Het Mal-Web in kaart brengen

Het Mal-Web in kaart brengen 's Werelds meest riskante domeinen

Het Mal-Web in kaart brengen

1

Het Mal-Web in kaart brengen 's Werelds meest riskante domeinen

Door: Barbara Kay, CISSP, Secure by Design Group Paula Greve, directeur onderzoek, McAfee Labs™

INHOUD Inleiding

3

Voornaamste bevindingen: Het Mal-Web in kaart brengen IV

4

Waarom in kaart brengen?

6

Hoe criminelen misbruik maken van topleveldomeinen

7

Methodologie

9

Enkele kanttekeningen bij de classificaties

11

Classificatieoverzicht

12

Het veranderende dreigingslandschap

21

Reacties van registreerders en beheerders van topleveldomeinen

23

Conclusie

26

Inleiding Hebt u een hit, of juist een botnet? Als u de volgende keer op zoek bent naar een foto van een beroemdheid of advies, besteed dan extra aandacht aan de topleveldomeinen (TLD's). Deze kunt u in de zoekresultaten herkennen aan de lettercombinatie aan het einde van de URL. Het rapport Het Mal-Web in kaart brengen van McAfee, waarvoor dit jaar meer dan 27 miljoen actieve domeinen zijn beoordeeld, laat zien dat het percentage risicovolle sites is gestegen tot een recordhoogte van 6,2%. Als gebruikers niet behoedzaam zijn bij het surfen, kan zelfs het bekijken van een pagina onverwachte gevolgen hebben. Dit jaar blijkt een groter aantal websites kwaadaardige code te bevatten waarmee wachtwoorden en persoonsgegevens worden gestolen, wordt geprofiteerd van beveiligingslekken in browsers of onopgemerkt software wordt geïnstalleerd waardoor computers veranderen in zombies. Indien u op voorhand weet dat drie van de vijf sites van een bepaald TLD gevaar opleveren, zult u waarschijnlijk een andere plaats kiezen om een foto te downloaden waar u naar zocht. Zo zouden bezoeken aan sites die in Vietnam (.vn) zijn geregistreerd, moeten worden beschouwd als "nofly zone", ondanks Vietnams groeiende populariteit als vakantiebestemming. Dit jaar steeg .vn namelijk met stip naar een plaats Beoordeling beveiligingsdreigingen door McAfee® Global Threat Intelligence™

Browsermisbruik

Adware/spyware/ trojaanse paarden/ virussen

Relaties met andere riskante sites

Riskante reputatie (bestands-, netwerk-, interneten e-mailprogramma's)

Commerciële e-mail met groot volume (spam)

Agressieve pop-upmarketing

in onze top vijf als een van de meest riskante TLD's op internet. 58% van de door ons onderzochte sites bleek hier kwaadaardige of mogelijk zelfs gevaarlijke inhoud en activiteiten te bevatten, waaronder: • Malware: code die uw computer kan beschadigen, gegevens kan stelen of waarmee kwaadaardige activiteiten op een andere computer worden uitgevoerd (inclusief keyloggers, wachtwoordstelers en zombiepakketten). • Browsermisbruik: aanvallen en malware die gebruik maken van kwetsbare software. • Phishing: valse websites die er niet verdacht uitzien, maar zijn ontworpen om te "vissen" naar gegevens of om schadelijke code te installeren. • Spamrisico: aanmeldingsformulieren die ervoor zorgen dat iemand grote hoeveelheden commerciële e-mailberichten of spam ontvangt. • Riskante connecties: sites met koppelingen die u naar een kwaadaardige site leiden en sites met verdachte associaties, bijvoorbeeld ten aanzien van het eigendom van de site, de registratie of de hostingservice.

We bepalen het risiconiveau van elke website op basis van meerdere kenmerken die hiermee in verband staan.

De TLD's .info en .cm kennen bijna net zoveel riskante als veilige sites, terwijl bij .vn het aantal riskante sites zelfs groter is.


