image

Onderzoek: internet veel veiliger dan gedacht

zondag 19 juli 2015, 09:57 door Redactie, 17 reacties

Zowel media als beveiligingsbedrijven komen regelmatig met alarmerende berichten en rapporten die waarschuwen voor cybercrime, datalekken en grote hoeveelheden nieuwe malware en stellen dat de situatie steeds erger wordt. In werkelijkheid is het internet veel veiliger dan veel mensen denken, zo stellen onderzoekers van de Global Commission on Internet Governance.

De onderzoekers beweren dat de veiligheid op internet veel beter is dan het beeld dat media en beveiligingsbedrijven schetsen. Huidige gevallen over cybercrime geven vaak altijd absolute aantallen weer of procentuele toenames op jaarbasis. Het gaat dan bijvoorbeeld om duizenden nieuwe malware-exemplaren die voor Android worden ontdekt of dat de hoeveelheid malware ten opzichte van vorig jaar met 50% is toegenomen.

Normaliseren

Om een nauwkeuriger beeld over de veiligheid op internet te krijgen moeten cybercrimecijfers worden vermeld in verhouding tot de groei van internet. Net zoals moorden bijvoorbeeld per 1.000 mensen per jaar worden weergegeven. De onderzoekers besloten dit zelf toe te passen, waarbij gegevens over botnets, malware en datalekken ten opzichte van het aantal internetgebruikers werden weergegeven. Door de cijfers op deze manier te normaliseren komt er een heel ander beeld naar voren, namelijk dat de absolute aantallen altijd een slechter beeld weergeven dan met genormaliseerde getallen het geval is.

De absolute getallen leiden ook tot misvattingen. Zo zeggen de absolute getallen dat het steeds erger wordt, terwijl de genormaliseerde cijfers juist laten zien dat internet eigenlijk juist veiliger wordt. In het geval beide cijfers aantonen dat het beter gaat, laten de genormaliseerde cijfers zien dat dit sneller gebeurt. En als uit beide cijfers blijkt dat dingen op internet erger worden, dan laten de genormaliseerde cijfers zien dat dit veel trager gebeurt dan bij de absolute cijfers. "Al met al is internet veel veiliger dan over het algemeen wordt aangenomen", aldus de onderzoekers.

In totaal werden dertien cijfers, zoals het aantal botnets, datalekken en kosten voor organisaties, genormaliseerd. In zes gevallen laten de absolute getallen zien dat het slechter gaat, terwijl de genormaliseerde cijfers juist laten zien dat het beter wordt. Bij zes andere tests bleek dat beide getallen aangaven dat het beter wordt, maar laten de genormaliseerde cijfers zien dat dit sneller gebeurt. In een geval was er bij beide methodes een verslechtering te zien, maar vond die bij de genormaliseerde cijfers veel trager plaats.

Verkeerd beeld

De onderzoekers stellen in hun conclusie dan ook dat mensen op dit moment een verkeerd beeld van de veiligheid van internet hebben. Om een beter beeld te krijgen pleiten ze ervoor dat cijfers over cybercrime worden genormaliseerd zodat ook de groei van internet en het groeiende belang van internet wordt meegenomen. Dan blijkt juist dat de huidige beveiligingsmaatregelen die worden genomen voldoende zijn om de groei van het aantal aanvallen te beperken.

"Aangezien de signalen van onveiligheid op internet in de meeste gevallen niet snel erger worden, houdt de snelle groei van internet in dat de algehele veiligheid van cyberspace in veel gevallen verbetert. Het huidige cyber securitybeleid, in plaats van dat het ineffectief is, lijkt de situatie dan ook behoorlijk te helpen." De onderzoekers roepen anti-virusbedrijven dan ook op om hun cijfers voortaan genormaliseerd weer te geven.

Daarnaast stellen de onderzoekers dat er meer data is vereist om een beter beeld te krijgen. "Het ironische van cyber security-onderzoek is dat we in een tijdperk van big data leven, maar dat er eigenlijk zeer weinig data over cyber securitytrends publiek beschikbaar is."

