Nieuws
image

Beveiligingsbedrijf erkent fout in botnetcijfers

vrijdag 29 oktober 2010, 09:52 door Redactie, 5 reacties

Beveiligingsbedrijf Damballa erkent dat het fouten in de onlangs gepubliceerde en inmiddels teruggetrokken botnetcijfers heeft gemaakt, waardoor een Duitse hostingprovider er zeer bekaaid afkwam. Volgens de statistieken van Damballa was hostingprovider 1&1 voor 11% van al het onderzochte botnetverkeer verantwoordelijk. De provider liet in een verklaring weten dat het juist zeer actief botnetverkeer naar sinkhole domeinen doorstuurt, waardoor de cijfers een vertekend beeld gaven.

Kort daarop verdween zonder enige reden de blogposting van Damballa. In een nieuw bericht erkent het bedrijf fouten te hebben gemaakt. Het onderzoek hield namelijk geen rekening met 'sinkholes'. Als reden geeft Damballa dat de industrie geen informatie over sinkholes deelt, wat het zeer lastig maakt om te achterhalen waarom besmette hosts met deze domeinen communiceren.

Probleem
"Door C&C domeinen aan ons onderzoek toe te voegen die naar een sinkhole wijzen, zijn de gegevens die met het netwerk van 1&1 Internet AG geassocieerd zijn, verkeerd weergegeven." Damballa merkt verder op dat de afwezigheid van een centrale autoriteit of verwijzing voor sinkhole domeinen, een probleem voor onderzoekers is.

"Een actieve lijst van IP sinkholes en netwerken die gebruikt worden om cybercrime te bestrijden, is iets waar de "white-hat" gemeenschap aan moet werken." Vanwege de foute data is uiteindelijk tot verwijdering van de blogpost over te gaan, aldus de beveiliger.

Reacties (5)
29-10-2010, 10:01 door Anoniem
"Een actieve lijst van IP sinkholes en netwerken die gebruikt worden om cybercrime te bestrijden, is iets waar de "white-hat" gemeenschap aan moet werken."

Daar kan men wel aan willen werken, maar lang niet iedere organisatie die dergelijke technieken toepast, zal deze informatie met de buitenwereld willen delen ? Welk belang heeft men daarbij ?
29-10-2010, 10:06 door Anoniem
Wat is precies de positie van de sinkhole domeinen, kan iemand mij dat uitleggen?

Zijn dat nep-bots die zich bij C&C servers aanmelden, maar die onder controle staan van onderzoekers zoals bij honeypots, of zijn het domeinen waar C&C servers commando's naar toe sturen, terwijl alle bots in dat domein in feite niet bestaan?
29-10-2010, 10:41 door Anoniem
Beste security.nl redactie, ik wilde even doorgeven dat de SSL versie van dit bericht: https://secure.security.nl/artikel/34912/1/Beveiligingsbedrijf_erkent_fout_in_botnetcijfers.html ook want content gewoon via HTTP serveert waardoor de browser geen versleutelde verbinding kan garanderen en een melding hierover geeft.
29-10-2010, 13:43 door SirDice
Door Anoniem: Wat is precies de positie van de sinkhole domeinen, kan iemand mij dat uitleggen?
De servers resolven die domeinnamen die die bots gebruiken naar een apart stuk network. Daar verdwijnt de data, er komt ook niets van terug. Een soort blackhole dus.
29-10-2010, 14:01 door Anoniem
Erg fijn indien zo'n actieve lijst van IP sinkholes en netwerken t.b.v. cybercrime bestrijding in handen komt van de "black-hat" gemeenschap. En de grens tussen die gemeenschappen is in de relateit vrij vaagjes. Genoeg mensen met een dubbele pet. Het maken van zo'n lijst lijkt mij een uitermate domme zet, nog afgezien van het feit dat medewerking voor het maken van zo'n lijst nogal moeilijk te verkrijgen is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search