Het Mal-Web in kaart brengen 's Werelds meest riskante domeinen
Het Mal-Web in kaart brengen
1
Het Mal-Web in kaart brengen 's Werelds meest riskante domeinen
Door: Barbara Kay, CISSP, Secure by Design Group Paula Greve, directeur onderzoek, McAfee Labs™
INHOUD Inleiding
3
Voornaamste bevindingen: Het Mal-Web in kaart brengen IV
4
Waarom in kaart brengen?
6
Hoe criminelen misbruik maken van topleveldomeinen
7
Methodologie
9
Enkele kanttekeningen bij de classificaties
11
Classificatieoverzicht
12
Het veranderende dreigingslandschap
21
Reacties van registreerders en beheerders van topleveldomeinen
23
Conclusie
26
Inleiding Hebt u een hit, of juist een botnet? Als u de volgende keer op zoek bent naar een foto van een beroemdheid of advies, besteed dan extra aandacht aan de topleveldomeinen (TLD's). Deze kunt u in de zoekresultaten herkennen aan de lettercombinatie aan het einde van de URL. Het rapport Het Mal-Web in kaart brengen van McAfee, waarvoor dit jaar meer dan 27 miljoen actieve domeinen zijn beoordeeld, laat zien dat het percentage risicovolle sites is gestegen tot een recordhoogte van 6,2%. Als gebruikers niet behoedzaam zijn bij het surfen, kan zelfs het bekijken van een pagina onverwachte gevolgen hebben. Dit jaar blijkt een groter aantal websites kwaadaardige code te bevatten waarmee wachtwoorden en persoonsgegevens worden gestolen, wordt geprofiteerd van beveiligingslekken in browsers of onopgemerkt software wordt geïnstalleerd waardoor computers veranderen in zombies. Indien u op voorhand weet dat drie van de vijf sites van een bepaald TLD gevaar opleveren, zult u waarschijnlijk een andere plaats kiezen om een foto te downloaden waar u naar zocht. Zo zouden bezoeken aan sites die in Vietnam (.vn) zijn geregistreerd, moeten worden beschouwd als "nofly zone", ondanks Vietnams groeiende populariteit als vakantiebestemming. Dit jaar steeg .vn namelijk met stip naar een plaats Beoordeling beveiligingsdreigingen door McAfee® Global Threat Intelligence™
Browsermisbruik
Adware/spyware/ trojaanse paarden/ virussen
Relaties met andere riskante sites
Riskante reputatie (bestands-, netwerk-, interneten e-mailprogramma's)
Commerciële e-mail met groot volume (spam)
Agressieve pop-upmarketing
in onze top vijf als een van de meest riskante TLD's op internet. 58% van de door ons onderzochte sites bleek hier kwaadaardige of mogelijk zelfs gevaarlijke inhoud en activiteiten te bevatten, waaronder: • Malware: code die uw computer kan beschadigen, gegevens kan stelen of waarmee kwaadaardige activiteiten op een andere computer worden uitgevoerd (inclusief keyloggers, wachtwoordstelers en zombiepakketten). • Browsermisbruik: aanvallen en malware die gebruik maken van kwetsbare software. • Phishing: valse websites die er niet verdacht uitzien, maar zijn ontworpen om te "vissen" naar gegevens of om schadelijke code te installeren. • Spamrisico: aanmeldingsformulieren die ervoor zorgen dat iemand grote hoeveelheden commerciële e-mailberichten of spam ontvangt. • Riskante connecties: sites met koppelingen die u naar een kwaadaardige site leiden en sites met verdachte associaties, bijvoorbeeld ten aanzien van het eigendom van de site, de registratie of de hostingservice.
We bepalen het risiconiveau van elke website op basis van meerdere kenmerken die hiermee in verband staan.
De TLD's .info en .cm kennen bijna net zoveel riskante als veilige sites, terwijl bij .vn het aantal riskante sites zelfs groter is.
Het Mal-Web in kaart brengen
3
Voornaamste bevindingen: Het Mal-Web in kaart brengen IV Tijdens deze vierde jaarlijkse analyse van het relatieve risico van de TLD's heeft McAfee geconstateerd dat het algehele internetrisico is gestegen ten opzichte van vorig jaar. De toegenomen risico's werden waargenomen in delen van internet die al riskant waren, zoals .info. Bij enkele TLD's - Singapore (.sg) en Venezuela (.ve) in het bijzonder zijn de risico's het afgelopen jaar flink gedaald. Daarnaast zijn enkele nieuwe probleemgebieden aangetroffen, zoals Vietnam (.vn), Armenië (.am) en Polen (.pl). Opmerking: alle risicostatistieken zijn gebaseerd op het gewogen risico, tenzij anders aangegeven.
• Risico's nemen toe: het totaal gewogen gemiddelde percentage riskante sites steeg van 5,8% (2009) naar 6,2% (2010). In 2007 en 2008 werd 4,1% van de websites door ons beoordeeld als rood (mijd de site) of geel (wees voorzichtig). Hoewel we de eerste twee jaren een andere methode toepasten, lijkt er sprake te zijn van een aanhoudend stijgende trend. Het wordt dus moeilijker om veilig op internet te navigeren.
Percentage riskante sites op het internet 7 6 5 4 3 2 1
2010
2009
2008
2007
0
• De vijf gevaarlijkste TLD's: met een gewogen risico van 31,3%, vormde .com (commercieel: het TLD met het meeste internetverkeer) het gevaarlijkste TLD. Het nam deze titel over van .cm (Kameroen), dat dit jaar daalde naar de vierde plaats. Daarentegen is .info een riskanter TLD geworden. Het steeg van de vijfde plaats vorig jaar naar de tweede plaats nu. De vijf TLD's met het hoogste percentage riskante registraties zijn: -- .com (commercieel)
31,3%
-- .info (informatie)
30,7%
-- .vn (Vietnam)
29,4%
-- .cm (Kameroen)
22,2%
-- .am (Armenië)
12,1%
• Wereldwijde verspreiding: helaas eindigde de EMEA-regio (Europa, het Midden-Oosten en Afrika) dit jaar wederom bovenaan in de top 20 van meest riskante TLD's. Deze regio kende zeven nieuwkomers, waaronder Armenië (.am) en Polen (.pl), die in de top 20 eindigden. De APAC-regio (Azië en Stille Oceaan) volgde met zes TLD's, terwijl generieke domeinen, zoals Netwerk (.net), vijf plaatsen innamen in de risicotop 20. De enige nieuwkomer van het Amerikaanse continent was de Verenigde Staten (.us) op nummer 14.
Het Mal-Web in kaart brengen
4
• Generieke sites aan kop: vergeleken met de risico's per regio was het hoogste gemiddelde risico aanwezig bij de generieke en gesponsorde TLD's. Met 7,9% lagen deze TLD's boven het totaal gemiddelde, terwijl de regionale groepen alle drie uitkwamen onder het gemiddelde van 6,2%. APAC daalde van 13% vorig jaar naar 4,9%, Amerika lag gemiddeld op 2,7% en EMEA net op 1,9%. • Enkele grote verbeteringen: Singapore (.sg) verdient waardering voor het afgenomen risico, waardoor het van plaats 10 vorig jaar naar plaats 81 dit jaar is gedaald, Venezuela (.ve) daalde van 21 naar 88 dit jaar en de Filipijnen (.ph) gingen van plaats 6 in 2009 naar plaats 25 dit jaar. • Domeinen om alert op te zijn: we hebben alleen de TLD's beoordeeld waarbij we resultaten verkregen van 2000 of meer actieve sites. Er zijn echter twee TLD's met lagere aantallen die beslist in onze top vijf waren beland als we alle TLD's zouden hebben opgenomen: -- Senegal (.sn) zou met 33% op de eerste plaats eindigen, wellicht omdat het geen registratiebeperkingen kent (http://en.wikipedia.org/wiki/.sn). -- Het Brits territorium in de Indische Oceaan (.io) zou dan een vijfde plaats innemen (risico van 11,5%). Aangezien de namen geen registratiebeperkingen kennen op het tweede niveau, kan het
een populair TLD zijn voor vindingrijke alternatieve toepassingen: ".io wordt gebruikt in domeinhacks, zoals eugen.io, moustach.io en pistacch.io, evenals door de service drop.io voor bestandshosting" (http://en.wikipedia.org/wiki/.io). • Brandschoon: de vijf TLD's met de minste domeinen die als riskant zijn beoordeeld elk met 0,1% of minder riskante domeinen - waren: -- .travel (reizen en toerisme)
0,02%
-- .edu (educatie)
0,05%
-- .jp (Japan)
0,08%
-- .cat (Catalaans)
0,09%
-- .gg (Guernsey)
0,10%
Opmerking: de waarderingen zijn gebaseerd op totaalbeoordelingen van de site, in plaats van op beoordelingen van afzonderlijke pagina's. Gebruikers moeten er rekening mee houden dat individuele URL's op doorgaans veilige domeinen nog steeds risico's kunnen opleveren. Zo hebben we bijvoorbeeld op paginaniveau nogal wat riskante URL's aangetroffen op .edu-sites (educatie).
• Amerikaanse overheid verliest leidende positie: het domein van de overheid van de Verenigde Staten (.gov), dat in 2009 als veiligste TLD naar voren kwam, is gezakt naar plaats 23 van de minst riskante TLD's. Met slechts 0,3% is het risiconiveau echter gelijk gebleven. Alle riskante sites die we aantroffen, werden door ons beoordeeld als rood.
Het Mal-Web in kaart brengen
5
Waarom in kaart brengen? McAfee heeft met de publicatie van het rapport Het Mal-Web in kaart brengen drie verschillende doelgroepen met verschillende belangen voor ogen gehad: • Voor de domeinregistratiegemeenschap hopen we dat dit rapport erkenning betekent voor hen die zich inzetten voor de bestrijding van scammerregistraties en kwaadaardige sites. Ook willen we ermee bereiken dat anderen worden aangespoord deze voortrekkers te ondersteunen door de aanbevolen procedures aan te passen aan de unieke uitdagingen die ze tegenkomen. Ze zullen worden beloond door een afname van de risico's. In het verleden hebben we door het verstrekken van onze risico-onderzoeksgegevens ondersteuning geboden bij registraties op de lijst met de "ergste overtreders". We namen waar dat als gevolg hiervan het aantal riskante sites in hun TLD's fors daalde.
• Voor de site-eigenaars hopen we dat het rapport een handige leidraad vormt bij de keuze van een "publieke locatie" voor hun registraties. • Voor consumenten en IT-beheerders hopen we dat het rapport als een realiteitscheck fungeert. Het waarschuwt ze ervoor dat overal op internet risico's worden verspreid, dat de risico's toenemen en geraffineerder worden en dat zelfs de meest ervaren gebruikers ondersteuning nodig hebben van uitgebreide beveiligingssoftware die up-to-date is en veilige zoekfuncties heeft.