Image

Reacties (17)
19-07-2015, 10:34 door potshot
ontneem de linux aanbidders hun paranoide achtervolgingswaanzin toch niet!
nou ja,alsof dat ooit zou lukken.
19-07-2015, 10:51 door Anoniem
Ik vraag mij af in hoeverre ze dachten dat het internet onveilig was. Was het dan echt zo erg dan?
Door potshot: ontneem de linux aanbidders hun paranoide achtervolgingswaanzin toch niet!
nou ja,alsof dat ooit zou lukken.
Ik denk dat er meer paranoide windows gebruikers bestaan dan paranoide linux gebruikers. linux heeft veel meer voordelen dan windows en gaat niet alleen om de security.
19-07-2015, 11:13 door Anoniem
Wat een onderzoek zeg ...
Leugens en statistiek horen overduidelijk bij elkaar.

Dan Big Data ...
Vroeger hadden de inlichtingendiensten te weinig info, tegenwoordig hebben ze zo veel gegevens dat ze niet weten waar ze moeten beginnen. Zelfde met Big Data. Zet een vuilnisbelt vol briefjes voor een onderzoeker en vraag aan hem wat hij ziet. Het antwoordt zal lachwekkend zijn.

Big Data heeft alleen nut als je weet waar je naar zoekt.
Zoek je gele briefjes dan kun je die vinden, zolang je geen idee hebt waar je naar zoekt is het gewoon een vuilnisbelt meer niet.
19-07-2015, 11:34 door Erik van Straten
Als je het aantal incidenten deelt door het aantal uitgegeven IP adressen, dan valt het inderdaad wel mee en kan best sprake zijn van een gemiddelde afname. En volgens https://www.security.nl/posting/435686/Man+krijgt+13+jaar+cel+voor+grootschalige+datadiefstal+in+VS liggen de persoonsgegevens van 200 miljoen Amerikanen (zo'n 62%) al op straat dus twee keer zo erg kan het al niet meer worden, en moet er wel sprake zijn van een afname. Of?

Wat gemakshalve vergeten wordt als je naar cybercrime kijkt in relatie tot de groei van het internet, is dat die groei bestaat uit IoT (zonder toename van het aantal gebruikers) en derde wereldlanden waar opleidingsniveaus lager zijn en er voor bestaande cybercriminelen slechts kale kippen bijkomen.

Ik weet niet of er sprake is van een toename van cybercrime gericht tegen "westerlingen", maar een afname geloof ik niet.
19-07-2015, 11:54 door ben987
oh gelukkig, kan ik weer overal op klikken :-)
19-07-2015, 12:07 door Anoniem
De onderzoekers hebben genormaliseerd naar het aantal IP-adressen/verbonden apparaten. Ze legitimeren die keuze niet. Als elk mens drie keer zoveel apparaten heeft als eerder, is de impact van onveiligheid voor hem ook drie keer zo groot. De metriek van de onderzoekers blijft echter gelijk.

Volgens mij zegt niemand dat apparaten brakker/onveiliger zijn dan vroeger. Wel zegt men dat het totaal aantal brakke apparaten toeneemt, en dat nieuwe apparaten (IoT en dergelijke) relatief onveilig zijn. Dat staat hier niet ter discussie.

Tenslotte is er secundaire onveiligheidsproblematiek, zoals DDoS-aanvallen via botnets. De problemen die DDoS via een botnet oplevert, hangen af van de absolute omvang van dat botnet, niet van het percentage van alle computers dat erin zit.
19-07-2015, 12:11 door Anoniem
De trend is dat de meeste antivirus oplossingen in de afgelopen jaren veel soorten virussen steeds minder goed detecteren. Ook zijn de virussen steeds minder te vinden op de de harddisk maar alleen nog in het geheugen waardoor de detectie veel moeilijker is geworden. Met de trend dat virussen zichzelf nestelen in BIOS, hard disk controllers, etc zal het allemaal alleen nog maar complexer worden. De vraag is dan ook of de dalende cijfers niet veroorzaakt worden door falende detectie. In welke mate dit invloed heeft kan heel moeilijk onderzocht worden. Je kunt namelijk niet meten wat je niet kunt detecteren.