3

Voornaamste bevindingen: Het Mal-Web in kaart brengen IV Tijdens deze vierde jaarlijkse analyse van het relatieve risico van de TLD's heeft McAfee geconstateerd dat het algehele internetrisico is gestegen ten opzichte van vorig jaar. De toegenomen risico's werden waargenomen in delen van internet die al riskant waren, zoals .info. Bij enkele TLD's - Singapore (.sg) en Venezuela (.ve) in het bijzonder zijn de risico's het afgelopen jaar flink gedaald. Daarnaast zijn enkele nieuwe probleemgebieden aangetroffen, zoals Vietnam (.vn), Armenië (.am) en Polen (.pl). Opmerking: alle risicostatistieken zijn gebaseerd op het gewogen risico, tenzij anders aangegeven.

• Risico's nemen toe: het totaal gewogen gemiddelde percentage riskante sites steeg van 5,8% (2009) naar 6,2% (2010). In 2007 en 2008 werd 4,1% van de websites door ons beoordeeld als rood (mijd de site) of geel (wees voorzichtig). Hoewel we de eerste twee jaren een andere methode toepasten, lijkt er sprake te zijn van een aanhoudend stijgende trend. Het wordt dus moeilijker om veilig op internet te navigeren.

Percentage riskante sites op het internet 7 6 5 4 3 2 1

2010

2009

2008

2007

0

• De vijf gevaarlijkste TLD's: met een gewogen risico van 31,3%, vormde .com (commercieel: het TLD met het meeste internetverkeer) het gevaarlijkste TLD. Het nam deze titel over van .cm (Kameroen), dat dit jaar daalde naar de vierde plaats. Daarentegen is .info een riskanter TLD geworden. Het steeg van de vijfde plaats vorig jaar naar de tweede plaats nu. De vijf TLD's met het hoogste percentage riskante registraties zijn: -- .com (commercieel)

31,3%

-- .info (informatie)

30,7%

-- .vn (Vietnam)

29,4%

-- .cm (Kameroen)

22,2%

-- .am (Armenië)

12,1%

• Wereldwijde verspreiding: helaas eindigde de EMEA-regio (Europa, het Midden-Oosten en Afrika) dit jaar wederom bovenaan in de top 20 van meest riskante TLD's. Deze regio kende zeven nieuwkomers, waaronder Armenië (.am) en Polen (.pl), die in de top 20 eindigden. De APAC-regio (Azië en Stille Oceaan) volgde met zes TLD's, terwijl generieke domeinen, zoals Netwerk (.net), vijf plaatsen innamen in de risicotop 20. De enige nieuwkomer van het Amerikaanse continent was de Verenigde Staten (.us) op nummer 14.


4

• Generieke sites aan kop: vergeleken met de risico's per regio was het hoogste gemiddelde risico aanwezig bij de generieke en gesponsorde TLD's. Met 7,9% lagen deze TLD's boven het totaal gemiddelde, terwijl de regionale groepen alle drie uitkwamen onder het gemiddelde van 6,2%. APAC daalde van 13% vorig jaar naar 4,9%, Amerika lag gemiddeld op 2,7% en EMEA net op 1,9%. • Enkele grote verbeteringen: Singapore (.sg) verdient waardering voor het afgenomen risico, waardoor het van plaats 10 vorig jaar naar plaats 81 dit jaar is gedaald, Venezuela (.ve) daalde van 21 naar 88 dit jaar en de Filipijnen (.ph) gingen van plaats 6 in 2009 naar plaats 25 dit jaar. • Domeinen om alert op te zijn: we hebben alleen de TLD's beoordeeld waarbij we resultaten verkregen van 2000 of meer actieve sites. Er zijn echter twee TLD's met lagere aantallen die beslist in onze top vijf waren beland als we alle TLD's zouden hebben opgenomen: -- Senegal (.sn) zou met 33% op de eerste plaats eindigen, wellicht omdat het geen registratiebeperkingen kent (http://en.wikipedia.org/wiki/.sn). -- Het Brits territorium in de Indische Oceaan (.io) zou dan een vijfde plaats innemen (risico van 11,5%). Aangezien de namen geen registratiebeperkingen kennen op het tweede niveau, kan het

een populair TLD zijn voor vindingrijke alternatieve toepassingen: ".io wordt gebruikt in domeinhacks, zoals eugen.io, moustach.io en pistacch.io, evenals door de service drop.io voor bestandshosting" (http://en.wikipedia.org/wiki/.io). • Brandschoon: de vijf TLD's met de minste domeinen die als riskant zijn beoordeeld elk met 0,1% of minder riskante domeinen - waren: -- .travel (reizen en toerisme)

