Wat je nog niet wist over botnets

Gisteren verscheen een onderzoek van Symantec over botnets. Wat een botnet is hoeft hier niet te worden uitgelegd. Over de mate van overlast weet elke lezer waarschijnlijk uit eigen ervaring genoeg te melden.

Waarom dan toch aandacht voor het huiswerk van Symantec? Heel eenvoudig omdat de overzichten zo leuk en leerzaam zijn. Dat Rusland het onbetwiste nummer een botnet land van Europa viel wel te verwachten. Het zal komen door zowel de omvang als de techniek. Hoewel de kaartjes het niet melden lijkt het aannemelijk dat hier ook de grootste populatie aan het internet verbonden XP machines (of nog ouder!) te vinden is. Dat het ook een betrekkelijk veilige basis is voor het runnen van op het Westen gerichte botnets is noemen we voor alle zekerheid ook nog maar als extra reden.

Dat Madrid als Botnet hoofdstad van Europa wordt gelabeld is dan wel weer opmerkelijk. De nummers 2 en 3, Istanboel en Moskou leken daarvoor toch meer kansrijke kandidaten. Zouden er in Madrid dan ook zoveel XP machines in gebruik zijn of duidt het op chronisch onveilige netwerken aan provider zijde? Wie nog heeft onthouden dat Telefónica het eerste WannCry slachtoffer was en iets weet over de koper en coax infra in de Spaanse hoofdstad zal de oorzaak van deze weinig florissante eerste plek bij meer dan alleen endusers zoeken.

Maar goed, we kunnen lachen om Madrid en het hoofdschudden over Istanboel en Moskou, we staan zelf ook wel in het lijstje. Nederland op een 8ste plek als het gaat om de botnet populatie van Europa. Symantec ziet 4,5% van de endusers besmet zijn. Toppunt is toch wel Utrecht. De stad is nummer 4 als het gaat om besmette steden. Daar moet toch heel wat verkeerd gaan om op slechts 0,7% afstand van de nummer 3 Moskou te eindigen.

Er schieten twee mogelijke oorzaken te binnen als het gaat de kwalijke positie van Utrecht te verklaren. De eerste is Surfnet. Wie weet worden alle besmettingen wel aan een IP gekoppeld en dan is de omvang van het Surf netwerk de verklaring. En die tweede oorzaak zou de opdrachtgever van het onderzoek kunnen zijn. Symantec heeft een mooi kantoor aan de buitenkant van Utrecht. Het is toch niet zo dat ze daar een batterij eigen sinkholes en honeypots hebben die ze vergeten zijn uit de metingen te filteren.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.