Ook is de vraag in hoeverre het sterk toegenomen gebruik van tablets en mobiele telefoons is mee genomen in de resultaten van dit onderzoek. Alsook de ontwikkeling dat malware in toenemende mate zich bedient van stenografische technieken, peer2peer en andere technieken die de detectie bemoeilijken. Zolang men geen onderbouwde uitspraken doet over dergelijke ontwikkelingen is het erg moeilijk om de cijfers en analyses op hun waarde in te schatten.

My two cents...
19-07-2015, 12:21 door Anoniem
Door potshot: ontneem de linux aanbidders hun paranoide achtervolgingswaanzin toch niet!
nou ja,alsof dat ooit zou lukken.
Wat dat met Linux te maken heeft? Ik weet het niet, waarschijnlijk verblind door de "eenvoud" van Microsoft?
19-07-2015, 12:26 door Anoniem
Door potshot: ontneem de linux aanbidders hun paranoide achtervolgingswaanzin toch niet!
nou ja,alsof dat ooit zou lukken.

Op basis van de feiten trek je een vreemde conclusie. De veiligheid van internet heeft niets te maken met het verschil tussen Linux en Windows. Als Windows hierdoor veiliger wordt, wat moet dat dan wel niet voor Linux betekenen? Niet te kraken? Waanzinnig veilig?
19-07-2015, 12:32 door Anoniem
Ik heb even vluchtig in de PDF gekeken en kom daar dingen tegen als:

• Het aantal nieuwe zero day vulnerabilities per internernetgebruikers/email-gebruikers/websites per jaar
• Het aantal nieuwe browser vulnerabilities per internernetgebruikers/email-gebruikers/websites per jaar

Dat zouden goede maatstaven zijn als een kwetsbaarheid maar één of een constant aantal internetgebruikers/emai-gebruikers/websites zou raken. Maar als die aantallen groeien zijn er ook meer gebruikers/websites kwetsbaar voor hetzelfde lek. De relatieve getallen zijn hier dus betekenisloos, lijkt me, het zijn wel degelijk de absolute aantallen die ertoe doen.
19-07-2015, 12:34 door Anoniem
Grappig dat niemand de link legt naar de AIVD... zogenaamde cybercrime is één van de AIVD's meest vereerde melkkoeien en excuus om steeds maar om hogere budgetten te bedelen. Dus ik vind het niet zo raar dat er een beeld wordt geschetst dat fear-based is en weinig van doen heeft met de realiteit. De andere melkkoe waarmee men probeert om de mensen de stuipen op het lijf te jagen (en zo het bestaansrecht van de AIVD te verzekeren), dat is de 'jihadgang' in Nederland. Afgezet tegen de totale bevolking hebben we het over.... lees en huiver.... 0,0018%. Poeh poeh.
19-07-2015, 12:39 door atoom
Wat een onderzoek, het is waar je de prioriteit op legt.
Er is veel meer controle/spionage/aftappen/loggen op het Internet door overheden/bedrijfsleven om bovengronds dingen te doen die NIET ?? door de beugel kunnen. Het wordt trouwens steeds moeilijker om ondergronds (in het verborgene) dingen te doen wegens het veelvuldige aftappen van de overheid..
Voorbeelden genoeg op het Internet over grappen die verkeerd aflopen waar de overheid het doelwit was.