0,02%

-- .edu (educatie)

0,05%

-- .jp (Japan)

0,08%

-- .cat (Catalaans)

0,09%

-- .gg (Guernsey)

0,10%

Opmerking: de waarderingen zijn gebaseerd op totaalbeoordelingen van de site, in plaats van op beoordelingen van afzonderlijke pagina's. Gebruikers moeten er rekening mee houden dat individuele URL's op doorgaans veilige domeinen nog steeds risico's kunnen opleveren. Zo hebben we bijvoorbeeld op paginaniveau nogal wat riskante URL's aangetroffen op .edu-sites (educatie).

• Amerikaanse overheid verliest leidende positie: het domein van de overheid van de Verenigde Staten (.gov), dat in 2009 als veiligste TLD naar voren kwam, is gezakt naar plaats 23 van de minst riskante TLD's. Met slechts 0,3% is het risiconiveau echter gelijk gebleven. Alle riskante sites die we aantroffen, werden door ons beoordeeld als rood.


5

Waarom in kaart brengen? McAfee heeft met de publicatie van het rapport Het Mal-Web in kaart brengen drie verschillende doelgroepen met verschillende belangen voor ogen gehad: • Voor de domeinregistratiegemeenschap hopen we dat dit rapport erkenning betekent voor hen die zich inzetten voor de bestrijding van scammerregistraties en kwaadaardige sites. Ook willen we ermee bereiken dat anderen worden aangespoord deze voortrekkers te ondersteunen door de aanbevolen procedures aan te passen aan de unieke uitdagingen die ze tegenkomen. Ze zullen worden beloond door een afname van de risico's. In het verleden hebben we door het verstrekken van onze risico-onderzoeksgegevens ondersteuning geboden bij registraties op de lijst met de "ergste overtreders". We namen waar dat als gevolg hiervan het aantal riskante sites in hun TLD's fors daalde.

• Voor de site-eigenaars hopen we dat het rapport een handige leidraad vormt bij de keuze van een "publieke locatie" voor hun registraties. • Voor consumenten en IT-beheerders hopen we dat het rapport als een realiteitscheck fungeert. Het waarschuwt ze ervoor dat overal op internet risico's worden verspreid, dat de risico's toenemen en geraffineerder worden en dat zelfs de meest ervaren gebruikers ondersteuning nodig hebben van uitgebreide beveiligingssoftware die up-to-date is en veilige zoekfuncties heeft.


6

Hoe criminelen misbruik maken van topleveldomeinen Een TLD vormt een van de organisatoren op internet en aan de letter code aan het einde van een websiteadres is te zien waar de site is geregistreerd. Waarschijnlijk kent iedereen de domeinen .com en .gov. Toch zijn veel TLD's lastiger te herkennen, zoals .am voor Armenië en .cm voor Kameroen. Oplichters maken gebruik van deze onwetendheid en van het gegeven dat veel consumenten tijdens het zoeken eenvoudigweg geen aandacht besteden aan het TLD-achtervoegsel. Veel consumenten klikken op het eerste resultaat dat interessant lijkt en vallen ten prooi aan criminelen die veel tijd hebben besteed aan het optimaliseren van hun sites voor zoekmachines. Bepaalde TLD's leveren meer gevaar op dan andere. Oplichters en hackers registreren hun activiteiten op plaatsen waar ze het makkelijkst zaken kunnen doen of waar ze lucratieve kansen zien, voortkomend uit spelfouten of logische associaties. Aangezien bijvoorbeeld de "o" in een .com-adres makkelijk kan worden vergeten, kan een gewetenloos individu het adres www.mcafee.cm registeren

