Sans: 'Een op drie websites besmet met malware'

Het Sans Institute heeft zijn jaarlijkse top 20-lijst gepubliceerd met veiligheidslekken en andere security-gerelateerde problemen. De organisatie meldt dat bijna eenderde van alle websites met malware is besmet.

Sans logo Het aantal besmettingen van malware op websites is in een jaar tijd bijna verdubbeld, zo constateren de onderzoekers. Beveiligingsgaten in zowel gesloten als opensource webapplicaties zijn verantwoordelijk voor ongeveer de helft van alle hackpogingen. Hierdoor worden betrouwbaar geachte websites vaak ongemerkt omgetoverd tot een lanceerbasis voor exploits en phishingsites. Het vertrouwen van gebruikers in de veiligheid op internet neemt hierdoor af, zo constateert de organisatie.

Volgens Alan Paller, research director bij Sans, komt een groot deel van de veiligheidslekken voort uit slecht programmeerwerk. 'Vrijwel alle webapplicaties gebruiken een achterliggende database met gevoelige informatie. Totdat ontwikkelaars veilig leren programmeren en het gehele ontwikkelproces wordt beveiligd, blijven grote gaten bestaan,' zo verzucht hij bij ComputerWeekly. Verder zouden hackers steeds vaker gebruik maken van social engineering om zo de interne netwerken van bedrijven binnen te kunnen komen. Paller stelt dat dit type aanval veel lastiger is te pareren dan de 'traditionele' hackpogingen via het internet.

Sans constateert verder dat veel besturingssystemen en services nog steeds gebruikmaken van standaard wachtwoorden, waardoor systemen gevoelig blijven voor brute force-aanvallen of het raden van wachtwoorden met woordenboeken. Wel stelt het onderzoeksinstituut dat besturingssystemen het afgelopen jaar veiliger zijn geworden; grote wormuitbraken zijn in 2007 nauwelijks voorgekomen. Desondanks is het aantal beveiligingsgaten in antivirus-applicaties en backupsoftware juist toegenomen.

De jaarlijkse top 20 van Sans wordt samengesteld met behulp van informatie van een groot aantal overheidsorganisaties, universiteiten, producten van beveiligingssoftware, het Internet Storm Center en anderen. De lijst wordt in de beveiligingswereld gezien als verplichte kost voor het up-to-date houden van computersystemen en netwerken.

IT-banen

Reacties (23)

RM-rf 5 december 2007 17:38

Tja, ik vind dat SANS rapport een beetje een angst-makend gedramatiseerd doemrapport dat flink overdreven voorkomt:
zioe bv de 'summary' http://www.sans.org/top20/2007/press_release.php

waar dan enekele voorbeelden staan als een ziekenhuis dat zou zijn gechanteerd vanwege patientenrapporten, honderd staatsfunctionarissen die geinfecteerd zouden zijn met keyloggers waarna een 'organisatie' hen in de gaten zou hebben gehouden over angere tijd en en bedrijf dat via een besmette Pc een spionage-tunnel had naar China voor bedrijfsspionage..

En eronder staat dan: "All of these scenarios are composites of actual events."
klinkt indrukwekkend, maar feitelijk betekent het enkel dat die verhalen 'gedeeltelijk' gebaseerd zijn op feitelijke gebeurtenissen (bv dat hacks, keyloggers en Trojans voorkomen)
De dramatisatie komt echter geheel voor rekening van Sans, wat natuurlijk zélf een firma is die voor bedrijven netwerkveiligheid regelt, zowel training, consultancy als het leveren van software hiervoor.

Ik kan niet anders dan zeggen dat SANS wel heel creatief omgaat met statistieken en hun 'gedocumenteerde voorvallen' en een beetje overdreven angst probeert op te roepen.
Niet dat ik geloof dat het Internet zo veilig zou zijn, maar er is imho geen noodzaak omd e reele bedreigingen te overspelen en overdrijven.

Verwijderd 5 december 2007 23:11

wel ik kom net terug van een weekje sans cursus en ik kan je verzekeren dat wat sans beweert wel degelijk klopt.
verder is sans geen bedrijf dat voor anderen bedrijven werkt maar een organisatie die de veiligheid en onveiligheid van internet en software in kaart brengt en publiceert.( en geen voorkeur of antipathie voor welk OS dan ook )
Verder verzorgt het cursussen op het gebied van security en de mensen die deze cursus geven hebben allen hun sporen in de securty al verdient.
neemt niet weg dat je hun gegevens wel op je eigen omgeving moet afwegen, zoals je dat met alle, op beveiligings gebied, gebaseeerde zaken moet doen.
Eerst jezelf eens verdiepen in de organsatie en daarna pas commentaar gaan geven zou een hoop schelen

Verwijderd @Verwijderd • 6 december 2007 07:14

Zo te horen hebben ze er toch belang bij dat zoveel mogelijk mensen "bang" zijn voor de veiligheid van hun systemen en netwerken. Anders komt er niemand meer naar die cursussen van SANS.