Het Mal-Web in kaart brengen
6
Hoe criminelen misbruik maken van topleveldomeinen Een TLD vormt een van de organisatoren op internet en aan de letter code aan het einde van een websiteadres is te zien waar de site is geregistreerd. Waarschijnlijk kent iedereen de domeinen .com en .gov. Toch zijn veel TLD's lastiger te herkennen, zoals .am voor Armenië en .cm voor Kameroen. Oplichters maken gebruik van deze onwetendheid en van het gegeven dat veel consumenten tijdens het zoeken eenvoudigweg geen aandacht besteden aan het TLD-achtervoegsel. Veel consumenten klikken op het eerste resultaat dat interessant lijkt en vallen ten prooi aan criminelen die veel tijd hebben besteed aan het optimaliseren van hun sites voor zoekmachines. Bepaalde TLD's leveren meer gevaar op dan andere. Oplichters en hackers registreren hun activiteiten op plaatsen waar ze het makkelijkst zaken kunnen doen of waar ze lucratieve kansen zien, voortkomend uit spelfouten of logische associaties. Aangezien bijvoorbeeld de "o" in een .com-adres makkelijk kan worden vergeten, kan een gewetenloos individu het adres www.mcafee.cm registeren
in Kameroen, in de hoop berichtenverkeer te onderscheppen van consumenten en zakelijke gebruikers die bezorgd zijn over de beveiliging. Op een dergelijke site kan bijvoorbeeld een kwaadaardig antivirusprogramma worden geplaatst, met het doel consumenten te verleiden door een waarschuwing met de tekst: "Er is een virus gedetecteerd. Installeer deze software". Registreerders doen hun uiterste best om dergelijke activiteiten, die ook wel bekend staan als "typosquatting" (typefoutkraken), de kop in te drukken. Typosquatting komt voor bij allerlei soorten sites, van sites die advertentie-inkomsten genereren vanwege gemaakte typefouten of geparkeerde sites die u met alle plezier dat adres willen verkopen, tot volwaardige phishingsites die persoonlijke gegevens verzamelen of kwaadaardige software installeren. De gevaarlijkste software (soms ook "drive-by" genoemd) is onzichtbaar voor de gebruiker. De computer kan hierbij geïnfecteerd raken of misbruikt worden, zonder dat de gebruiker ergens op hoeft te klikken of bewust een download moet accepteren. De meeste malware en aanvallen doen hun best om onopgemerkt te blijven, waardoor het dagen tot weken kan duren voordat consumenten ontdekken dat er sprake is van een probleem. Criminelen kunnen in die tijd bankrekeningen leegplunderen, gebruik maken van accounts voor online games, "vrienden" op sociale netwerken infecteren of CPU-cycli voor hun botnets onderscheppen. De gemiddelde gebruiker weet evenmin of een .com-site vanuit de Verenigde Staten of China wordt gehost. Als gebruikers niet beschikken over een hulpprogramma voor risicoclassificering, is extra onderzoek nodig om vast te stellen of een locatie geschikt is voor een bezoek. Staat .vn bijvoorbeeld voor Vietnam of voor Venezuela? Het antwoord kan grote gevolgen hebben voor het risico dat u loopt. Het Mal-Web in kaart brengen
7
Terwijl de goeden werken aan verbeterde controles en registratietoezicht1, investeren de slechteriken in slinkse software en een veerkrachtige infrastructuur (zie kader over zombies). Als de strop bij één TLD wordt aangetrokken, verplaatsen ze hun internet toegangsdeuren snel naar een vergevings gezinder en flexibeler domein, zonder dat de fysieke servers noodzakelijkerwijs worden verplaatst of inhoud wordt gewijzigd.
Het TLD vertelt ons alleen waar een site is geregistreerd. De website zelf kan zich ergens anders bevinden, samen met de inhoud, servers en eigenaars ervan. Een trend onder criminelen is om inhoud te plaatsen op gratis consumentenservices voor het delen van bestanden en vervolgens de inhoud te distribueren naar de TLD's. Bestanden die op services als BitTorrent, YouTube en RapidShare worden opgeslagen, wijzigen voortdurend en het controleren van deze inhoud blijkt hierdoor erg lastig. Criminelen kiezen een TLD op basis van verschillende criteria:
Wees op uw hoede voor zombies Zombies zijn geïnfecteerde computers bij particulieren en bedrijven. Ze worden onderling verbonden door criminelen om verschillende aanvallen te lanceren: spam, phishing en gegevensdiefstal. Een groep zombies vormt samen een botnet dat de activiteiten verdeelt en ervoor zorgt dat eigenaren van een bot "buiten het bereik van de radar blijven". Zo wordt voorkomen dat ze worden gedetecteerd, onder toezicht worden gesteld of worden afgesloten door internetaanbieders. Ze verkrijgen hierdoor een eersteklas infrastructuur voor cybercriminaliteit, tegen verwaarloosbare kosten. Zombies zijn goedkoop in het gebruik en helpen de botmasters om anoniem te blijven. Het succes van deze strategie blijkt uit de gevolgen van de sluiting van McColo, waardoor het wereldwijde spamvolume in 2008 drastisch afnam2, en de ontmanteling van het Zeus-botnet in maart 2010, iets wat slechts enkele uren duurde.3
1 McAfee Verwachte dreigingen in 2010, p. 9, kan in meerdere talen worden gedownload vanaf http://www.mcafee.com/us/threat_center/white_paper.html 2 http://arstechnica.com/security/news/2009/01/two-months-after-mccolo-takedown-spam-levels-yet-to-recover.ars 3 http://www.thetechherald.com/article.php/201010/5363/ISP-takedown-deals-smashes-Zeus-botnet-%E2%80%93-for-a-few-hours
• Laagste prijs: bij gelijke randvoorwaarden kiezen oplichters voor goedkope registraties, volumekortingen en een genereus restitutiebeleid. • Ontbreken van regelgeving: bij gelijke randvoorwaarden kiezen oplichters voor registreerders die geen vragen stellen. Hoe minder informatie een oplichter moet verstrekken, des te beter. Ook hebben oplichters het liefst registreerders die traag handelen of helemaal niets doen bij melding van kwaadaardige domeinen. • Registratiegemak: bij gelijke randvoorwaarden kiezen oplichters voor registreerders die registraties van grote aantallen sites toestaan. Dit geldt in het bijzonder voor phishers en spammers die veel sites nodig hebben ter compensatie van het hoge percentage sites dat wordt gesloten door TLD-managers.
Het Mal-Web in kaart brengen
8
Methodologie Dit jaar is de methodologie ongewijzigd gebleven. Net als in het rapport van vorig jaar is hiervoor gebruik gemaakt van de McAfee Global Threat Intelligence-database, die gegevens van meer dan 150 miljoen sensoren in meer dan 120 landen bevat. Deze sensoren, bestaande uit afzonderlijke computers, appliances voor de netwerkgateway, endpointsoftware en hosted "in-the-cloud"-services, zijn afkomstig van consumenten, kleine en middelgrote bedrijven, zakelijke klanten, onderwijsinstellingen en overheidsorganen.
Onze benadering is om het risico te bepalen door het analyseren van verkeerspatronen op internet, gedrag van sites, gehoste inhoud en koppelingen. We beoordelen afzonderlijke sites op kwaadaardige of riskante inhoud en gedrag en analyseren ook de context van de site: de wijze waarop registratie, verwijzingen, gebruik en toegang van de site zijn geregeld. • Websites worden beoordeeld op browsermisbruik, phishing en overmatig gebruik van pop-ups. Browsermisbruik (ook bekend als drive-by-downloads) leidt tot het installeren van virussen, keyloggers (toetsaanslagregistratie) en spyware op computers van consumenten, zonder dat ze hier toestemming voor hebben gegeven of weet van hebben. We hebben ook de uitgaande koppelingen onderzocht om te zien of bezoekers worden verwezen naar andere sites die door McAfee als riskant zijn geclassificeerd. • Downloads worden geanalyseerd door software op onze testcomputers te installeren en te controleren op virussen, toegevoegde adware en andere mogelijk ongewenste programma's. McAfee test
geen afzonderlijke bestanden die worden aangeboden via peer-to-peer- (P2P) en BitTorrent-programma's voor het delen van bestanden, of contentplatforms als iTunes en Rhapsody. We testen echter wel bestanden die op veel freeware- en sharewaresites, zoals RapidShare, worden aangetroffen en we testen de clientsoftware van P2P en BitTorrent. Het soort services dat wordt gebruikt voor het gratis delen van bestanden, kan immers ook uitstekend worden ingezet voor het verspreiden van malware. • Aanmeldingsformulieren worden ingevuld met een eenmalig e-mailadres, zodat omvang en spamgehalte van volgende e-mails kunnen worden getraceerd. Het spamgehalte heeft betrekking op de commerciële inhoud van een e-mail en het gebruik van tactieken om de spamfiltersoftware te misleiden. Daarnaast correleert McAfee Global Threat Intelligence de beschikbare informatie van andere dreigingsvectoren, met inbegrip van analyse van e-mailverkeer, netwerkinbraak verkeer en malware, zodat een totaalscore van de reputatie kan worden vastgesteld.
Het Mal-Web in kaart brengen
9
We wijzen rode beoordelingen toe aan websites die kwaadaardige code bevatten (zoals trojaanse paarden, virussen of spyware) en aan browsermisbruik dat een gevaarlijke reputatie heeft verworven door de bestands-, e-mail-, internet- en netwerk risico's die hiermee verband houden. Gele beoordelingen worden toegekend aan sites waarbij voorzichtigheid is geboden vanwege spamrisico, agressieve pop-ups of koppelingen naar riskante sites. Bij bijna alle TLD's is sprake van een combinatie van rode en gele sites.
Elk jaar ontwikkelen criminelen complexere en innovatievere technieken voor het camoufleren van hun activiteiten. Dit jaar zorgden bijvoorbeeld de botnets voor een enorme piek bij nieuwe categorieën kwaadaardige sites, een van onze analyse classificaties die virussen, trojaanse paarden en botnets omvat.
Gewogen risico
Criminelen gaan steeds geraffineerder te werk. Wij dus ook. Bij McAfee werken meer dan 400 onderzoekers die zich volledig richten op dreigingsanalyse. Dit wereldwijde team ontwikkelt nieuwe programma's om veranderingen op internet te detecteren, gegevens van deze sensoren te analyseren en gedrag en vingerafdrukken van de gedetecteerde risico's vast te stellen. Alle nieuwe inzichten worden teruggekoppeld naar ons netwerk voor wereldwijde dreigings informatie, om de analyses nog meer te verfijnen. Onze methodologie is ongewijzigd, maar onze technologie verandert voortdurend, zodat we verzekerd zijn van een nauwkeurige beoordeling van de werkelijke risico's waarmee internetgebruikers tegenwoordig worden geconfronteerd. De classificaties Net als vorige keren hebben we onze analyses beperkt tot TLD's waarvan we ten minste 2000 sites konden traceren. In dit rapport hebben we 106 van de 271 getraceerde TLD's opgenomen, met twee nieuwe domeinen ten opzichte van 2009.
TLD nr. 1 Riskante sites
Gewogen methode
TLD nr. 2
TLD nr. 1
Ongepland en onaangekondigd Dit onderzoek is niet vooraf aangekondigd en er zijn geen resultaten berekend op basis van meerdere steekproeven. Bovendien hebben we geen datum genoemd. Door een willekeurig, ongeplande steekproef te nemen, weten we zeker dat er geen sprake is van een gokelement.