in Kameroen, in de hoop berichtenverkeer te onderscheppen van consumenten en zakelijke gebruikers die bezorgd zijn over de beveiliging. Op een dergelijke site kan bijvoorbeeld een kwaadaardig antivirusprogramma worden geplaatst, met het doel consumenten te verleiden door een waarschuwing met de tekst: "Er is een virus gedetecteerd. Installeer deze software". Registreerders doen hun uiterste best om dergelijke activiteiten, die ook wel bekend staan als "typosquatting" (typefoutkraken), de kop in te drukken. Typosquatting komt voor bij allerlei soorten sites, van sites die advertentie-inkomsten genereren vanwege gemaakte typefouten of geparkeerde sites die u met alle plezier dat adres willen verkopen, tot volwaardige phishingsites die persoonlijke gegevens verzamelen of kwaadaardige software installeren. De gevaarlijkste software (soms ook "drive-by" genoemd) is onzichtbaar voor de gebruiker. De computer kan hierbij geïnfecteerd raken of misbruikt worden, zonder dat de gebruiker ergens op hoeft te klikken of bewust een download moet accepteren. De meeste malware en aanvallen doen hun best om onopgemerkt te blijven, waardoor het dagen tot weken kan duren voordat consumenten ontdekken dat er sprake is van een probleem. Criminelen kunnen in die tijd bankrekeningen leegplunderen, gebruik maken van accounts voor online games, "vrienden" op sociale netwerken infecteren of CPU-cycli voor hun botnets onderscheppen. De gemiddelde gebruiker weet evenmin of een .com-site vanuit de Verenigde Staten of China wordt gehost. Als gebruikers niet beschikken over een hulpprogramma voor risicoclassificering, is extra onderzoek nodig om vast te stellen of een locatie geschikt is voor een bezoek. Staat .vn bijvoorbeeld voor Vietnam of voor Venezuela? Het antwoord kan grote gevolgen hebben voor het risico dat u loopt. Het Mal-Web in kaart brengen

7

Terwijl de goeden werken aan verbeterde controles en registratietoezicht1, investeren de slechteriken in slinkse software en een veerkrachtige infrastructuur (zie kader over zombies). Als de strop bij één TLD wordt aangetrokken, verplaatsen ze hun internet toegangsdeuren snel naar een vergevings gezinder en flexibeler domein, zonder dat de fysieke servers noodzakelijkerwijs worden verplaatst of inhoud wordt gewijzigd.

Het TLD vertelt ons alleen waar een site is geregistreerd. De website zelf kan zich ergens anders bevinden, samen met de inhoud, servers en eigenaars ervan. Een trend onder criminelen is om inhoud te plaatsen op gratis consumentenservices voor het delen van bestanden en vervolgens de inhoud te distribueren naar de TLD's. Bestanden die op services als BitTorrent, YouTube en RapidShare worden opgeslagen, wijzigen voortdurend en het controleren van deze inhoud blijkt hierdoor erg lastig. Criminelen kiezen een TLD op basis van verschillende criteria:

Wees op uw hoede voor zombies Zombies zijn geïnfecteerde computers bij particulieren en bedrijven. Ze worden onderling verbonden door criminelen om verschillende aanvallen te lanceren: spam, phishing en gegevensdiefstal. Een groep zombies vormt samen een botnet dat de activiteiten verdeelt en ervoor zorgt dat eigenaren van een bot "buiten het bereik van de radar blijven". Zo wordt voorkomen dat ze worden gedetecteerd, onder toezicht worden gesteld of worden afgesloten door internetaanbieders. Ze verkrijgen hierdoor een eersteklas infrastructuur voor cybercriminaliteit, tegen verwaarloosbare kosten. Zombies zijn goedkoop in het gebruik en helpen de botmasters om anoniem te blijven. Het succes van deze strategie blijkt uit de gevolgen van de sluiting van McColo, waardoor het wereldwijde spamvolume in 2008 drastisch afnam2, en de ontmanteling van het Zeus-botnet in maart 2010, iets wat slechts enkele uren duurde.3

