR-afdelingen van grote beveiligingsbedrijven zijn erg goed in het gepubliceerd krijgen van nieuwsartikelen over hoe BotX BotY weet te verslaan wat betreft het wereldwijde aantal infecties." In de meeste gevallen zijn de cijfers niet volledig betrouwbaar en ook niet relevant voor het beoordelen van de dreiging, aldus Dittrich, die beveiligingsonderzoeker aan de Universiteit van Washington is. "Kleine botnets kunnen ook zeer succesvol zijn in het veroorzaken van schade en het op illegale wijze verkrijgen van geldelijk gewin." Hij wijst daarbij onder andere naar GhostNet, een klein botnet dat in 103 landen actief was en de computers van ministeries, ambassades en andere belangrijke instanties had geïnfecteerd. En zo zijn er nog meer voorbeelden, van kleine botnets die lange tijd onopgemerkt blijven.

Dittrich bracht de huidige problematiek van botnets en botnetbestrijding in kaart, waarbij cybercriminelen zich veel sneller hebben ontwikkeld dan de verdedigers. Een deel van het probleem wordt door de gebrekkige samenwerking tussen overheden, bedrijven en onderzoekers veroorzaakt. Die moeten een betere vertrouwensband opbouwen en niet op ad-hoc basis, zoals met Conficker gebeurde, in actie komen. Daarnaast werkt ook de techniek van anti-virusbedrijven niet mee.

Social engineering
Volgens de onderzoeker is het niet redelijk of waarschijnlijk dat internetgebruikers stoppen met het bekijken van video's, lezen van blogpostings of het reageren op e-mailverzoeken die legitiem lijken. Social engineering malware is en zal een zeer effectieve wijze blijven om systemen te besmetten. "Het vertrouwen op reactieve identificatie van kwaadaardige sites of programma's, om ze vervolgens via blocklists en signatures te blokkeren werkt ook niet." Virusschrijvers die malware voor gerichte aanvallen ontwikkelen, misbruiken daarbij het business model van anti-virusbedrijven en ook dat zal niet veranderen. "Het huidige model staat niet de tijd en energie toe om elk kleine of gerichte botnet te onderzoeken."

Sandbox
Een deel van de oplossing ligt in het gebruik van een sandbox, die moet voorkomen dat de gebruiker programma's en libraries installeert of de beveiligingsinstellingen van het systeem wijzigt. Dit is voor normaal internetgebruik ook niet vereist. "Waarom dit dan de hele tijd toestaan?" Deze aanpak verschilt van het om toestemming vragen om de rechten tijdelijk te verhogen. "Gebruikers moeten één methode en wachtwoord voor het installeren van applicaties gebruiken en een compleet andere voor algemene webactiviteiten en de twee nooit met elkaar mengen."