Creatievere criminelen, geavanceerdere maatregelen
Niet-gewogen methode
Alle domeinen versus actieve domeinen We hebben alleen de domeinen opgenomen die ten tijde van het onderzoek in gebruik waren: 27.304.797 domeinen. Deze live gegevens vormen een onpartijdige moment opname van de status van het TLD-systeem op de dag waarop we onze gegevens verzamelden. Er is een natuurlijke risicovariatie, waardoor de resultaten anders zouden zijn als het onderzoek een week later zou zijn uitgevoerd.
TLD nr. 2
10
100
10
100
Totaal aantal sites
100
10.000
100
10.000
Alle riskante sites
Niet relevant
Niet relevant
200
200
Risicobeoordeling
10,0%
1,0%
7,5%
25,5%
Net als in het onderzoek van vorig jaar is de beoordeling gebaseerd op het gewogen risico: 50% van de beoordeling is gebaseerd op de verhouding tussen de riskante sites en het totaal aantal sites binnen één TLD en 50% is gebaseerd op de verhouding tussen de riskante sites van één TLD en het totaal van de riskante sites. We zijn van mening dat deze classificatiemethode een goede weergave is van de risico's die een gebruiker tegenkomt tijdens het surfen op internet. Anders geredeneerd, gaan we ervan uit dat een internetgebruiker minder snel bereid is om een TLD te bezoeken als bekend is dat het 50% van de meest riskante internetsites bevat, zelfs als deze riskante sites slechts 1% van alle domeinen op dit TLD vertegenwoordigen. Voorbeeld: een TLD waarbij 100 van de 10.000 sites als riskant zijn beoordeeld en waarbij deze 100 sites deel uitmaken van de in totaal 200 riskante sites over alle TLD's, levert een risicopercentage op van (50%*100/10.000)+(50%*100/200)= 25,5%. Dit is een hogere risicoclassificering dan een TLD waarbij 10 van de 100 sites als riskant zijn beoordeeld: 50%*(10/100)+(50%*(10/200)= 7,5%.
Deze methodologie houdt in dat in enkele gevallen een TLD met veel risico's, maar een lagere totale risicobeoordeling, een hogere (riskantere) positie kan innemen dan een klein TLD met een relatief hoger aandeel riskante sites. Voorbeeld: 6,1% van de door ons geanalyseerde 15,5 miljoen .com-sites (commercieel) werd als riskant beoordeeld, iets minder dan ons totaal gemiddelde van 6,2%. Bij weging van de risico's van de .com-sites ten opzichte van het totaal aantal riskante sites wereldwijd, steeg de verhouding echter tot 31,3%, waardoor het bovenaan eindigde als meest riskant TLD. Daarentegen was 58% van de 24.988 onderzochte Vietnamese websites (.vn) riskant, maar na weging daalde de verhouding tot 29,4% vanwege het risicoaandeel in het totale aantal riskante sites wereldwijd. Hierdoor behaalde .vn toch een risicoclassificering achter .com. Het Mal-Web in kaart brengen
10
Enkele kanttekeningen bij de classificaties Geen weging op basis van verkeer Het bezoekersverkeer van een TLD is niet meegenomen in de afweging van onze risicobeoordelingen. We maken dus geen onderscheid tussen een zeer populair TLD waarbij riskante sites frequent worden bezocht en een minder populair TLD met weinig bezoekers. Deze benadering beantwoordt aan de werkelijkheid waarbij kwaadaardige sites vaak snel opklimmen naar de miljoen populairste internetsites (gemeten naar hoeveelheid verkeer) en vervolgens enkele weken in de top staan terwijl gebruikers worden geïnfecteerd. Een gebruiker die alleen de populaire sites of de bovenste zoekresultaten kiest, loopt dus nog steeds risico. Geen weging op basis van type risico Onze analyse maakt geen onderscheid tussen geringe, middelmatige en triviale dreigingen. Dit komt erop neer dat een domein met een gele classificatie vanwege een download met enig risico even zwaar telt als een domein met een rode classificatie vanwege het hosten van een drive-bydownload. Een aanmelding bij een site die
spam-e-mail veroorzaakt, wordt even zwaar gewogen als een site waarvan de download met een virus is geïnfecteerd. Geen weging op basis van TLD-grootte McAfee heeft geen toegang tot het "zone bestand" van elk van de registreerders of een lijst met alle geregistreerde publieke domeinen. Hierdoor kunnen we in bepaalde gevallen niet bepalen wat het percentage openbare websites is van een TLD waarvan we classificaties hebben. Omdat we ons echter hebben beperkt tot en beoordeling van TLD's met een grote steekproef, zijn we van mening dat de beoordeling van het totale risico (en dus ook van onze classificaties) statistisch significant is. Voorbeeld: we hebben 297.946 Poolse domeinen (.pl) beoordeeld. Hierbij troffen we 17.398 riskante domeinen aan, ofwel 5,8% van het totaal. Onze steekproefgrootte is circa 10,0%, ervan uitgaande dat de totale populatie 2.970.000 Poolse domeinen omvat. Bij een betrouwbaarheidsniveau van 95% bedraagt ons betrouwbaarheidsinterval +/- 0,08%. We zijn er met andere woorden 95% zeker van dat het werkelijke percentage riskante sites tussen 5,72% en 5,88% ligt.
Domeinen in plaats van URL's Dit onderzoek heeft alleen betrekking op classificaties op domeinniveau, niet op de afzonderlijke URL's binnen een domein. Dit is van belang omdat McAfee talloze voorbeelden van kwaadaardige afzonderlijke URL's heeft aangetroffen in domeinen die verder veilig zijn, zoals .hr (Kroatië) en .edu (educatie). Geen aanpassingen voor schrappen van riskante sites We weten dat TLD-beheerders soms contractuele verplichtingen hebben, waardoor ze niet in staat zijn om bepaalde domeintypen te schrappen die McAfee als riskant zou kunnen beschouwen. Websitegedrag dat leidt tot schrappingen in het ene register, hoeft in een ander register niet als ongepast te worden beschouwd. McAfee maakt daarom geen onderscheid tussen deze verschillende regels. Tot slot Onze classificaties houden geen rekening met domeinen die we niet hebben getraceerd.
Het Mal-Web in kaart brengen
11
Classificatieoverzicht Totaalklassering HOOG RISICO
LAAG RISICO
Land of naam
Regio
TLD
2010 2010 Wereldwijde Gewogen risico risico classificatie verhouding
2010 Niet-gewogen risico verhouding
2009 Wereldwijde risico classificatie
2009 Jaarlijkse 2010 2010 Gewogen wijziging van Totaal aantal Totaal aantal risico het gewogen getraceerde riskante verhouding risico domeinen domeinen
Commercieel
Generiek
COM
1
31,3%
6,1%
2
32,2%
-2,8% ↓
15.530.183
948.995
Informatie
Generiek
INFO
2
30,7%
46,6%
5
15,8%
94,5% ↑
533.711
248.806
Vietnam
APAC
VN
3
29,4%
58,0%
39
0,9%
3.107,9% ↑
24.988
14.492
Kameroen
EMEA
CM
4
22,2%
44,2%
1
36,7%
-39,5% ↓
3.947
1.746
Armenië
EMEA
AM
5
12,1%
24,2%
23
2,0%
512,9% ↑
3.145
760
Cocos-Keeling- APAC eilanden
CC
6
10,5%
20,2%
14
3,3%
215,4% ↑
58.713
11.869
Azië-Pacific
APAC
ASIA
7
10,3%
20,6%
N.v.t.
N.v.t.
N.v.t.
3.122
642
Netwerk
Generiek
NET
8
10,1%
10,5%
7
5,8%
73,7% ↑
1.556.813
163.466 55.373
Rusland
EMEA
RU
9
10,1%
16,8%
9
4,6%
116,7% ↑
329.136
Samoa
APAC
WS
10
8,6%
16,9%
4
17,8%
-51,8% ↓
22.070
3.734
Tokelaueilanden
APAC
TK
11
8,4%
15,9%
19
2,3%
262,0% ↑
91.876
14.630
Organisatie
Generiek
ORG
12
6,4%
7,4%
11
4,2%
50,3% ↑
1.224.870
90.290
Business
Generiek
BIZ
13
6,3%
11,8%
13
3,6%
74,3% ↑
121.622
14.350
Verenigde Staten
Amerika
US
14
6,0%
11,2%
17
3,1%
95,7% ↑
119.861
13.365
Volksrepubliek China
APAC
CN
15
4,8%
8,3%
3
23,4%
-79,5% ↓
261,298
21,711
Voormalige Sovjet-Unie
EMEA
SU
16
4,6%
9,2%
8
5,2%
-9,8% ↓
8.478
784
Sao Tomé en Principe
EMEA
ST
17
3,7%
7,3%
12
3,8%
-1,6% ↓
11.997
880
Roemenië
EMEA
RO
18
3,7%
7,1%
20
2,2%
63,5% ↑
56.312
3.982
Georgië
EMEA
GE
19
3,5%
7,0%
N.v.t.
N.v.t.
N.v.t.
2.311
162
Polen
EMEA
PL
20
3,4%
5,8%
60
0,5%
574,2% ↑
297.946
17.398
India
APAC
IN
21
3,4%
6,5%
22
2,0%
67,8% ↑
49.368
3.218
Montserrat
EMEA
MS
22
3,2%
6,3%
N.v.t.
N.v.t.
N.v.t.
3.382
213
Pakistan
APAC
PK
23
2,8%
5,5%
18
2,8%
0,5% ↑
4.947
273
Niue
APAC
NU
24
2,5%
5,0%
24
1,9%
32,3% ↑
27.420
1.362
Filipijnen
APAC
PH
25
2,2%
4,3%
6
13,1%
-83,4% ↓
9.625
418
Montenegro
EMEA
ME
26
2,1%
4,3%
N.v.t.
N.v.t.
N.v.t.
5.465
233
Tonga
APAC
TO
27
2,1%
4,2%
33
1,1%
94,5% ↑
13.150
550
Trinidad en Tobago
Amerika
TT
28
1,9%
3,8%
51
0,6%
217,6% ↑
4.287
165
Families en personen
Generiek
NAME
29
1,7%
3,3%
16
3,1%
-45,9% ↓
6.726
223
Tuvalu
APAC
TV
30
1,7%
3,2%
38
0,9%
80,1% ↑
40.770
1.316
Kazachstan
EMEA
KZ
31
1,5%
3,1%
15
3,1%
-50,2% ↓
4.708
144
Turks- en Amerika Caicoseilanden
TC
32
1,5%
3,0%
40
0,9%
74,8% ↑
11.187
338
Mobiele apparaten
Generiek
MOBI
33
1,5%
3,0%
25
1,7%
-14,4% ↓
6.861
204
Marokko
EMEA
MA
34
1,5%
3,0%
N.v.t.
N.v.t.
N.v.t.