1 McAfee Verwachte dreigingen in 2010, p. 9, kan in meerdere talen worden gedownload vanaf http://www.mcafee.com/us/threat_center/white_paper.html 2 http://arstechnica.com/security/news/2009/01/two-months-after-mccolo-takedown-spam-levels-yet-to-recover.ars 3 http://www.thetechherald.com/article.php/201010/5363/ISP-takedown-deals-smashes-Zeus-botnet-%E2%80%93-for-a-few-hours

• Laagste prijs: bij gelijke randvoorwaarden kiezen oplichters voor goedkope registraties, volumekortingen en een genereus restitutiebeleid. • Ontbreken van regelgeving: bij gelijke randvoorwaarden kiezen oplichters voor registreerders die geen vragen stellen. Hoe minder informatie een oplichter moet verstrekken, des te beter. Ook hebben oplichters het liefst registreerders die traag handelen of helemaal niets doen bij melding van kwaadaardige domeinen. • Registratiegemak: bij gelijke randvoorwaarden kiezen oplichters voor registreerders die registraties van grote aantallen sites toestaan. Dit geldt in het bijzonder voor phishers en spammers die veel sites nodig hebben ter compensatie van het hoge percentage sites dat wordt gesloten door TLD-managers.


8

Methodologie Dit jaar is de methodologie ongewijzigd gebleven. Net als in het rapport van vorig jaar is hiervoor gebruik gemaakt van de McAfee Global Threat Intelligence-database, die gegevens van meer dan 150 miljoen sensoren in meer dan 120 landen bevat. Deze sensoren, bestaande uit afzonderlijke computers, appliances voor de netwerkgateway, endpointsoftware en hosted "in-the-cloud"-services, zijn afkomstig van consumenten, kleine en middelgrote bedrijven, zakelijke klanten, onderwijsinstellingen en overheidsorganen.

Onze benadering is om het risico te bepalen door het analyseren van verkeerspatronen op internet, gedrag van sites, gehoste inhoud en koppelingen. We beoordelen afzonderlijke sites op kwaadaardige of riskante inhoud en gedrag en analyseren ook de context van de site: de wijze waarop registratie, verwijzingen, gebruik en toegang van de site zijn geregeld. • Websites worden beoordeeld op browsermisbruik, phishing en overmatig gebruik van pop-ups. Browsermisbruik (ook bekend als drive-by-downloads) leidt tot het installeren van virussen, keyloggers (toetsaanslagregistratie) en spyware op computers van consumenten, zonder dat ze hier toestemming voor hebben gegeven of weet van hebben. We hebben ook de uitgaande koppelingen onderzocht om te zien of bezoekers worden verwezen naar andere sites die door McAfee als riskant zijn geclassificeerd. • Downloads worden geanalyseerd door software op onze testcomputers te installeren en te controleren op virussen, toegevoegde adware en andere mogelijk ongewenste programma's. McAfee test

geen afzonderlijke bestanden die worden aangeboden via peer-to-peer- (P2P) en BitTorrent-programma's voor het delen van bestanden, of contentplatforms als iTunes en Rhapsody. We testen echter wel bestanden die op veel freeware- en sharewaresites, zoals RapidShare, worden aangetroffen en we testen de clientsoftware van P2P en BitTorrent. Het soort services dat wordt gebruikt voor het gratis delen van bestanden, kan immers ook uitstekend worden ingezet voor het verspreiden van malware. • Aanmeldingsformulieren worden ingevuld met een eenmalig e-mailadres, zodat omvang en spamgehalte van volgende e-mails kunnen worden getraceerd. Het spamgehalte heeft betrekking op de commerciële inhoud van een e-mail en het gebruik van tactieken om de spamfiltersoftware te misleiden. Daarnaast correleert McAfee Global Threat Intelligence de beschikbare informatie van andere dreigingsvectoren, met inbegrip van analyse van e-mailverkeer, netwerkinbraak verkeer en malware, zodat een totaalscore van de reputatie kan worden vastgesteld.