Het is de vraag of het wel veiliger is geworden, schijn veiliger ? totalitair controle zodat niemand meer iets doet of naast de pot pist ?
19-07-2015, 13:48 door Anoniem
Door Anoniem: Grappig dat niemand de link legt naar de AIVD... zogenaamde cybercrime is één van de AIVD's meest vereerde melkkoeien en excuus om steeds maar om hogere budgetten te bedelen. Dus ik vind het niet zo raar dat er een beeld wordt geschetst dat fear-based is en weinig van doen heeft met de realiteit. De andere melkkoe waarmee men probeert om de mensen de stuipen op het lijf te jagen (en zo het bestaansrecht van de AIVD te verzekeren), dat is de 'jihadgang' in Nederland. Afgezet tegen de totale bevolking hebben we het over.... lees en huiver.... 0,0018%. Poeh poeh.

Precies, als je tijdens een risico analyse voor een proces uitkomt dat kans x (potentiele)schade laag of van een dermate acceptabel niveau is dan ga je geen grote hoeveelheden geld uitgeven aan, nutteloze, maatregelen. Geldt ook als de potentiele schade hoog kan oplopen maar de kans erop zeer laag is, maatregelen nemen kosten dan alleen maar geld en je lost er weinig mee op zolang je maar een goede baseline hebt. Maar in het huidige angst beleid van onze overheid, (of moet ik de VS overheid zeggen?) lijkt het alsof we morgen allemaal alles gaan verliezen door cybercriminelen en terroristen. En dat beeld wordt vooral geschapen doordat er een miljarden industrie achter zit die geen inkomsten willen derven als het blijkt dat ze zich met zaken bezig houden die weinig toegevoegde waarde hebben. Wat een belangrijkste schakel in de beveiliging is dat men een goede basis moet hebben die gebaseerd moet zijn op een realistische risico inschatting en die ook regelmatig wordt onderhouden waarbij ook iedere te nemen maatregel terug vertaald moet kunnen worden naar het risico waarvoor de maatregel wordt genomen. Is daar een onbalans in dat zit er iets fout in de aanname of de motivatie van de betrokkenen.

Het risico op cybercrime en terreur bestaat zeker, maar hoe realistisch alle maatregelen zijn die daarvoor worden genomen valt te betwijfelen. Al helemaal als je gaat kijken welke schade de maatregelen zelf al aanrichten aan bijvoorbeeld de persoonlijke levenssfeer en de privacy in het algemeen. Indien een maatregel meer schade aanricht dan het oplost moet je je toch even achter de oren krabben of je het dan wel goed begrepen hebt, of, als dat bewust de bedoeling is, moet je je afvragen of je daardoor zelf niet beter bent dan de terrorist of cybercrimineel die je met dergelijke maatregelen wilt bestrijden. Terreur is immers het onderdrukken van de mens en deze ernstige beperkingen opleggen in wat deze mag zeggen, wat deze mag doen en waar deze wil gaan staan. In ons landje 'genieten' we nog van enige vrijheid maar voor hoelang nog want al ons gedrag wordt vrijwel 24x7 vastgelegd en gemonitord. Hoe (on) veilig is dat en hoe hoog was ook alweer het risico waarvoor we onze vrijheid aan het inleveren zijn?
19-07-2015, 14:22 door karma4
Iemand dat document doorgenomen en de "Policy Recommendations" geevalueerd. Als ik het commentaar hierboven zo bekijk kennelijk niet. De fud vanuit marketing om producten te verkopen is een slechte start. Ok dat was het onderzoek.