Ze kunnen nog zo ideeel zijn, commercieel zijn ze ook. En dat betekent dat er geld verdient meot worden, al is het alleen maar om die "mensen die deze cursus geven hebben allen hun sporen in de securty al verdient" te kunnen betalen voor hun (ongetwijfeld dure) diensten.

Eerst jezelf eens verdiepen in de organsatie en daarna pas commentaar gaan geven zou een hoop schelen

Het past jou ook om zaken van meerdere kanten te bekijken voordat je een oordeel velt over andermans kritische opmerkingen.

Kahlan 6 december 2007 07:53

SANS heeft ook dit phishing report online staan:
http://isc.sans.org/presentations/banking_malware.pdf
En als je dat leest dan schrik je toch wel... Je kunt dus besmet raken zonder het te merken, en vervolgens zijn je banktransacties gemonitord en misschien wel gemodificeerd.

The first step in the sequence of events
leading to the compromise is a request to http://www4.yesadvertising.com
...
This HTML results in a new HTTP GET to the machine at www.eva.ee (what appears to
be the Estonian Water Aerobics Club
...
This document the uses an iframe to force the loading of a file using a URL of
http://www.mymaydayinc.com/index2.php:
....
The HTML here attempts to exploit a known flaw in Internet Explorer to load and
execute a .chm file. At the same time, it appears to have executed a script on
www.mymaydayinc.com called photos.php.
...
The victim of the attack found a file called “img1big.gif” had been loaded onto their
machine. Because of the account restrictions on the person running the machine, it had
failed to install properly, which was why it had come to their attention. It is this file that
they forwarded to the SANS Internet Storm Center for analysis.
The file “img1big.gif” is not a graphic file at all. It is actually a 27648 byte Win32
executable that has been compressed using the Open Source executable compressor UPX.
...
This file decompresses to an 81920 byte file which actually contains two Win32
executables bound together. The first portion of the file (and what actually runs if the file
extension is changed and the program is launched) is a “file dropper” Trojan, designed to
install any executable concatenated to its body.
The second half of the file consists of a Win32 DLL that is installed by the file dropper
under WindowsXP as a randomly named .dll file under C:\WINDOWS\System32\. This
DLL is installed as a “Browser Helper Object” (BHO) under Internet Explorer.
...
This particular BHO watches for HTTPS (secure) access to URLs containing the
following strings:
<diverse banksites>
When an outbound HTTPS connection is made to such a URL, the BHO then grabs any
outbound POST/GET data from within IE before it is encrypted by SSL. When it
captures data, it creates an outbound HTTP connection to:
http://www.refestltd.com/cgi-bin/yes.pl
and feeds the captured data to the script found at that location.
...

En dit alles dus ZONDER dat een gebruiker dat merkt.

pinockio 5 december 2007 16:53

Waarom geloof ik dit niet? Ik kom vrijwel nooit op besmette websites en bezoek toch elke dag tussen de 10 en 30 websites.

Misschien tellen ze alle bewust besmette websites mee waarvan er tientallen klonen bestaan. Alle aan WhenU Save, 1-technology, Bonzi Buddy etc. gerelateerde websites dus...

Ortep

@pinockio • 5 december 2007 16:56

Er is een verschil tussen het absolute aantal sites en het aantal bezochte sites. Een site in Buitenmongolie met malware die slechts een bezoeker per jaar krijgt telt wel mee voor besmetting, maar niet voor bezoekers.

Tweakers wordt vaak bezocht en heeft (hopelijk) geen malware. Zolang jij op de 'grote' sites blijft zal je weinig te duchten hebben. Die grote sites trekken miljoenen bezoekers. Die kleine besmette sites vallen daar dus in weg

[Reactie gewijzigd door Ortep op 22 juli 2024 20:15]

Armada651 @Ortep • 5 december 2007 22:53

Dat is niet helemaal waar, de grote sites zijn betrouwbaar, maar de ad-partners soms niet. Soms worden er hack pogingen gedaan via de ad banner. Ik heb het meerdere keren gehad, maar gelukkig ben ik goed beveiligd. (NoScript!) Maar kijk maar uit, dat kleine onschuldige venstertje is een tikkende tijdbom!

