Onderzoekers van de Princeton-universiteit in de VS hebben een techniek ontwikkeld (pdf-bestand) om te voorkomen dat lieden met kwaadaardige bedoelingen een nieuwe criminele webstek opzetten. Ze presenteerden hun ideeën onlangs op een congres over computerveiligheid.
Kwalijke activiteiten op internet verplaatsen zich razendsnel. Wordt hier een kwalijke stek ‘uit de lucht’ genomen, duikt die elders weer op. Met het nieuwe PREDATOR-systeem van de Princetononderzoekers zou dat een stuk lastiger moeten worden.
PREDATOR schijnt onderscheid te kunnen maken tussen eerlijke en criminele actoren op het web. Het systeem schijnt al te weten wat de boeven in zin hebben zonder ook maar iets laakbaars te hebben gedaan. Die signalen zouden anderen zoals zwartelijstbeheerders of domeinnaamregistranten de kans moeten geven om maatregelen te treffen voordat er ook nog maar iets is misgegaan.
“Het idee is dat de kwaadaardige acteurs op het web anders opereren dan mensen die te goeder trouw zijn”, zegt Nick Feamster van Princeton. “Wij hebben naar die signalen gezocht. Wat maakt een domeinnaam een kwalijke domeinnaam?”
Kwalijk
Als een webstek eenmaal wordt ingezet voor kwalijke doeleinden, bijvoorbeeld om te hengelen naar wachtwoorden, dan kan die stek worden aangemerkt als kwalijk en worden geblokkeerd, maar dan is het leed al geschied. PREDATOR zou preventief optreden.
De onderzoekers gaan van de veronderstelling uit dat de misbruikers een registratiegedrag vertonen dat anders is dan van de normale webgebruikers, bijvoorbeeld door in een keer een groot aantal domeinnamen te kopen, zodat ze snel van weblocatie kunnen wisselen. Vaak lijken de geregistreerde domeinnamen ook op elkaar zoals ‘home’ dat homes’ wordt.
Door zulke patronen te onderkennen bleken Feamster en zijn kornuiten in staat elke dag meer dan 80 000 nieuwgeregistreerde domeinen aan te wijzen als link. Ze vergeleken hun resultaten met geblokkeerde webstekken en daaruit bleek dat PREDATOR bij 70% van de criminele stekken het bij het juiste eind had louter op basis van de informatie die bij de registratie bekend was. De valspositieve score, ten onrechte beschuldigd, was laag: 0,35%.
Vroege ontdekking
“PREDATOR kan die stekken vaak dagen of weken eerder ontdekken dan de bestaande zwarte lijsten”, stelt Feamster in zijn artikel. Dat heeft natuurlijk gevolgen voor de inkomsten van de webboeven en zou een einde maken aan het kat-en-muis-spelletje. Dat systeem, stellen de makers, zou moeten worden gebruikt door zwartelijstdiensten zoals Spamhaus of door domeinregistranten. De vraag is natuurlijk of die daar aan willen, want eigenlijk is het niet in hun belang dat die nieuwe domeinnamen meteen geblokkeerd worden, maar wie weet… Overigens denk ik dat webboeven daar ook wel weer een mouw aan weten te passen. Tenslotte miste PREDATOR 30%.
Bron: Science Daily