9

We wijzen rode beoordelingen toe aan websites die kwaadaardige code bevatten (zoals trojaanse paarden, virussen of spyware) en aan browsermisbruik dat een gevaarlijke reputatie heeft verworven door de bestands-, e-mail-, interneten netwerk risico's die hiermee verband houden. Gele beoordelingen worden toegekend aan sites waarbij voorzichtigheid is geboden vanwege spamrisico, agressieve pop-ups of koppelingen naar riskante sites. Bij bijna alle TLD's is sprake van een combinatie van rode en gele sites.

Elk jaar ontwikkelen criminelen complexere en innovatievere technieken voor het camoufleren van hun activiteiten. Dit jaar zorgden bijvoorbeeld de botnets voor een enorme piek bij nieuwe categorieën kwaadaardige sites, een van onze analyse classificaties die virussen, trojaanse paarden en botnets omvat.

Gewogen risico

Criminelen gaan steeds geraffineerder te werk. Wij dus ook. Bij McAfee werken meer dan 400 onderzoekers die zich volledig richten op dreigingsanalyse. Dit wereldwijde team ontwikkelt nieuwe programma's om veranderingen op internet te detecteren, gegevens van deze sensoren te analyseren en gedrag en vingerafdrukken van de gedetecteerde risico's vast te stellen. Alle nieuwe inzichten worden teruggekoppeld naar ons netwerk voor wereldwijde dreigings informatie, om de analyses nog meer te verfijnen. Onze methodologie is ongewijzigd, maar onze technologie verandert voortdurend, zodat we verzekerd zijn van een nauwkeurige beoordeling van de werkelijke risico's waarmee internetgebruikers tegenwoordig worden geconfronteerd. De classificaties Net als vorige keren hebben we onze analyses beperkt tot TLD's waarvan we ten minste 2000 sites konden traceren. In dit rapport hebben we 106 van de 271 getraceerde TLD's opgenomen, met twee nieuwe domeinen ten opzichte van 2009.

TLD nr. 1 Riskante sites

Gewogen methode

TLD nr. 2

TLD nr. 1

Ongepland en onaangekondigd Dit onderzoek is niet vooraf aangekondigd en er zijn geen resultaten berekend op basis van meerdere steekproeven. Bovendien hebben we geen datum genoemd. Door een willekeurig, ongeplande steekproef te nemen, weten we zeker dat er geen sprake is van een gokelement.

Creatievere criminelen, geavanceerdere maatregelen

Niet-gewogen methode

Alle domeinen versus actieve domeinen We hebben alleen de domeinen opgenomen die ten tijde van het onderzoek in gebruik waren: 27.304.797 domeinen. Deze live gegevens vormen een onpartijdige moment opname van de status van het TLD-systeem op de dag waarop we onze gegevens verzamelden. Er is een natuurlijke risicovariatie, waardoor de resultaten anders zouden zijn als het onderzoek een week later zou zijn uitgevoerd.

TLD nr. 2

10

100

10

100

Totaal aantal sites

100

10.000

100

10.000

Alle riskante sites

Niet relevant

Niet relevant

200

200

Risicobeoordeling

10,0%

1,0%

7,5%

25,5%

Net als in het onderzoek van vorig jaar is de beoordeling gebaseerd op het gewogen risico: 50% van de beoordeling is gebaseerd op de verhouding tussen de riskante sites en het totaal aantal sites binnen één TLD en 50% is gebaseerd op de verhouding tussen de riskante sites van één TLD en het totaal van de riskante sites. We zijn van mening dat deze classificatiemethode een goede weergave is van de risico's die een gebruiker tegenkomt tijdens het surfen op internet. Anders geredeneerd, gaan we ervan uit dat een internetgebruiker minder snel bereid is om een TLD te bezoeken als bekend is dat het 50% van de meest riskante internetsites bevat, zelfs als deze riskante sites slechts 1% van alle domeinen op dit TLD vertegenwoordigen. Voorbeeld: een TLD waarbij 100 van de 10.000 sites als riskant zijn beoordeeld en waarbij deze 100 sites deel uitmaken van de in totaal 200 riskante sites over alle TLD's, levert een risicopercentage op van (50%*100/10.000)+(50%*100/200)= 25,5%. Dit is een hogere risicoclassificering dan een TLD waarbij 10 van de 100 sites als riskant zijn beoordeeld: 50%*(10/100)+(50%*(10/200)= 7,5%.

Deze methodologie houdt in dat in enkele gevallen een TLD met veel risico's, maar een lagere totale risicobeoordeling, een hogere (riskantere) positie kan innemen dan een klein TLD met een relatief hoger aandeel riskante sites. Voorbeeld: 6,1% van de door ons geanalyseerde 15,5 miljoen .com-sites (commercieel) werd als riskant beoordeeld, iets minder dan ons totaal gemiddelde van 6,2%. Bij weging van de risico's van de .com-sites ten opzichte van het totaal aantal riskante sites wereldwijd, steeg de verhouding echter tot 31,3%, waardoor het bovenaan eindigde als meest riskant TLD. Daarentegen was 58% van de 24.988 onderzochte Vietnamese websites (.vn) riskant, maar na weging daalde de verhouding tot 29,4% vanwege het risicoaandeel in het totale aantal riskante sites wereldwijd. Hierdoor behaalde .vn toch een risicoclassificering achter .com. Het Mal-Web in kaart brengen

10

Enkele kanttekeningen bij de classificaties Geen weging op basis van verkeer Het bezoekersverkeer van een TLD is niet meegenomen in de afweging van onze risicobeoordelingen. We maken dus geen onderscheid tussen een zeer populair TLD waarbij riskante sites frequent worden bezocht en een minder populair TLD met weinig bezoekers. Deze benadering beantwoordt aan de werkelijkheid waarbij kwaadaardige sites vaak snel opklimmen naar de miljoen populairste internetsites (gemeten naar hoeveelheid verkeer) en vervolgens enkele weken in de top staan terwijl gebruikers worden geïnfecteerd. Een gebruiker die alleen de populaire sites of de bovenste zoekresultaten kiest, loopt dus nog steeds risico. Geen weging op basis van type risico Onze analyse maakt geen onderscheid tussen geringe, middelmatige en triviale dreigingen. Dit komt erop neer dat een domein met een gele classificatie vanwege een download met enig risico even zwaar telt als een domein met een rode classificatie vanwege het hosten van een drive-bydownload. Een aanmelding bij een site die

spam-e-mail veroorzaakt, wordt even zwaar gewogen als een site waarvan de download met een virus is geïnfecteerd. Geen weging op basis van TLD-grootte McAfee heeft geen toegang tot het "zone bestand" van elk van de registreerders of een lijst met alle geregistreerde publieke domeinen. Hierdoor kunnen we in bepaalde gevallen niet bepalen wat het percentage openbare websites is van een TLD waarvan we classificaties hebben. Omdat we ons echter hebben beperkt tot en beoordeling van TLD's met een grote steekproef, zijn we van mening dat de beoordeling van het totale risico (en dus ook van onze classificaties) statistisch significant is. Voorbeeld: we hebben 297.946 Poolse domeinen (.pl) beoordeeld. Hierbij troffen we 17.398 riskante domeinen aan, ofwel 5,8% van het totaal. Onze steekproefgrootte is circa 10,0%, ervan uitgaande dat de totale populatie 2.970.000 Poolse domeinen omvat. Bij een betrouwbaarheidsniveau van 95% bedraagt ons betrouwbaarheidsinterval +/- 0,08%. We zijn er met andere woorden 95% zeker van dat het werkelijke percentage riskante sites tussen 5,72% en 5,88% ligt.