LuCarD @pinockio • 5 december 2007 16:56

Veel geparkeerde domeinen bevatten malware.

Maar daar kom je niet zo vaak op.

Joost @pinockio • 5 december 2007 17:16

Er is een verschil tussen wat jij doet en wat een gemiddeld persoon doet. Dat jij (vrijwel) nooit op besmette websites komt, zegt weinig over het gemiddelde. Ik merk dat mensen vaak hun eigen ervaringen te ver doortrekken, zo ver dat ze een onderzoek verwerpen als het niet strookt met die ervaringen. Maar het feit dat jij bijvoorbeeld SP stemt, wil toch niet zeggen dat iedereen dat doet? Het feit dat jij een bepaalde ervaring hebt, wil niet zeggen dat iedereen die heeft.

memphis @pinockio • 5 december 2007 23:06

Dit is een vergelijking van niets. Ik bezoek Fok!, Tweakers em het forumpje op mijn eigen site en dan zal 1 van die 3 besmet moeten zijn volgens jouw gegevens.....

Als je een wat meer wazige gebied in gaat zoals warez, pr0n enz. is de kans groter dat je een "kou" vat.

Fireshade @memphis • 6 december 2007 10:40

Jouw vergelijking is ook van niets.
Men spreekt hier over een kans van 1 op 3. Jouw drie genoemde specifieke sites kunnen dus gewoon clean zijn.

Verwijderd @memphis • 6 december 2007 22:56

Van wiskunde op de middelbare school weet ik dat "proeven" zoals dit betrouwbaarder worden naarmate ze op grotere schaal uitgevoerd worden. Jouw "proef" genomen over drie sites is dus niet erg betrouwbaar en zegt niet zo veel.

Bovendien zullen bepaalde soorten sites veel vaker besmet zijn dan anderen. De sites die jij noemt zijn allemaal van een zelfde soort, en dus is je conclusie nogal kort door de bocht. Misschien is in het hele land een derde van de mensen allochtoon (dat weet ik niet, bij wijze van voorbeeld), maar als je in een klein dorpje in de achterhoek komt is de kans dat daar ook een derde van de mensen allochtoon is niet zo groot. Kom je echter in een grote stad als Amsterdam, dan is misschien nog wel meer dan een derde van de mensen allochtoon.

Dat er gemiddeld 1 op de 3 sites is besmet met malware wil niet zeggen dat van elke 3 sites die jij toevallig bezoekt er ook daadwerkelijk 1 met malware is besmet. Er zullen waarschijnlijk (en hopelijk) ook een hoop niet of nauwelijks bezochte sites zijn meegenomen in het onderzoek. Wie weet zijn er ook veel sites meegenomen van mensen die gebruik maken van gratis hosts, met allerlei reclame van dubieuze sponsors. Op dat soort sites willen nogal eens nare dingen zitten.

Coffeemonster @pinockio • 6 december 2007 11:24

Er is een verschil tussen een site met malware bezoeken en daadwerkelijk besmet raken. Als je je Windows up-to-date houdt en je beveiliging op niveau hebt, dan hoef je niet direct besmet te raken als je zo'n site bezoekt.

Verwijderd 5 december 2007 16:58

Ik weet ook niet wat ik ervan moet geloven, zit nu 12 jaar op het moderne internet met 3 computers en heb welgeteld 14 Tojan's gehad en 6 virussen in die 12 jaar, welke geen van allen een catastrofe zijn geweest (in de naam van opnieuw installeren)

Verwijderd @Verwijderd • 5 december 2007 17:26

het record dat ooit 1 klant op 1 week heeft bijeen spelen is 1600 critical objects (met Ad-aware) het surf gebruik van mijn klant laat ik in het midden maar ik denk dat het voor zich spreekt dat die niet bepaald lette op waar hij naartoe ging etc.

zoals reeds boven vermeld een eigen ervaring moet niet als standaard of gemidelde aanzien worden. Feit is en dat merk ik zowel bij mij als bij pc's van klanten dat er meer om meer spyware etc. de ronde doet op mijn eigen pc heb ik ook nauwelijks "critical objects" maar het is niet omdat mijn pc vrij clean is dat daarom het internet een veilige plaats is...

Verwijderd @Verwijderd • 5 december 2007 17:34

Is Ad-aware ook niet zo'n pakket dat allerlei Cookie's al als critical objects beschouwd? Zij zijn een beetje te geinterresseert in het bang maken van de consument.