De doelgroep van het rapport lijken me politici en beleidsmakers op hoog niveau te zijn.
Welke adviezen zijn er te vinden:
- Het zwakke punt zijn de personen (social hack engineering) en
OSS krijgt aandacht (niet het zelfde als gratis- andere discussie).
- Overheidsintstanties zoals de NSA zouden gevonden zero day exploits meteen moeten melden... (zie kanttekeningen)
- Spam and pishing en webbases aanvallen internationaal aan te pakken
- Een kosten verdeling voor de cyberaanpak uhhh een heffing?
- Grote private bedrijven kunnen wel voor zichzelf opkomen, hebben geld zat. Kan wel echter ik mis het aanspreken bij falen Daarmee is de schadepost voor ze onevenredig klein. Dat zou volgend jaar, EU mogelijk anders kunnen worden.
Kleine bedrijven (SME's) zouden extra bescherming geboden moeten worden.
Ik las recent dat UK met zo iets komt.
- Tool leveranciers (end-point security) zouden genuanceerdere berichtgeving moeten doen (minder fud gericht).
19-07-2015, 20:12 door Anoniem
Door karma4: Iemand dat document doorgenomen en de "Policy Recommendations" geevalueerd. Als ik het commentaar hierboven zo bekijk kennelijk niet. De fud vanuit marketing om producten te verkopen is een slechte start. Ok dat was het onderzoek.

Nou wel dus en wat blijkt... De informatie is gebaseerd op totaal verkeerde interpretaties en uitgangspunten. Uit CERT informatie van veel verschillende certs blijkt dat 95 tot 98 % van de bedrijven elk jaar weer tientallen PC's hebben die C&C communicatie laten zien. Het feit dat het aantal malware domeinen daalt kan verklaart worden uit ontwikkelingen zoals p2p omdat dit ook in het voordeel is van de CaaS clubs. Frappant is ook dat de 0days een duidelijke stijging vertonen. Iets wat ook logisch is gezien de sterk toegenomen professionalisering van CaaS.

Feit is dat veel organisaties de werkelijke gevolgen van een malware besmetting helemaal niet onderzoeken. Dus de werkelijke kosten van een malware besmetting zijn domweg helemaal niet bekend. Want de werkelijke impact is vrijwel nooit onderzocht. Men verschoont de PC zoals je een baby zijn luier verschoont en dat is het. Er zijn nog heel weinig organisaties die met behulp van QFlow of Netflow het interne netwerk bewaken. Uit dergelijke data is vaak snel te zien of een device besmet is (afwijkend gedrag) en welke andere laterale acties er zijn geweest.

Het is dus weer een pretentieuze club met dure titels en namen die in wel gekozen bewoordingen ongetwijfeld leuke subsidies binnen haalt binnen het old boys netwerk... Maar inhoudelijk is het duidelijk dat de interpretatie van de cijfers nog wel tot enige discussie zal leiden bij de echte experts. Want laten we wel wezen... De onderbouwing die ik gelezen heb in het document is op zijn minst gekleurd te noemen met de vele verwijzingen naar semi commercieel materiaal van Kasperksi en Symantec... Zoals ze zelf al aangeven is er weinig data beschikbaar en wat er is is vaak niet erg betrouwbaar...

Wat interessant is is om je te realiseren dat de grote acties in toenemende mate door(en voor) overheden en intelligence clubs worden uitgevoerd. Daar is het motto: Een succesvolle actie is een niet gedetecteerde actie!

My two cents...
20-07-2015, 10:17 door Anoniem
is er ook een grafiek die de impact van de kwetsbaarheden en botnets etc. op de gebruikers in kaart brengt? Dit zijn gewoon wat staafjes en lijntjes die niets betekenen... 1 ernstige kwetsbaarheid kan veel meer impact hebben dan 100 kleine. Dit soort grafieken zijn misleidend omdat ze alles over 1 kam scheren.
20-07-2015, 10:54 door Anoniem
ontneem de linux aanbidders hun paranoide achtervolgingswaanzin toch niet!
Grappig dat niemand de link legt naar de AIVD...
Bang om het predikaat "linux aanbidder" te ontvangen?
Leugens en statistiek horen overduidelijk bij elkaar.
Inderdaad, en dit is in de trend van: "er zijn nog maar 3.298 roestende kernwapens, da's een heel stuk veiliger dan 8.729".
Waarbij in mijn voorbeeld de impact vaststaat. De impact van een botnet niet. Dus met aantallen heb je slechts een deel van een beeld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.