TU Delft kijkt naar onze sector – een interview met de onderzoekers

CSET15_640screenshotAfgelopen jaar is er wederom veel te doen geweest om het voorkomen van cybercrime en andere vormen van “online overlast”. Daarbij werd de aandacht gericht op zowel (consumenten) accessproviders als hostingpartijen. Voor wat betreft die laatste groep is er een paar keer een presentatie geweest van een onderzoeksteam van de TU Delft, de laatste keer was dat tijdens het NCSRA symposium (Nationale Cyber Security Research Agenda) in Den Haag.

Samaneh Tajalizadehkhoob en Arman Noroozian gaven daar een korte update over onderzoek (PDF link) naar de relaties tussen ongewenste/strafbare activiteiten en de partijen waarbij domeinnamen geregistreerd/gehost worden. Een uiterst complexe materie die meer aandacht verdient, maar ook meer uitleg. Reden voor ISPtoday naar de TU Delft af te reizen om daar met Sameneh, Arman en het derde teamlid Maciej Korczynski nog eens verder over te praten. Ter voorbereiding van het gesprek was nog het verslag op YouTube van een presentatie op BlackHatSession te Ede bekeken. De lezers van ISPtoday roepen we ook op deze 30 minuten durende leerzame video te kijken.

De eerste vraag ging over trends: hoe doen we het in Nederland en is dat beter of slechter dan de rest? Daar kwam de reactie op dat men zich vooralsnog beperkt tot een dataset van een jaar. Daarmee kunnen geen trends worden bepaald. Een snapshot van de markt – dus een soort van momentopname – dat kan wel.

Bij die momentopname hoor dat shorteners opvallen. Bit.ly is een bekend voorbeeld en het is inderdaad makkelijk om op die manier malware te verspreiden. Maar er is ook een valkuil. Zoals Arman terecht stelde: hoe tel je overlast? Als een Bit.ly link 10 keer wordt verspreid en naar 1 adres met malware verwijst: moet je hem dan 10x of 1x meetellen. Bijna het tegenovergestelde komt het team ook tegen: een verwijzing naar 1 url die zelf content van andere url’s bevat (schijnbaar komt dat voor bij de distributie van kipo). Is het daar terecht als je dat als 1 bron van verspreiding illegale content telt? Twee voorbeelden die direct aangeven hoe lastig het is de overlast eenduidig in kaart te brengen.

Later in het gesprek kwam dat soort valkuilen nog een paar keer voor: iets dat heel simpel lijkt heeft bij nader inzien extra dimensies waardoor een aanname onderuit wordt gehaald. Meest herkenbare voorbeeld daarvan is natuurlijk dat Nederland in sommige lijstjes als een cyberboevenland overkomt. De makkelijke verklaring is: we hebben gewoon een hele goede infrastructuur “dus” dat trekt ook verkeerd volk aan. Maar het is tamelijk onzinnig te stellen dat de criminelen ook echt in Nederland zitten of dat alle siteowners malware verspreiding “met opzet” laten gebeuren.

Een ander punt voor discussie: zijn er op basis van de data uitspraken te doen over de relatie tussen volwassenheid van de marktpartijen en de overlast. Anders gezegd: vormt een startende hoster een groter risico dan een partij die al 15 jaar actief is. Antwoord: it depends….

Wat je wel ziet is dat shared hosting veel vaker in de statistieken voorkomt dan andere services. Je kunt vervolgens twisten of dat komt omdat klanten die gaan voor het goedkoopste en dus op shared hosting uitkomen alleen de overlast veroorzaken, of dat het ook de hosters zijn van al die WordPress/Joomla sites die om welke reden dan ook de eigen server onvoldoende bijhouden.

Het onderzoeksteam, dat uiteraard geen namen noemt van partijen die goed of slecht scoren, publiceert in het voorjaar van 2016 Apples, Oranges and Hosting Providers: Heterogeneity and Security in the Hosting Market.” We zijn zeer benieuwd of de vragen (zoals naar de trends) die nog openstaan daarmee beantwoord worden.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.

Laatste artikelen