2.024
60
Laos
APAC
LA
35
1,5%
2,9%
26
1,6%
-8,7% ↓
4.143
122
Colombia
Amerika
CO
36
1,5%
2,9%
68
0,4%
249,0% ↑
3.618
106
Belize
Amerika
BZ
37
1,3%
2,5%
30
1,2%
2,2% ↑
3.472
88
Het Mal-Web in kaart brengen
12
Totaalklassering (vervolg) HOOG RISICO
Land of naam
LAAG RISICO
Regio
TLD
2010 2010 Wereldwijde Gewogen risico risico classificatie verhouding
2010 Niet-gewogen risico verhouding
2009 Wereldwijde risico classificatie
2009 Jaarlijkse 2010 2010 Gewogen wijziging van Totaal aantal Totaal aantal risico het gewogen getraceerde riskante verhouding risico domeinen domeinen
Zuid-Korea
APAC
KR
38
1,1%
2,2%
28
1,5%
-26,7% ↓
70.261
1.530
Christmas eiland
APAC
CX
39
1,1%
2,2%
74
0,4%
195,6% ↑
6.084
136
Letland
EMEA
LV
40
1,1%
2,1%
71
0,4%
163,1% ↑
10.015
210
Canada
Amerika
CA
41
0,9%
1,6%
64
0,5%
90,5% ↑
169.543
2.777
Slowakije
EMEA
SK
42
0,9%
1,7%
45
0,8%
11,4% ↑
37.643
649
Servië
EMEA
RS
43
0,9%
1,7%
N.v.t.
N.v.t.
N.v.t.
2.031
35
Europese Unie
EMEA
EU
44
0,8%
1,6%
59
0,5%
60,3% ↑
80.278
1.288
Oekraïne
EMEA
UA
45
0,8%
1,6%
36
1,0%
-19,7% ↓
38.619
615
Federale Staten van Micronesia
APAC
FM
46
0,7%
1,5%
66
0,4%
69,7% ↑
4.075
60
Maleisië
APAC
MY
47
0,7%
1,5%
80
0,3%
122,1% ↑
15.200
221
Thailand
APAC
TH
48
0,7%
1,5%
32
1,1%
-34,8% ↓
8.912
130
Verenigd Koninkrijk
EMEA
UK
49
0,7%
0,9%
55
0,6%
30,3% ↑
898.229
8.503
Moldavië
EMEA
MD
50
0,7%
1,4%
N.v.t.
N.v.t.
N.v.t.
2.644
38
Wit-Rusland
EMEA
BY
51
0,7%
1,4%
29
1,3%
-44,8% ↓
4.372
62
Zuid-Georgië en Zuidelijke Sandwich eilanden
EMEA
GS
52
0,6%
1,2%
48
0,6%
-7,1% ↓
4.578
55
Peru
Amerika
PE
53
0,6%
1,2%
41
0,9%
-32,9% ↓
5.176
60
Tsjechië
EMEA
CZ
54
0,6%
1,0%
54
0,6%
-4,7% ↓
101.781
1.068
Iran
EMEA
IR
55
0,5%
1,1%
37
0,9%
-42,5% ↓
17.874
191
Litouwen
EMEA
LT
56
0,5%
1,1%
44
0,8%
-36,9% ↓
11.517
121
Ecuador
Amerika
EC
57
0,5%
1,0%
49
0,6%
-18,8% ↓
2.496
26
Verenigde Arabische Emiraten
EMEA
AE
58
0,5%
1,0%
65
0,5%
7,9% ↑
4.123
42
Uruguay
Amerika
UY
59
0,5%
1,0%
75
0,4%
35,0% ↑
3.277
33
Hongkong
APAC
HK
60
0,5%
1,0%
34
1,1%
-53,8% ↓
17.960
176
Republiek China (Taiwan)
APAC
TW
61
0,5%
1,0%
52
0,6%
-16,3% ↓
56.000
534
België
EMEA
BE
62
0,5%
0,9%
81
0,3%
49,2% ↑
123.606
1.124
Liechtenstein
EMEA
LI
63
0,5%
1,0%
90
0,2%
110,3% ↑
3.000
29
Oost-Timor
APAC
TL
64
0,5%
1,0%
58
0,5%
-11,6% ↓
5.309
51
Hongarije
EMEA
HU
65
0,4%
0,9%
53
0,6%
-23,9% ↓
71.650
614
Duitsland
EMEA
DE
66
0,4%
0,5%
83
0,3%
43,8% ↑
1.504.163
7.052
Saudi-Arabië
EMEA
SA
67
0,4%
0,9%
42
0,9%
-48,7% ↓
2.630
23
Bosnië en Herzegovina
EMEA
BA
68
0,4%
0,9%
46
0,8%
-43,9% ↓
2.671
23
Indonesië
APAC
ID
69
0,4%
0,8%
56
0,6%
-23,7% ↓
6.138
52
Brazilië
Amerika
BR
70
0,4%
0,7%
70
0,4%
5,0% ↑
290.350
2.084
Finland
EMEA
FI
71
0,4%
0,8%
85
0,3%
41,5% ↑
35.046
283
Argentinië
Amerika
AR
72
0,4%
0,8%
50
0,6%
-36,7% ↓
80.324
603
Spanje
EMEA
ES
73
0,4%
0,7%
27
1,6%
-75,6% ↓
103.555
749
Nieuw-Zeeland APAC
NZ
74
0,4%
0,7%
94
0,2%
86,8% ↑
56.240
416
Frankrijk
EMEA
FR
75
0,4%
0,7%
61
0,5%
-24,8% ↓
244.237
1.626
Oostenrijk
EMEA
AT
76
0,4%
0,7%
89
0,2%
58,4% ↑
139.244
966
Israël
EMEA
IL
77
0,4%
0,7%
31
1,2%
-70,4% ↓
29.113
209
Het Mal-Web in kaart brengen
13
Totaalklassering (vervolg) HOOG RISICO
Land of naam
LAAG RISICO
Regio
TLD
2010 2010 2010 2009 Wereldwijde Gewogen Niet-gewogen Wereldwijde risico risico risico risico classificatie verhouding verhouding classificatie
2009 Jaarlijkse 2010 2010 Gewogen wijziging van Totaal aantal Totaal aantal risico het gewogen getraceerde riskante verhouding risico domeinen domeinen
Nauru
APAC
NR
78
0,4%
0,7%
62
0,5%
-29,9% ↓
8.199
58
Turkije
EMEA
TR
79
0,4%
0,7%
47
0,7%
-46,6% ↓
36.466
252
Zweden
EMEA
SE
80
0,4%
0,7%
88
0,3%
35,8% ↑
102.870
684
Singapore
APAC
SG
81
0,3%
0,7%
10
4,6%
-92,6% ↓
15.632
105
Noorwegen
EMEA
NO
82
0,3%
0,6%
77
0,4%
-8,5% ↓
50.089
317
Griekenland
EMEA
GR
83
0,3%
0,6%
73
0,4%
-22,7% ↓
41.357
243
Amerikaanse overheid
Generiek
GOV
84
0,3%
0,6%
104
0,0%
1,188,3% ↑
6.415
38
Mexico
Amerika
MX
85
0,3%
0,6%
69
0,4%
-26,7% ↓
49.601
284
Luxemburg
EMEA
LU
86
0,3%
0,6%
98
0,1%
102,4% ↑
6.750
38
Italië
EMEA
IT
87
0,3%
0,5%
78
0,3%
-17,6% ↓
314.171
1.495
Venezuela
Amerika
VE
88
0,3%
0,5%
21
2,1%
-86,7% ↓
5.842
32
Estland
EMEA
EE
89
0,3%
0,5%
76
0,4%
-30,1% ↓
11.302
58
Zuid-Afrika
EMEA
ZA
90
0,3%
0,5%
96
0,2%
50,6% ↑
72.629
357
Portugal
EMEA
PT
91
0,2%
0,5%
86
0,3%
-13,2% ↓
38.869
189
Vanuatu
APAC
VU
92
0,2%
0,5%
97
0,2%
49,1% ↑
15.211
70
Nederland
EMEA
NL
93
0,2%
0,3%
84
0,3%
-24,4% ↓
583.943
1.980
Bulgarije
EMEA
BG
94
0,2%
0,5%
43
0,8%
-73,1% ↓
17.974
81
Denemarken
EMEA
DK
95
0,2%
0,4%
91
0,2%
0,7% ↑
151.472
627
IJsland
EMEA
IS
96
0,2%
0,4%
87
0,3%
-19,8% ↓
6.102
26
Slovenië
EMEA
SI
97
0,2%
0,4%
79
0,3%
-36,6% ↓
11.339
48
Australië
APAC
AU
98
0,2%
0,3%
93
0,2%
-4,3% ↓
256.103
871
Zwitserland
EMEA
CH
99
0,1%
0,3%
95
0,2%
-13,3% ↓
217.863
572
Ierland
EMEA
IE
100
0,1%
0,2%
101
0,1%
-5,7% ↓
32.120
71
Kroatië
EMEA
HR
101
0,1%
0,2%
100
0,1%
-11,1% ↓
22.511
50
Guernsey
EMEA
GG
102
0,1%
0,2%
57
0,6%
-81,1% ↓
12.092
25
Catalaans
Gesponsord
CAT
103
0,1%
0,2%
99
0,1%
-31,6% ↓
3.936
7
Japan
APAC
JP
104
0,1%
0,1%
103
0,1%
6,6% ↑
464.408
547
Educatie
Generiek
EDU
105
0,1%
0,1%
102
0,1%
-48,6% ↓
14.002
15
Reizen en toerisme
Generiek
TRAVEL
106
0,0%
0,0%
92
0,2%
-88,6% ↓
2.013
1
Opmerking: de vermeldingen "N.v.t." hebben betrekking op nieuwe TLD's in het rapport van dit jaar, waardoor geen vergelijking met vorige jaren mogelijk is.
Het Mal-Web in kaart brengen
14
Regio Amerika HOOG RISICO
Land of naam
LAAG RISICO
TLD
2010 Wereldwijde risico classificatie
2010 Gewogen risico verhouding
2010 Niet-gewogen risico verhouding
2009 Wereldwijde risico classificatie
2009 Gewogen risico verhouding
Jaarlijkse wijziging van het gewogen risico
2010 2010 Totaal aantal Totaal aantal getraceerde riskante domeinen domeinen
Verenigde Staten
US
14
6,0%
11,2%
17
3,1%
95,7% ↑
119.861
13.365
Trinidad en Tobago
TT
28
1,9%
3,8%
51
0,6%
217,6% ↑
4.287
165
Turks- en Caicoseilanden
TC
32
1,5%
3,0%
40
0,9%
74,8% ↑
11.187
338 106
Colombia
CO
36
1,5%
2,9%
68
0,4%
249,0% ↑
3.618
Belize
BZ
37
1,3%
2,5%
30
1,2%
2,2% ↑
3.472
88
Canada
CA
41
0,9%
1,6%
64
0,5%
90,5% ↑
169.543
2,777
Peru
PE
53
0,6%
1,2%
41
0,9%
-32,9% ↓
5.176
60
Ecuador
EC
57
0,5%
1,0%
49
0,6%
-18,8% ↓
2.496
26
Uruguay
UY
59
0,5%
1,0%
75
0,4%
35,0% ↑
3.277
33
Brazilië
BR
70
0,4%
0,7%
70
0,4%
5,0% ↑
290.350
2.084
Argentinië
AR
72
0,4%
0,8%
50
0,6%
-36,7% ↓
80.324
603
Mexico
MX
85
0,3%
0,6%
69
0,4%
-26,7% ↓
49.601
284
Venezuela
VE
88
0,3%
0,5%
21
2,1%
-86,7% ↓
5.842
32
• Colombia (.co) liet dit jaar een van de grootste risicostijgingen zien, door van plaats 68 op te klimmen naar plaats 36. We constateerden dat de voornaamste risico's bij .co te maken hebben met kwaadaardige activiteiten: URL's die als tussenschakel voor andere kwaadaardige hosts dienen, zoals botnets van gehackte systemen en de beheercentra die deze manipuleren. • Venezuela (.ve) was een van de TLD's met de grootste vooruitgang, door te zakken van plaats 21 in 2009 naar plaats 88 dit jaar.
Het Mal-Web in kaart brengen
15
Regio Azië-Pacific (APAC) HOOG RISICO
Land of naam
LAAG RISICO
TLD
2010 Wereldwijde risico classificatie
2010 Gewogen risico verhouding
2010 Niet-gewogen risico- verhouding
2009 Wereldwijde risico classificatie
2009 Gewogen risico verhouding
Jaarlijkse wijziging van het gewogen risico
2010 2010 Totaal aantal Totaal aantal getraceerde riskante domeinen domeinen
Vietnam
VN
3
29,4%
58,0%
39
0,9%
3.107,9% ↑
24.988
14.492
Cocos-Keeling-eilanden
CC
6
10,5%
20,2%
14
3,3%
215,4% ↑
58.713
11.869
Samoa
WS
10
8,6%
16,9%
4
17,8%
-51,8% ↓
22.070
3.734
Tokelau-eilanden
TK
11
8,4%
15,9%
19
2,3%
262,0% ↑
91.876
14.630
Volksrepubliek China
CN
15
4,8%
8,3%
3
23,4%
-79,5% ↓
261.298
21.711
India
IN
21
3,4%
6,5%
22
2,0%
67,8% ↑
49.368
3.218
Pakistan
PK
23
2,8%
5,5%
18
2,8%
0,5% ↑
4,947
273
Niue
NU
24
2,5%
5,0%
24
1,9%
32,3% ↑
27.420
1.362
Filipijnen
PH
25
2,2%
4,3%
6
13,1%
-83,4% ↓
9.625
418
Tonga
TO
27
2,1%
4,2%
33
1,1%
94,5% ↑
13.150
550
Tuvalu
TV
30
1,7%
3,2%
38
0,9%
80,1% ↑
40.770
1.316
Laos
LA
35
1,5%
2,9%
26
1,6%
-8,7% ↓
4.143
122
Zuid-Korea
KR
38
1,1%
2,2%
28
1,5%
-26,7% ↓
70.261
1.530
Christmaseiland
CX
39
1,1%
2,2%
74
0,4%
195,6% ↑
6.084
136
Federale Staten van Micronesia
FM
46
0,7%
1,5%
66
0,4%
69,7% ↑
4.075
60
Maleisië
MY
47
0,7%
1,5%
80
0,3%
122,1% ↑
15.200
221
Thailand
TH
48
0,7%
1,5%
32
1,1%
-34,8% ↓
8.912
130
Hongkong
HK
60
0,5%
1,0%
34
1,1%
-53,8% ↓
17.960
176
Republiek China (Taiwan)
TW
61
0,5%
1,0%
52
0,6%
-16,3% ↓
56.000
534
Oost-Timor
TL
64
0,5%
1,0%
58
0,5%
-11,6% ↓
5.309
51
Indonesië
ID
69
0,4%
0,8%
56
0,6%
-23,7% ↓
6.138
52
Nieuw-Zeeland
NZ
74
0,4%
0,7%
94
0,2%
86,8% ↑
56.240
416
Nauru
NR
78
0,4%
0,7%
62
0,5%
-29,9% ↓
8.199
58
Singapore
SG
81
0,3%
0,7%
10
4,6%
-92,6% ↓
15.632
105
Vanuatu
VU
92
0,2%
0,5%
97
0,2%
49,1% ↑
15.211
70
Australië
AU
98
0,2%
0,3%
93
0,2%
-4,3% ↓
256.103
871
Japan
JP
104
0,1%
0,1%
103
0,1%
6,6% ↑
464.408
547
Opmerking: de vermeldingen "N.v.t." hebben betrekking op nieuwe TLD's in het rapport van dit jaar, waardoor geen vergelijking met vorige jaren mogelijk is.
• Totaal gezien is de regio Azië-Pacific het sterkst vertegenwoordigd in de categorie "best verbeterd", door vier plaatsen te bezetten in de top vijf, aangevoerd door Singapore (.sg) en gevolgd door de Volksrepubliek China (.cn), de Filipijnen (.ph) en Samoa (.ws). Deze prestatie is vooral indrukwekkend omdat de betreffende TLD's vorig jaar alle vier in de lijst met tien meest riskante TLD's stonden. • Vietnam (.vn) is daarentegen gestegen van plaats 39 in 2009 naar een derde plaats in de risicoclassificering van 2010. De voornaamste risico's van .vn zijn vergelijkbaar met die van Colombia (.co): kwaadaardige activiteiten, sites die worden ingezet als proxy naar andere kwaadaardige hosts en manipulatie van beheersfuncties. • Japan keerde terug op de lijst met 's werelds minst riskante TLD's en in de APAC-regio was het opnieuw het veiligste domein.
Het Mal-Web in kaart brengen
16
Regio Europa, Midden-Oosten en Afrika (EMEA) HOOG RISICO
Land of naam
LAAG RISICO
TLD
2010 Wereldwijde risico classificatie
2010 2010 2009 Gewogen Niet-gewogen Wereldwijde risico risicoverhouding risico verhouding classificatie
2009 Jaarlijkse 2010 2010 Gewogen wijziging van het Totaal aantal Totaal aantal risico gewogen risico getraceerde riskante verhouding domeinen domeinen
Kameroen
CM
4
22,2%
44,2%
1
36,7%
-39,5% ↓
3.947
1.746
Armenië
AM
5
12,1%
24,2%
23
2,0%
512,9% ↑
3.145
760
Rusland
RU
9
10,1%
16,8%
9
4,6%
116,7% ↑
329.136
55.373
Voormalige Sovjet-Unie
SU
16
4,6%
9,2%
8
5,2%
-9,8% ↓
8.478
784
Sao Tomé en Principe
ST
17
3,7%
7,3%
12
3,8%
-1,6% ↓
11.997
880
Roemenië
RO
18
3,7%
7,1%
20
2,2%
63,5% ↑
56.312
3.982
Georgië
GE
19
3,5%
7,0%
N.v.t.
N.v.t.
N.v.t.
2.311
162
Polen
PL
20
3,4%
5,8%
60
0,5%
574,2% ↑
297.946
17.398
Montserrat
MS
22
3,2%
6,3%
N.v.t.
N.v.t.
N.v.t.
3.382
213
Montenegro
ME
26
2,1%
4,3%
N.v.t.
N.v.t.
N.v.t.
5.465
233
Kazachstan
KZ
31
1,5%
3,1%
15
3,1%
-50,2% ↓
4.708
144
Marokko
MA
34
1,5%
3,0%
N.v.t.
N.v.t.
N.v.t.
2.024
60
Letland
LV
40
1,1%
2,1%
71
0,4%
163,1% ↑
10.015
210
Slowakije
SK
42
0,9%
1,7%
45
0,8%
11,4% ↑
37.643
649
Servië
RS
43
0,9%
1,7%
N.v.t.
N.v.t.
N.v.t.
2.031
35
Europese Unie
EU
44
0,8%
1,6%
59
0,5%
60,3% ↑
80.278
1.288
Oekraïne
UA
45
0,8%
1,6%
36
1,0%
-19,7% ↓
38.619
615
Verenigd Koninkrijk
UK
49
0,7%
0,9%
55
0,6%
30,3% ↑
898.229
8.503
Moldavië
MD
50
0,7%
1,4%
N.v.t.
N.v.t.
N.v.t.
2.644
38
Wit-Rusland
BY
51
0,7%
1,4%
29
1,3%
-44,8% ↓
4.372
62
Zuid-Georgië en Zuidelijke Sandwicheilanden
GS
52
0,6%
1,2%
48
0,6%
-7,1% ↓
4.578
55
Tsjechië
CZ
54
0,6%
1,0%
54
0,6%
-4,7% ↓
101.781
1.068
Iran
IR
55
0,5%
1,1%
37
0,9%
-42,5% ↓
17.874
191
Litouwen
LT
56
0,5%
1,1%
44
0,8%
-36,9% ↓
11.517
121
Verenigde Arabische Emiraten
AE
58
0,5%
1,0%
65
0,5%
7,9% ↑
4.123
42
België
BE
62
0,5%
0,9%
81
0,3%
49,2% ↑
123.606
1.124
Liechtenstein
LI
63
0,5%
1,0%
90
0,2%
110,3% ↑
3.000
29
Hongarije
HU
65
0,4%
0,9%
53
0,6%
-23,9% ↓
71.650
614
Duitsland
DE
66
0,4%
0,5%
83
0,3%
43,8% ↑
1.504.163
7.052
Saudi-Arabië
SA
67
0,4%
0,9%
42
0,9%
-48,7% ↓
2.630
23
Bosnië en Herzegovina
BA
68
0,4%
0,9%
46
0,8%
-43,9% ↓
2.671
23
Finland
FI
71
0,4%
0,8%
85
0,3%
41,5% ↑
35.046
283
Spanje
ES
73
0,4%
0,7%
27
1,6%
-75,6% ↓
103.555
749
Frankrijk
FR
75
0,4%
0,7%
61
0,5%
-24,8% ↓
244.237
1.626
Oostenrijk
AT
76
0,4%
0,7%
89
0,2%
58,4% ↑
139.244
966
Israël
IL
77
0,4%
0,7%
31
1,2%
-70,4% ↓
29.113
209
Turkije
TR
79
0,4%
0,7%
47
0,7%
-46,6% ↓
36.466
252
Zweden
SE
80
0,4%
0,7%
88
0,3%
35,8% ↑
102.870
684
Noorwegen
NO
82
0,3%
0,6%
77
0,4%
-8,5% ↓
50.089
317
Griekenland
GR
83
0,3%
0,6%
73
0,4%
-22,7% ↓
41.357
243
Luxemburg
LU
86
0,3%
0,6%
98
0,1%
102,4% ↑
6.750
38
Italië
IT
87
0,3%
0,5%
78
0,3%
-17,6% ↓
314.171
1.495
Estland
EE
89
0,3%
0,5%
76
0,4%
-30,1% ↓
11.302
58
Zuid-Afrika
ZA
90
0,3%
0,5%
96
0,2%
50,6% ↑
72.629
357
Portugal
PT
91
0,2%
0,5%
86
0,3%
-13,2% ↓
38.869
189
Het Mal-Web in kaart brengen
17
Regio Europa, Midden-Oosten en Afrika (EMEA) (vervolg) HOOG RISICO
Land of naam
LAAG RISICO
TLD
2010 Wereldwijde risico classificatie
2010 2010 2009 Gewogen Niet-gewogen Wereldwijde risico risicoverhouding risico verhouding classificatie
2009 Jaarlijkse 2010 2010 Gewogen wijziging van het Totaal aantal Totaal aantal risico gewogen risico getraceerde riskante verhouding domeinen domeinen
Nederland
NL
93
0,2%
0,3%
84
0,3%
-24,4% ↓
583.943
1.980
Bulgarije
BG
94
0,2%
0,5%
43
0,8%
-73,1% ↓
17.974
81
Denemarken
DK
95
0,2%
0,4%
91
0,2%
0,7% ↑
151.472
627
IJsland
IS
96
0,2%
0,4%
87
0,3%
-19,8% ↓
6.102
26
Slovenië
SI
97
0,2%
0,4%
79
0,3%
-36,6% ↓
11.339
48
Zwitserland
CH
99
0,1%
0,3%
95
0,2%
-13,3% ↓
217.863
572
Ierland
IE
100
0,1%
0,2%
101
0,1%
-5,7% ↓
32.120
71
Kroatië
HR
101
0,1%
0,2%
100
0,1%
-11,1% ↓
22.511
50
Guernsey
GG
102
0,1%
0,2%
57
0,6%
-81,1% ↓
12.092
25
Opmerking: de vermeldingen "N.v.t." hebben betrekking op nieuwe TLD's in het rapport van dit jaar, waardoor geen vergelijking met vorige jaren mogelijk is.
• Bij TLD's in de EMEA-regio is het risico dit jaar aanzienlijk gestegen in vergelijking met 2009: Polen (.pl) steeg van plaats 60 naar plaats 20 en Armenië (.am) ging van plaats 23 naar de vijfde plaats in de risicoclassificering. • Bij .pl worden de domeinen met verschillende risico's in verband gebracht, met inbegrip van kwaadaardige activiteiten, kwaadaardige downloads en het hosten van URL's die te maken hebben met spamaanvallen en -campagnes. • De aan .am verbonden risico's zijn gerichter. Zij concentreren zich op kwaadaardige activiteiten, waaronder manipulatie van beheer en vergelijkbare services.
Het Mal-Web in kaart brengen
18
Generieke en gesponsorde TLD's HOOG RISICO
Naam
LAAG RISICO
Regio
TLD
2010 2010 2010 2009 Wereldwijde Gewogen Niet-gewogen Wereldwijde risico risico risico risico classificatie verhouding verhouding classificatie
2009 Jaarlijkse 2010 2010 Gewogen wijziging van Totaal aantal Totaal aantal risico het gewogen getraceerde riskante verhouding risico domeinen domeinen
Commercieel
Generiek
COM
1
31,3%
6,1%
2
32,2%
-2,8% ↓
15.530.183
948.995
Informatie
Generiek
INFO
2
30,7%
46,6%
5
15,8%
94,5% ↑
533.711
248.806
Azië-Pacific
Generiek
ASIA
7
10,3%
20,6%
N.v.t.
N.v.t.
N.v.t.
3.122
642
Netwerk
Generiek
NET
8
10,1%
10,5%
7
5,8%
73,7% ↑
1.556.813
163.466
Organisatie
Generiek
ORG
12
6,4%
7,4%
11
4,2%
50,3% ↑
1.224.870
90.290
Business
Generiek
BIZ
13
6,3%
11,8%
13
3,6%
74,3% ↑
121.622
14.350
Families en personen
Generiek
NAME
29
1,7%
3,3%
16
3,1%
-45,9% ↓
6.726
223
Mobiele apparaten
Generiek
MOBI
33
1,5%
3,0%
25
1,7%
-14,4% ↓
6.861
204
Amerikaanse overheid
Generiek
GOV
84
0,3%
0,6%
104
0,0%
1.188,3% ↑
6.415
38
Catalaans
Gesponsord
CAT
103
0,1%
0,2%
99
0,1%
-31,6% ↓
3.936
7
Educatie
Generiek
EDU
105
0,1%
0,1%
102
0,1%
-48,6% ↓
14.002
15
Reizen en toerisme
Generiek
TRAVEL
106
0,0%
0,0%
92
0,2%
-88,6% ↓
2.013
1
• Bijna de helft (47%) van de onderzochte informatiesites (.info) is als rood of geel beoordeeld en de meeste van deze sites (43%) hebben een rode classificatie gekregen. Veel van de vastgestelde risico's in het .info-TLD hebben te maken met het hosten van inhoud die voor spamcampagnes wordt gebruikt. Deze inhoud kan betrekking hebben op goederen, malware of valse antivirussoftware. Daarnaast zijn er veel sites in het .info-TLD die connecties hebben met andere kwaadaardige domeinen en servers. Veel van deze sites zijn later boven water gekomen tijdens valse antiviruscampagnes en activiteiten van het Zeus-botnet. • Meer dan 14% van de Koobface-URL's (45.213) is aangetroffen in het commerciële TLD (.com), zonder significant aanwezig te zijn in andere TLD's.
Het Mal-Web in kaart brengen
19
Neiging naar rode versus gele risico's Rode beoordelingen worden toegekend aan websites die schadelijke code bevatten (zoals trojaanse paarden, virussen en spyware) of waar sprake is van browsermisbruik, en aan sites die een gevaarlijke reputatie hebben verworven door de gerelateerde bestands-, e-mail-, internet- en netwerkrisico's. Gele beoordelingen worden toegekend aan sites waarbij voorzichtigheid is geboden vanwege spamrisico, agressieve pop-ups of koppelingen naar riskante sites. Bij de meeste TLD's is sprake van een combinatie van rode en gele sites. Sommige neigen echter sterker naar geel of rood. De Azië-Pacific-regio's (.asia) bevatten bijvoorbeeld 642 riskante domeinen waarvan er 619 als geel zijn beoordeeld. Bij de riskante domeinen van de Amerikaanse overheid (.gov), IJsland (.is), educatie (.edu) en de branche voor reizen en toerisme (.travel) is daarentegen 100% van de domeinen als rood beoordeeld. We hoeven ons echter niet al te veel zorgen te maken over deze vier TLD's. Geen van deze TLD's heeft meer dan 40 riskante sites en over het algemeen gesproken zijn ze allemaal veilig. Vietnam (.vn) heeft echter 14.492 rode sites, wat neerkomt op 99,89% van de riskante sites en wat zijn derde plaats op de lijst met riskante TLD's rechtvaardigt.
Neiging naar geel Land of naam
TLD
Totaal aantal riskante sites
Percentage geel
Percentage rood
Azië-Pacific
ASIA
642
96,4%
Armenië
AM
760
94,2%
3,6% 5,8%
Finland
FI
283
89,1%
11,0%
Tokelau-eilanden
TK
14.630
86,3%
13,7%
Cocos-Keeling-eilanden
CC
11.869
85,5%
14,5%
Canada
CA
2.777
82,0%
18,0%
Verenigd Koninkrijk
UK
8.503
77,8%
22,2%
Tuvalu
TV
1.316
77,7%
22,3%
Mobiele apparaten
MOBI
204
76,0%
24,0%
Maleisië
MY
221
74,7%
25,3%
Niue
NU
1.362
73,3%
26,7%
Zweden
SE
684
65,2%
34,8%
Federale Staten van Micronesia
FM
60
65,0%
35,0%
Nieuw-Zeeland
NZ
416
61,8%
38,2%
Colombia
CO
106
56,6%
43,4%
Samoa
WS
3.734
55,8%
44,2%
China
CN
21.711
55,5%
44,5%
Rusland
RU
55.373
55,4%
44,6%
Peru
PE
60
51,7%
48,3%
Australië
AU
871
51,7%
48,3%
Neiging naar rood Land of naam
TLD
Totaal aantal riskante sites
Percentage geel
Percentage rood
Amerikaanse overheid
GOV
38
0,0%
100,0%
IJsland
IS
26
0,0%
100,0%
Educatie
EDU
15
0,0%
100,0%
Reizen en toerisme
TRAVEL
1
0,0%
100,0%
Vietnam
VN
14.492
0,1%
99,9%
Turks- en Caicoseilanden
TC
338
3,3%
96,8%
Polen
PL
17.398
3,5%
96,5%
Trinidad en Tobago
TT
165
4,2%
95,8%
Oost-Timor
TL
51
5,9%
94,1%
Kroatië
HR
50
8,0%
92,0%
Servië
RS
Informatie
INFO
Nauru
35
8,6%
91,4%
248.806
8,6%
91,4%
NR
58
8,6%
91,4%
Saudi-Arabië
SA
23
8,7%
91,3%
Hongarije
HU
614
9,1%
90,9%
Verenigde Arabische Emiraten
AE
42
9,5%
90,5%
Business
BIZ
14.350
9,8%
90,2%
Sao Tomé en Principe
ST
880
10,3%
89,7%
Thailand
TH
130
10,8%
89,2%
Georgië
GE
162
11,1%
88,9%
Turkije
TR
252
11,5%
88,5%
Christmaseiland
CX
136
11,8%
88,2%
Guernsey
GG
25
12,0%
88,0%
Uruguay
UY
33
12,1%
87,9%
Laos
LA
122
12,3%
87,7%
Montserrat
MS
213
13,6%
86,4%
Het Mal-Web in kaart brengen
20
Het veranderende dreigingslandschap
Een anders type zombie: malware die nooit doodgaat Begin juni werd er een grootschalige aanval met SQL-injecties uitgevoerd, die veel aandacht in de media kreeg. Met een "spatter"-aanval werd een iframe ingevoegd op tienduizenden websites. Dit iframe zorgde ervoor dat gebruikers werden omgeleid naar een kwaadaardige pagina, die vervolgens een bestand downloadde en uitvoerde. Deze aanvallen doen zich regelmatig voor, ten minste eenmaal per kwartaal. Zodra het kwaadaardige domein uit de lucht is gehaald, verdwijnen het nieuws en de bezorgdheid over de betreffende aanval naar de achtergrond. Maar we horen niets over het aantal sites die na een dergelijke aanval niet worden opgeschoond. Een maand na de aanval in juni (bekend als ww.robint.us) telden we 51.900 sites die nog steeds waren geïnfecteerd met deze SQL-injectie. Deze situatie is beslist niet uniek. Via de aanval 2677.in worden gebruikers bijvoorbeeld nog steeds omgeleid bij 26.800 webpagina's, yahoosite.ru oefent nog steeds invloed uit op 1380 sites, de exploit killpp.cn uit 2008 is nog steeds aanwezig op 680 pagina's en k.18xn.com is actief op nog eens 538 sites. Deze problemen nemen waarschijnlijk toe omdat het injecteren en verbergen van aanvallen wordt vergemakkelijkt door het dynamische en flexibele karakter van internet. —McAfee-dreigingsrapport: tweede kwartaal 2010
De hoeveelheid malware blijft in 2010 een stijgende lijn vertonen, waarbij de eerste zes maanden van 2010 het meest actieve halfjaar ooit vormden wat betreft de totale productie aan malware.4 De typen malware zijn volop in ontwikkeling, met meer software die automatisch wordt uitgevoerd (gestart vanaf USB-apparaten), meer kwaadaardige antivirussoftware (valse waarschuwingssoftware), meer malware voor sociale netwerken en veel meer gepersonaliseerde en geloofwaardige spam. Geavanceerde persistente dreigingen (ofwel Advanced Persistent Threats, ATP's) kunnen verschillende technieken combineren om te frauderen of om aanvallen uit te voeren. Een website vormt dus slechts een deel van de dreigingspuzzel. Socialenetwerksites vergemakkelijken het werk van criminelen, omdat kwaadaardige of verborgen koppelingen kunnen worden opgenomen in bijdragen en berichten van vrienden die "overdraagbaar vertrouwen" genieten. "Ik vertrouw je, dus ik kan jouw 'vriend' toch ook vertrouwen?" De Koobfaceworm maakt sinds 2008 misbruik van deze vertrouwensnetwerken, op zoek naar nieuwe slachtoffers voor zijn schadelijke code en nieuwe zombie-bots voor zijn botnets.5 In 2010 was de Koobface-worm erg actief. We hebben 315.415 kwaadaardige URL's aangetroffen met betrekking tot Koobface. Meer dan 14% van deze URL's (45.213) is aangetroffen in .com, ons meest riskante TLD, zonder significant aanwezig te zijn in andere TLD's. Een microkosmos van deze stroom malware zorgde dit jaar voor het op één na riskantste TLD: info. Als u op dit domein op een koppeling klikte, had u een kans van 47% om op een riskante pagina uit te komen. Uit ons onderzoek van de typen beveiligingsrisico's op .info is gebleken dat de overgrote meerderheid als riskant is beoordeeld vanwege de wijze waarop ze zich hebben geregistreerd en de domeinreputatie die ze genieten, uitgaande van onze database met verdachte activiteiten die in de loop der tijd zijn waargenomen. De kwaadaardige sites vormen een volgende risicofactor voor .info. Sommige van deze sites worden gebruikt voor malware, exploits of een combinatie van beide. Sommige fungeren als beheerserver, een gehackte server of een domein op een server dat door een bot wordt beheerd. Veel sites bevatten downloads voor valse antivirussoftware (ook wel bekend als scareware of valse waarschuwingssoftware) en Zeus-botnetmalware, die een rol spelen in het totale dreigingslandschap. De Zeus-botnets gebruiken uiterst geavanceerde technieken om de krachtige verificatiesystemen, waaronder eenmalige wachtwoorden, te omzeilen die worden gebruikt voor online bankieren. Ze vormen een bijzonder lastige en ernstige bedreiging
voor consumenten en bedrijven. De phishing sites vertegenwoordigen tot slot ook een aanzienlijk deel van de rode .info-sites. Hoe harder we werken, des te meer werk we hebben... Aangezien de TLD-registreerders steeds meer beperkingen opleggen aan het gebruik van hun domeinen, zijn criminelen op zoek naar andere wegen om internet te misbruiken. Kant-en-klare malware-toolkits grijpen in op zwakke schakels in de beveiliging van Web 2.0-technologieën, zoals AJAX, XML, Flash, iframes en JavaScript, evenals op slecht geconfigureerde of onderhouden browsers, computer en websites. Het oneindige aantal combinatiemogelijkheden aan kwetsbaarheden bij hulpmiddelen en software vergemakkelijkt het plaatsen van riskante inhoud in domeinen die voor het overige deel legitiem zijn. Deze inhoud is onzichtbaar voor de gebruiker en voor misbruik van kwetsbaarheden in de browser is het niet nodig dat de gebruiker "klikt om te downloaden". Een hacker kan bijvoorbeeld gebruik maken van een speciale aanval (een SQL-injectie) om een specifiek type onzichtbare code (een iframe) te implanteren. Het iframe, dat zo klein kan zijn als een pixel en achter andere afbeeldingen of pop-upschermen verborgen kan zijn, bevat een URL die gebruikers ongemerkt naar een andere site doorverwijst, waar ze dan de kwaadaardige payload ontvangen. In een poging te voorkomen dat de browser de vervalste URL's detecteert, kan het ingesloten iframe gebruik maken van services voor verkorte URL's, zoals bit.ly of Tinyurl, om de URL te verbergen. De services voor verkorte URL's stellen alles in het werk om dit misbruik te detecteren, maar tot dusverre konden deze pogingen eenvoudig worden omzeild. Criminelen kunnen bijvoorbeeld de oorspronkelijke locatie van bezoekers detecteren en op basis hiervan alleen het verkeer selecteren dat ze naar hun site willen doorverwijzen.
4 McAfee-dreigingsrapport: tweede kwartaal 2010, kan in meerdere talen worden gedownload vanaf http://www.mcafee.com/us/threat_center/white_paper.html 5 Craig Schmugar, "Koobface remains active on Facebook" (Koobface blijft actief op Facebook), McAfee Labs Blog. www.avertlabs.com/research/blog/index.php/2008/12/03/ koobface-remains-active-on-facebook/
Het Mal-Web in kaart brengen
21
De aanvaller maakt door middel van een cross-site-omleiding onderscheid tussen de inhoud en de eerste aanvalslijn. De inhoud kan zo opnieuw worden gebruikt voor seriële pogingen, bovendien kunnen op frequentie gebaseerde detectieprogramma's worden omzeild door versiewijzigingen of kleine aanpassingen. Begint een bepaalde smaak van Koobface of Zeus te bekend te worden? Probeer deze nieuwe dan maar eens! Snel bewegende actuele doelen Het is mogelijk om kwaadaardig materiaal toe te voegen aan slecht beveiligde sites en aan elke vorm van door gebruikers gegenereerde inhoud, zoals een jpegbestand, een blog of een forum. Ofschoon slecht onderhouden sites vaak maanden- of jarenlang malware hosten (zie kader op pagina 21), kunnen enkele van de slimste dreigingen in een tijdsbestek van enkele uren verschijnen en vervolgens weer verdwijnen. Een beheercentrum met een botnet hoeft slechts vijf minuten per dag "wakker" te zijn. Om bescherming te bieden tegen deze kortstondige maar lucratieve activiteiten, moeten evaluaties op URL- of padniveau vaak worden bijgewerkt. Internetgebruikers hebben daarom baat bij inhoudsinspectie die in real time wordt uitgevoerd (scans op de nieuwste malware). Naast plaatsing van malware op een site blijft manipulatie van zoektermen een van de populairste en subtielste manieren voor criminelen om verkeer naar hun sites te leiden. Criminelen trekken de aandacht met rampen, trucs met beroemdheden, sportevenementen en andere actuele
onderwerpen. Ze maken advertenties en websites met populaire termen, zorgen ervoor dat deze worden geïndexeerd door zoekmachines en gebruiken vervolgens botnets en klikmachines om ervoor te zorgen dat deze inhoud in de bovenste zoekresultaten komt te staan. Wanneer gebruikers op deze hits in de zoekresultaten klikken, worden ze naar de sites met kwaadaardige downloads gevoerd. Een kwaadaardige site kan een nieuwe site met actuele inhoud zijn, bewust gemaakt voor dit doel, of een onschuldige site die is gehackt. Al deze methoden zijn lonend vanwege de persoonsgegevens, aanmeldgegevens van accounts, accountgegevens van vrienden, wachtwoorden en botnetzombies die worden verkregen. Mobiele apparatuur Plaats 33 in de risicoclassificatie, de mobiele apparaten (.mobi), vormde dit jaar een van de veiligere TLD's op internet. We blijven echter kritisch kijken naar dit TLD en naar het gebruik van mobiel internet in het algemeen. Steeds meer aanvallen vinden tegenwoordig plaats via mobiele apparaten. Het Zeus-botnet kan gebruikers vragen om hun mobiele nummer en machtigings nummer, en deze gegevens vervolgens gebruiken voor een financiële transactie. Als een spambericht of webformulier een mobiel nummer onderschept, kan dit nummer worden toegepast bij vervolgacties, voor het versturen van meer spam, als lokaas voor phishing of voor koppelingen naar sites die malware hosten. De miljoenen webgebaseerde smartphones die in omloop zijn, vergroten simpelweg de kansen voor handige criminelen.
"6% van alle kwaadaardige URL's die in 2009 door McAfee zijn geïdentificeerd (en waarvoor McAfee bescherming biedt), bestond uit kwaadaardige URL's op padniveau. In 2010 is dit percentage al gestegen naar 16%." —McAfee-dreigingsrapport: tweede kwartaal 2010
Het Mal-Web in kaart brengen
22
Reacties van registreerders en beheerders van topleveldomeinen Naast onze inzichten willen we u ook enkele standpunten verschaffen van mensen die binnen de TLD-gemeenschap actief zijn in de frontlinie van het risicobeheer. We verzochten de TLD's die we in dit rapport vermelden om commentaar, teneinde ervaringen, opvattingen en context ten aanzien van onze analyse te verkrijgen. .info (informatie)
"Afilias streeft als beheerder van het .inforegister naar het beteugelen van corrupte activiteiten op het .info-domein. Hiertoe zijn wij in 2008 gestart met ons toonaangevende antimisbruikbeleid en werken we proactief met onze registreerders (die rechtstreeks verkopen aan de geregistreerden) teneinde phishing en ander misbruik actief te bestrijden. Helaas heeft de groeiende populariteit van .info geleid tot toegenomen interesse van spammers. We zijn daarom gestart met de implementatie van enkele nieuwe tactieken, maar er moet meer gebeuren. De uitdaging is complex omdat Afilias als gTLD-registerbeheerder niet gerechtigd is te bepalen door wie en aan wie .infodomeinnamen worden verkocht. .info is de thuisbasis van miljoenen nuttige en legitieme sites. Het blokkeren van e-mail op basis van TLD-adressen is daarom onverstandig en zou onterecht meer onschuldige slachtoffers kunnen treffen.
In plaats daarvan kunnen geraffineerdere e-mailfiltermethoden verlichting brengen zonder de ongewenste neveneffecten." —Roland LaPlante senior vicepresident en directeur marketing bij Afilias .jp (Japan)
"Ik ben van mening dat onze voortdurende inspanningen ter verbetering van de .jp-domeinnamen hebben geleid tot een toegenomen vertrouwen van registreerders en gebruikers in het .jp-domein. Om voor registratie van een .jp-domein naam in aanmerking te komen, moet worden voldaan aan geschiktheids criteria. Dit geldt in het bijzonder voor .jp-domeinnaamregistraties van het type Organisatie (zoals "voorbeeld.co.jp") waarvoor, afhankelijk van het domeintype, verschillende criteria worden gehanteerd. Zo kan bijvoorbeeld uitsluitend een in Japan gevestigd bedrijf "voorbeeld.co.jp" laten registreren. Als een geregistreerde .jp-domeinnaam niet aan deze eisen voldoet, wordt de registratie ongeldig verklaard en volgen gepaste maatregelen. JPRS heeft hiervoor in het verleden, als verantwoordelijke instantie voor registraties, de status gecontroleerd en zo nodig actie ondernomen om een naam ongeldig te verklaren voor de .jp-registreerders. In juni 2008 heeft JPRS de registratieregels voor .jp-domeinnamen uitgebreid naar .co. jp. Hierdoor is het voor het register mogelijk geworden om valse registraties te annuleren indien annulering door de registreerders niet doeltreffend blijkt. Bovendien hebben we in november 2009 het toepassingsgebied van de regel vergroot naar alle .jp-domeinnamen van het organisatorische en geografische type. Door uitbreiding van de regelgeving en de intensieve samenwerking met de .jp-registreerders zorgt JPRS voor een rigoureuze en daadkrachtige aanpak van het probleem van de valse registraties.