Verwijderd @Verwijderd • 5 december 2007 17:52

het moet inderdaad wel met een korreltje zout opgenomen worden hun resultaten maar geloof me maar als ik je bevestig dat die pc na dat ad-aware z'n ding had gedaan al een HEEL pak beter liep, bon de virussen die AVG moest verwijderen waren ook wel meer als de moeite daar niet van, maar het geen ik wou aantonen met dat van die pc is dat het niet is om dat persoon Y maar 2 "critical objects" heeft dat het net daardoor per definitie veilig is en er geen spy ware etc is.

Spy ware is er of je het nu wil of niet en het enige dat men kan doen (als internet gebruiker) is niet naar eender welke site gaan (hoe het onderscheid maken nu ja "that's the trick" zeker) en toch wel een zekere beveiliging installeren, firewall, antivirus en een progje om de zooi aan eventuele spyware etc op te kuisen (momenteel gebruik ik daar "hitmanpro" voor)

wizzkizz @Verwijderd • 5 december 2007 18:33

Je browser in een sandbox draaien help ook al ontzettend veel. Ik heb een keer een test gedaan waarbij ik me bewust liet besmetten, terwijl ik in die sandbox draaide. Na een tijdje de sandbox gereset et voila, alles wat er aan malware "geinstalleerd" was was weg

Ik gebruik het dan ook standaard voor al mijn browsers (gebruik sporadisch IE, meestal Firefox en Opera) en ook applicaties die ik niet vertrouw laat ik eerst in de zandbak spelen.

Verwijderd @wizzkizz • 5 december 2007 19:04

[off-topic]
Leuk, 'k heb altijd al eens willen proberen met die sand-box app's.

welke (kleutertuin) zou je mij kunnen aanraden?
[/off-topic]

nu ja 1 ding is wel duidelijk een "beveiligings-firma" die verkondicht dat er een veiligheids probleem is, marketing niets meer hoewel het feit wel blijft dat er meer om meer spyware, etc is.

Verwijderd @Verwijderd • 5 december 2007 19:39

Tsja, ik moet een gelukkig persoon zijn, want mijn firewall staat volledig open op deze machine DMZ en Adaware draai ik af en toe eens, mijn AVG staat altijd uit (i.v.b.m On Line Gamen) en ik ben niet echt zo'n heilg surfertje en zit ook bij tijd en weilen in de krochten van het internet te struinen, maar het zijn ook die plekken waar ik de problemen hen opgelopen in de jaren, uiteraard ben ik wel zo paranoia op die site's dat ik een programma heb draaien waar ik konstant kan zien of er processen gestart zijn die er niet behoren en na ieder sessie van IE of Maxthon de hele tempfiles en alles wat daarbij hoort laat verwijderen en het maakt niet uit of zo'n sessie bijvoorbeeld maar 2 minuten duurt . En ik heb als voorzorgsmaatregel een aparte (fysieke) harde schijf waar alles wat Tempfiles op levert op gezet wordt, dus niet zoals bij veel machine de Temp internetfiles en andere temp files op de C schijf gezet worden, en deze regel heeft mij qua besmettingen veel plezier opgeleverd ondanks dat het een harde schijf extra kost, maar door een kleine check van die schijf een paar keer per dag heeft mij in het verleden en heden een hoop problemen bespaard

Barbapapa720 @Verwijderd • 6 december 2007 12:11

Wat voegt het toe om de sloten op de deur weg te halen maar vervolgens wel iedere meter een camera op te hangen om de zaak te monitoren. Zorg ervoor dat ze je je voordeur niet binnenkunnen. Scheelt je een hoop koopzorgen en investering (in tijd en geld).

les_paulde 5 december 2007 16:57

volgens mij gaat het hier ook om websites die zelf besmet zijn en data doorsturen (aka phishing, etc.) maar dus niet je pc zelf infecteren om die dan ook tot spambot te promoten... Dan kan ik me het hoge aantal wel voorstellen, anders ben ik het met je eens.

Verwijderd 27 december 2007 10:48

Helemaal eens met MHO,

Heb zelf een pen testing cursus van Mile2 gevolgd in Amsterdam. Veel van de termen kende ik wel, maar niet dat het zo makkelijk was om toegang te krijgen.....Scary, wel een supertraining en trainer, ook een amerikaan die zelf ook trainingen voor SANS verzorgt.....

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (23)

Sorteer op:

Weergave: