Reacties sector op McAfee-rapport

Begin deze week noemde McAfee Nederland een broeinest van besmette websites. Dit was één van de opmerkelijke resultaten uit het McAfee Threats Report: Q2 2012. Een logische verklaring die werd gegeven: “Nederland telt binnen EMEA erg veel, vooral kleinere hostingbedrijven.”

Wij vroegen verschillende experts uit de sector om een reactie. We kregen antwoord van Hans van de Looy (Madison Gurkha), Pieter de Haer (Previder), Erik Hensema (HostingXS), Alain Gotz (Shock Media) en Teun Vink (BIT).

Wat is je reactie op deze verklaring?

Verzadiging
“Zowel nationaal en internationaal zijn wij een interessant land om content te plaatsen,” vertelt Gotz. “Wanneer je als land veel host, dan heb je relatief gezien natuurlijk ook meer kans op besmette websites. Aan de andere kant zijn er erg veel hosters welke niet de capaciteit, kennis of motivatie hebben om afdoende controle uit te oefenen op hun server(s) of netwerk. Dat probleem zie je overigens niet alleen bij de kleinere partijen. Daarnaast is de markt voor partijen die alleen simpele hosting aanbieden redelijk verzadigd waardoor de verdiensten steeds minder worden. Hierdoor zal het voor een aantal van deze partijen aantrekkelijk zijn om af en toe een oogje dicht te knijpen als een goed betalende klant wat dubieuze content host.”

Verbaasd
“Het is natuurlijk een zorgelijke trend,” geeft de Haer aan. “Veiligheid op internet in het algemeen is een belangrijk aandachtspunt. De hostingsector speelt daar ook een belangrijke rol in bij het voorlichten van klanten en het aanbieden van oplossingen. Ik denk wel dat we het percentage in perspectief moeten zien van het aantal websites dat in Nederland gehost wordt. Volgens het rapport is Nederland immers “the chief hosting nation”. Verder zijn we ook verbaasd over deze cijfers. We zien zelf dat de aanvallen vooral uit het voormalig Oostblok, Afrika en Mexico komen.”

Voor ‘eigen hoster spelen’
Bij HostingXS merken ze dat veel van onze concullega’s achteloos omspringen met de beveiliging van hun infrastructuur. “Dat zit hem echt niet alleen bij de kleine hosters,” zegt Hensema. “Er zijn ook grote prijsvechters die een server lijken te ‘vergeten’ nadat hij geïnstalleerd is. We zien wel veel gevaar in bedrijven die hosting even ‘er bij’ doen. Reclamebureaus of websiteontwikkelaars die zelf de hosting van hun eigen websites hosten op een gehuurde server. Het huren van zo’n (vaak virtuele) server is erg laagdrempelig. Het huren van een managed server is een stuk duurder dan even zelf een panel als directadmin installeren en ‘je eigen hoster spelen’. Maar er blijkt vaak toch veel meer bij te komen kijken dan ze zelf vooraf dachten. We zien in de praktijk erg veel van dit soort ‘zelf-hosters’ die uiteindelijk toch teleurgesteld zijn. Voor hun is maar één goede oplossing: managed hosting. Dit kost wat meer, maar levert ook een veel betere kwaliteit.”

Niet per definitie verantwoordelijk
“Als ik het rapport vluchtig doorneem dan zie ik inderdaad dat Nederland binnen het totaal van Europa en Midden Oosten (dus niet Afrika — en de kop lijkt aan te geven wereldwijd en dat is helemaal zeker niet het geval!!) verantwoordelijk is voor het ter beschikking stellen (hosten) van ongeveer 75% van de zogenoemde ‘malicious content’,” laat van de Looy weten. “Of dat door het (wellicht grote – ik beschik niet over die cijfers) aantal kleine hostingbedrijven dat Nederland kent komt durf ik niet te zeggen. Uit recente onderzoeken door Politie en Justitie blijkt dat juist grote hostingbedrijven gewoon betalende klanten hebben die ook dergelijke ‘malicious content’ ter beschikking stellen. Verder blijf ik van mening dat een hostingbedrijf niet per definitie verantwoordelijk is voor de systemen die er worden ondergebracht (behalve als dat contractueel is vastgelegd) en ben ik eigenlijk vooral benieuwd naar de verdeling besmette servers ten opzichte van de voornoemde commerciële systemen.”

Relatieve grafieken en weinig absolute getallen
“In het verleden hebben diverse makers van antivirussoftware in hun rapportages dingen over verhoudingsgewijs veel misbruik vanuit Nederland gezegd, dit is niet de eerste melding,” geeft Vink aan. “Het lastige met dit rapport is dat er veel gebruik gemaakt wordt van relatieve grafieken, je ziet niet al de absolute getallen die erbij horen. Wel zie je dat Europa/EMEA ook weer ongeveer 50% van het wereldwijde aantal malware hosters omvat. Het is dus niet zo dat er maar een paar gevallen zijn en die toevallig in Nederland staan waardoor de grafiek er zo beroerd uitziet. Ook mist een beschrijving van de gebruikte meetmethode. Een ander bedrijf (Arbor) heeft wel wat gedetailleerdere statistieken online staan, maar helaas niet over hosting van malicous code (alleen botsnets en phishing).”

Vink geeft verder aan dat naast de situatie waarbij malware hosters bewust inkopen in Nederland, het ook best waar zou kunnen zijn wat McAfee zegt (verondersteld dat we inderdaad verhoudingsgewijs meer kleine hosters hebben), namelijk dat daar verhoudingsgewijs (te) weinig aandacht voor veiligheid is. “Het eerste punt (beschikbaarheid van goedkope hosting) maakt het makkelijk om zelf een bedrijfje te beginnen wat hosting aanbiedt. Vaak wordt er zelfs al panel-software voor beheer meegeleverd en wordt met behulp van standaard software (denk aan WordPress, Joomla) een website gebouwd. Kennis over het beheer en dus veilig houden van een server en gebruikte software is amper meer nodig. Ook procedures eromheen (updates, wachtwoordbeleid, enzovoorts) zullen in die gevallen minder uitgedacht zijn, de focus ligt vaak op het voor weinig geld (en dus inspanning) leveren van webhosting. Ik kan me dus voorstellen dat dat een groter risico oplevert op hacks, gelekte of gegokte wachtwoorden en andere problemen die resulteren in malicious data op websites.”

Zijn er teveel hostingbedrijven in Nederland?

Scherp door concurrentie
“Nee,” stelt Gotz. “De markt reguleert zichzelf door vraag en aanbod. Je kunt wel een verzadigde markt hebben – en dat zie je al jaren voor simpele hosting – maar er verdwijnen hierom ook ontzettend veel hostingbedrijven door overnames, faillissementen of gewoon beëindiging. De overgebleven bedrijven blijven juist scherp door de concurrentie. En hopelijk draagt dat dan ook bij aan de motivatie om besmette websites en ander misbruik adequaat aan te pakken.”

Meer of minder aandacht
Volgens de Haer is het aantal hostingbedrijven op zich niet het probleem. “Ik denk wel dat de grotere hosters meer aandacht kunnen besteden aan beveiliging. Bij kleinere hosters zal dit eerder een sluitpost zijn, en zullen besmette sites niet- of laat worden opgemerkt.”

Zonder competenties
Hensema weet niet of er teveel hostingbedrijven zijn in Nederland. “Wel zijn er teveel bedrijven die eigen servers beheren zonder er de competentie voor te hebben.”

Vrij simpel
“Ik heb niet zo’n goed beeld of Nederland in verhouding met andere Europese landen veel meer kleine hosters heeft,” zegt Vink. “Het zou me zeker niet verbazen, simpelweg omdat Nederland een goede en relatief goedkope infrastructuur voor hosting heeft: we hebben bijzonder veel en goedkope connectivity, veel datacenters, we spreken onze talen, enzovoorts. Het gevolg daarvan is onder andere ook dat er best veel buitenlandse bedrijven zijn die vanuit Nederland hun hosting – website, virtueel, dedicated of colocated – doen. De relatief lage prijzen en het gemak waarmee servers gehuurd en aangeschaft kunnen worden (in sommige gevallen zelfs alleen na het invullen van een webformulier en een betaling via Paypal) maakt dat het ook voor mensen die minder goede bedoelingen hebben vrij simpel is om hier hosting te kopen. Bottomline is eigenlijk: het land waar een server staat hoeft nog niets te zeggen over de gebruiker van een server.”

Wat is voor de hostingsector van belang?

Oorzaak probleem ophelderen
Wat volgens Vink de statistieken van McAfee duidelijker zou maken, is als je inzicht zou hebben in hoeveel verschillende netwerken de oorzaak zijn van deze hoge score. “Hebben we in Nederland een paar rotte appels die aangepakt moeten worden (ik kan me er wel één of twee voor de geest halen) omdat ze misschien wel bewust dit soort hosters aantrekken, of zit het probleem ergens anders?”

Motivatie
Gotz denkt dat de hostingsector goed weet wat de problemen zijn en hoe deze opgelost kunnen worden. “Het grootste probleem is de motivatie om de problemen aan te pakken.”

Bewustwording
“De hostingsector moet zich richten op voorlichting en – waar mogelijk – op het aanbieden van oplossingen,” zegt de Haer. “De uiteindelijke verantwoordelijkheid zit echter bij de eigenaren van de websites en de websitebouwers. Zij moeten zich bewust worden van de risico’s en bereid zijn om te investeren in een betere beveiliging.”

Deugdelijke infrastructuur
“De hostingsector moet zijn verantwoordelijkheid nemen en een deugdelijke infrastructuur neerzetten,” vertelt Hensema. “Wel vind ik dat de verantwoordelijkheid voor de beveiliging van de website of webapplicatie bij de klant ligt. Wij bieden het gereedschap, maar de klant moet het gebruiken.”

Contractueel verplichten
Volgens van de Looy kan de hostingsector zelf in veel gevallen weinig doen. “In veel gevallen verhuren ze systemen of ruimte in rekken aan personen en organisaties die zelf verantwoordelijk zijn voor hun systemen. Hierbij zitten blijkbaar regelmatig organisaties die hun inkomsten genereren door het verspreiden van ‘malware’ (in de meest brede zin van het woord). Indien ze contractueel verplicht zijn om onderhoud te plegen zullen ze hun systemen up-to-date moeten houden en datzelfde geldt voor huurders die zelf de verantwoording houden over het systeem of de systemen die ze bij een hostingbedrijf onder brengen.”

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.