Het Mal-Web in kaart brengen
23
We nemen ook maatregelen om het probleem aan te pakken van domeinnamen die worden geregistreerd en ingezet voor frauduleuze activiteiten, zoals phishing. In samenwerking met JPCERT/CC en de andere betrokken organisaties onderzoekt JPRS de mate van kwaadwilligheid van de beoogde misbruikte domeinnaam. Indien blijkt dat de naam inderdaad wordt misbruikt, verzoekt JPRS de .jp-registreerder om de naam ongeldig te verklaren. In aanvulling hierop is JPRS al sinds 2006 voortdurend bezig geweest met het verwijderen van DNS-serverregistraties in situaties waarbij de hostnaam een nietbestaande .jp-domeinnaam bevatte. Ten aanzien van de Domain Name System Security Extensions (DNSSEC) willen we in oktober 2010 starten met het gebruik van handtekeningen voor de .jp-zone en voor januari 2011 staat de introductie van DNSSEC gepland voor de services van de domeinnaam .jp. Bovendien is in november 2009 een forum met de naam "DNSSEC Japan" opgericht met het doel DNSSEC binnen de hele gemeenschap te introduceren en te bevorderen. Een van de medewerkers van JPRS bekleedt bij het forum de functie van vicevoorzitter. Deze aanhoudende inspanningen hebben hun vruchten afgeworpen. Zo ontvangt JPRS bijvoorbeeld bijna geen klachten meer over phishing: maandelijks ongeveer één klacht." —Yumi Ohashi relatiemanager internationale betrekkingen en overheid JPRS .sg (Singapore)
"Het Singapore Network Information Centre (SGNIC) stimuleert de toepassing en het gebruik van de domeinnaam ".sg" door bedrijven en personen. Hierdoor worden ze niet alleen beter herkend door gebruikers en klanten in Singapore, maar kunnen ze zich ook nadrukkelijker profileren op de internationale markt.
Bezoekers van een .sg-website kunnen verzekerd zijn van een verantwoord beheer van de site volgens de registratievoorwaarden van SGNIC. Dit komt omdat aanvragers van een .sg-domeinnaam verplicht zijn de vereiste documenten te overleggen voor registratie van een domeinnaam onder een van de categorieën van .sg, zodat hun entiteitsstatus kan worden gecontroleerd. Iemand die een ".com.sg" wil inschrijven, moet bijvoorbeeld aantonen dat het een commerciële entiteit betreft die staat ingeschreven bij de Accounting Regulatory Authority van Singapore (ACRA) of een beroepsorganisatie, terwijl voor registratie van een ".edu.sg" inschrijving bij het Ministerie van Onderwijs of erkenning door andere toepasselijke instanties verplicht is. Voor registraties door buitenlandse bedrijven moet de aanvraag vergezeld gaan van een contactadres in Singapore. Indien SGNIC negatieve feedback ontvangt omtrent het gebruik van een .sg-domein naam, wordt dit onmiddellijk onderzocht in nauwe samenwerking met de registreerders. Waar nodig worden de betrokken instanties geraadpleegd om er zeker van te zijn dat wordt voldaan aan de registratievoorwaarden. Indien bij een naam sprake is van een onjuiste voorstelling van zaken of fraude, of als materiaal wordt gehost dat in strijd is met de wetten of voorschriften van de regelgevende instanties, volgt altijd rectificatie door de registreerders. Indien dit wordt nagelaten, is SGNIC gerechtigd om de naam in te trekken of te verwijderen. Omdat internetcontent vanaf elke locatie kan worden gehost, zelfs nadat een naam is geregistreerd in Singapore, participeert SGNIC actief in de internationale internetgemeenschap, met gespecialiseerde groepen voor de veiligheid en stabiliteit van internet, om de .sg-domeinnamen te bewaken en misbruik te voorkomen. SGNIC is van mening dat deze maatregelen ervoor hebben gezorgd dat de veiligheid en de rechtmatige toepassing van .sgdomeinnamen gewaarborgd blijven.” —Mr. Lim Choon Sai algemeen directeur Singapore Network Information Centre Pte Ltd.
Het Mal-Web in kaart brengen
24
.ws (Samoa)
"Het afgelopen jaar hebben we ons gericht op reductie van het aantal riskante domeinen van ons TLD ".ws", door toepassing van aanvullende verificatie- en beveiligings modules op de infrastructuur van ons register. Door proactieve bewaking van domein registraties zijn we in staat te voorkomen dat kwaadaardige inhoud openbaar wordt. Ook hebben we met bestaande internet beveiligings- en veiligheidsbedrijven samengewerkt bij de implementatie van een geavanceerd feedbacksysteem, dat ons direct op de hoogte stelt als sprake is van mogelijk kwaadaardige domeinen die later gesignaleerd kunnen worden door internetbezoekers. We krijgen nu een beter beeld van de wijze waarop nieuwe dreigingen worden ontwikkeld en ingezet en we zijn in staat om potentiële problemen te identificeren en ongedaan te maken voordat ze schade aanrichten. In combinatie met deze informatie en de intensievere contacten met onze erkende .ws-registreerders zijn we erin geslaagd een meldingssysteem te ontwikkelen waarmee registreerders op de hoogte worden gesteld van mogelijk kwaadaardige registraties van domeinnamen. Ook is een service in het leven geroepen voor het inlichten van internethosts die hostingservices leveren voor
.ws-domeinen. Spam-e-mail wordt bestreden door een geavanceerde bewaking van de e-mailactiviteiten op onze servers, waardoor spammers snel worden geïdentificeerd en hun acties worden verhinderd. Als officieel register voor het topleveldomein .ws hebben we al vanaf de lancering van het domein, meer dat 10 jaar geleden, veel waarde gehecht aan onze reputatie op internet. Global Domains International was een van de eerste bedrijven die op register niveau deel ging uitmaken van de Conficker Working Group. We hebben intensief met hen samengewerkt om hen te ondersteunen bij het identificeren van de worm en de schade ervan te beperken. Deze samenwerking zullen we voortzetten om er zeker van te zijn dat ons TLD .ws niet wordt gebruikt voor verspreiding van de Conficker-dreiging. De aanpassingen die in ons registersysteem worden doorgevoerd, veranderen continu om gelijke tred te houden met de steeds wijzigende tactieken van criminelen. Omdat we bekend zijn met de populaire methoden die worden toegepast door lieden die malafide activiteiten op internet proberen te ontplooien, kunnen we de integriteit en veiligheid in de .ws-zone waarborgen. —Alan Ezeir president-directeur Global Domains International
Het Mal-Web in kaart brengen
25
Conclusie De risico's nemen toe en de risicofactoren op internet wijzigen steeds sneller. Steeds meer criminelen zijn in staat om hun activiteiten te verbergen en te vermommen. Daarom moeten internetgebruikers nieuwe manieren zoeken om deze dreigingen het hoofd te bieden, maar moet het surfen op internet ook leuk en nuttig blijven. Consumenten zullen waarschijnlijk niet alle riskante plaatsen onthouden die in dit rapport zijn genoemd. En zelfs als ze dit zouden kunnen, hebben we aangetoond dat de meest riskante TLD van het ene jaar enorm kan zijn verbeterd in het daarop volgende jaar. Consumenten kunnen gevaarlijke plaatsen op het internet mijden door gebruik te maken van betrouwbare beveiligingssoftware met automatische updates en veilige zoekfuncties, zoals McAfee Total Protection™. Dit is overigens slechts één situatie waarbij technologische ondersteuning aanbeveling verdient. Bedrijven weten tegenwoordig dat internet een integraal onderdeel vormt van de bedrijfsvoering en veel werknemers vinden dat ze tijdens het werk toegang moeten hebben tot internet. Dit verwachtings patroon zal toenemen wanneer de scheiding tussen werk en privéleven van werknemers verder vervaagt vanwege toegenomen mobiliteit, telewerken, intensiever gebruik van persoonlijke apparatuur en de connectiviteit die een steeds grotere rol speelt. De eenvoudigste manier om gebruikers te helpen bij het mijden van internetrisico's vormt het toevoegen van webreputatiefuncties aan hun andere verdedigingsmechanismen. Visuele signalen die in real time worden bijgewerkt, kunnen de gebruiker hierbij trainen, terwijl gelijktijdig actief bescherming wordt geboden.
Dit rapport biedt hoop aan de beheerders van riskante TLD's. Het is beslist mogelijk om van een slechte risicoreputatie af te komen of om juist een goede reputatie te behouden. Gespecialiseerde beveiligings bedrijven, zoals McAfee, willen u hierbij helpen. Met 's werelds meest uitgebreide netwerk voor wereldwijde dreigings informatie kunnen we u steeds nieuwe gegevens verstrekken over de actuele toestand en bieden we slimme oplossingen om blootstelling aan risico's te verminderen. Volgend jaar constateren we wellicht dat botnets of zombies zijn vervangen door een nieuwe tactiek die is gebaseerd op honderden miljoenen dataverwerkende mobiele apparaten die overal ter wereld worden gebruikt. Wij brengen u dan graag weer op de hoogte van deze ontwikkelingen en van de getroffen maatregelen door TLD-registreerders en de beveiligingsgemeenschap.
Het Mal-Web in kaart brengen
26
McAfee, Inc. McAfee, Inc. is het grootste bedrijf ter wereld dat gespecialiseerd is in beveiligingstechnologie. Het hoofdkantoor is gevestigd in Santa Clara, in de Amerikaanse staat Californië. McAfee biedt proactieve en bewezen oplossingen en services die systemen, netwerken en mobiele apparaten over de hele wereld helpen beveiligen, zodat gebruikers veiliger op internet kunnen surfen en winkelen. McAfee kan dankzij haar ongeëvenaarde McAfee Global Threat Intelligence vernieuwende producten ontwikkelen die thuisgebruikers, bedrijven, de overheid en serviceproviders de mogelijkheid bieden om regelnaleving te bewijzen, gegevens te beveiligen, onderbrekingen te voorkomen, kwetsbaarheden te identificeren en hun beveiliging voortdurend te controleren en te verbeteren. McAfee beveiligt uw digitale wereld. http://www.mcafee.com/nl
McAfee International BV Gatwickstraat 25, Postbus 58326 1043 GL Amsterdam The Netherlands + 31 (0)20 5863800 www.mcafee.com/nl
De informatie in dit document is alleen bedoeld voor educatieve doeleinden en als service voor de klanten van McAfee. De informatie in dit document kan zonder voorafgaande kennisgeving worden gewijzigd en wordt geleverd "zoals deze is", zonder garanties met betrekking tot de nauwkeurigheid of toepasbaarheid van de informatie op een specifieke situatie of omstandigheid. McAfee, het McAfee-logo, McAfee Global Threat Intelligence, McAfee Labs en McAfee Total Protection zijn gedeponeerde handelsmerken of handelsmerken van McAfee, Inc. en/of haar dochtermaatschappijen in de VS en/of andere landen. Andere namen en merken kunnen eigendom van anderen zijn. De productplannen, specificaties en beschrijvingen in dit document zijn alleen bedoeld ter informatie. De aangeboden informatie kan zonder voorafgaande kennisgeving worden gewijzigd en wordt zonder enige vorm van uitdrukkelijke of stilzwijgende garantie verstrekt. Copyright © 2010 McAfee, Inc. 10902rpt_mapping-mal-web_0910
Het Mal-Web in kaart brengen
27