Domeinen in plaats van URL's Dit onderzoek heeft alleen betrekking op classificaties op domeinniveau, niet op de afzonderlijke URL's binnen een domein. Dit is van belang omdat McAfee talloze voorbeelden van kwaadaardige afzonderlijke URL's heeft aangetroffen in domeinen die verder veilig zijn, zoals .hr (Kroatië) en .edu (educatie). Geen aanpassingen voor schrappen van riskante sites We weten dat TLD-beheerders soms contractuele verplichtingen hebben, waardoor ze niet in staat zijn om bepaalde domeintypen te schrappen die McAfee als riskant zou kunnen beschouwen. Websitegedrag dat leidt tot schrappingen in het ene register, hoeft in een ander register niet als ongepast te worden beschouwd. McAfee maakt daarom geen onderscheid tussen deze verschillende regels. Tot slot Onze classificaties houden geen rekening met domeinen die we niet hebben getraceerd.


11

Classificatieoverzicht Totaalklassering HOOG RISICO

LAAG RISICO

Land of naam

Regio

TLD

2010 2010 Wereldwijde Gewogen risico risico classificatie verhouding

2010 Niet-gewogen risico verhouding

2009 Wereldwijde risico classificatie

2009 Jaarlijkse 2010 2010 Gewogen wijziging van Totaal aantal Totaal aantal risico het gewogen getraceerde riskante verhouding risico domeinen domeinen

Commercieel

Generiek

COM

1

31,3%

6,1%

2

32,2%

-2,8% ↓

15.530.183

948.995

Informatie

Generiek

INFO

2

30,7%

46,6%

5

15,8%

94,5% ↑

533.711

248.806

Vietnam

APAC

VN

3

29,4%

58,0%

39

0,9%

3.107,9% ↑

24.988

14.492

Kameroen

EMEA

CM

4

22,2%

44,2%

1

36,7%

-39,5% ↓

3.947

1.746

Armenië

EMEA

AM

5

12,1%

24,2%

23

2,0%

512,9% ↑

3.145

760

Cocos-Keeling- APAC eilanden

CC

6

10,5%

20,2%

14

3,3%

215,4% ↑

58.713

11.869

Azië-Pacific

APAC

ASIA

7

10,3%

20,6%

N.v.t.

N.v.t.

N.v.t.

3.122

642

Netwerk

Generiek

NET

8

10,1%

10,5%

7

5,8%

73,7% ↑

1.556.813

163.466 55.373

Rusland

EMEA

RU

9

10,1%

16,8%

9

4,6%

116,7% ↑

329.136

Samoa

APAC

WS

10

8,6%

16,9%

4

17,8%

-51,8% ↓

22.070

3.734

Tokelaueilanden

APAC

TK

11

8,4%

15,9%

19

2,3%

262,0% ↑

91.876

14.630

Organisatie

Generiek

ORG

12

6,4%

7,4%

11

4,2%

50,3% ↑

1.224.870

90.290

Business

Generiek

BIZ

13

6,3%

11,8%

13

3,6%

74,3% ↑

121.622

14.350

Verenigde Staten

Amerika

US

14

6,0%

11,2%

17

3,1%

95,7% ↑

119.861

13.365

Volksrepubliek China

APAC

CN

15

4,8%

8,3%

3

23,4%

-79,5% ↓

261,298

21,711

Voormalige Sovjet-Unie

EMEA

SU

16

4,6%

9,2%

8

5,2%

-9,8% ↓

8.478

784

Sao Tomé en Principe

EMEA

ST

17

3,7%

7,3%

12

3,8%

-1,6% ↓

11.997

880

Roemenië

EMEA

RO

18

3,7%

7,1%

20

2,2%

63,5% ↑

56.312

3.982

Georgië

EMEA

GE

19

3,5%

7,0%

N.v.t.

N.v.t.

N.v.t.

2.311

162

Polen

EMEA

PL

20

3,4%

5,8%

60

0,5%

574,2% ↑

297.946

17.398

India

APAC

IN

21

3,4%

6,5%

22

2,0%

67,8% ↑

49.368

3.218

Montserrat

EMEA

MS

22

3,2%

6,3%

N.v.t.

N.v.t.

N.v.t.

3.382

213

Pakistan

APAC

PK

23

2,8%

5,5%

18

2,8%

0,5% ↑

4.947

273

Niue

APAC

NU

24

2,5%

5,0%

24

1,9%

32,3% ↑

27.420

1.362

Filipijnen

APAC

PH

25

2,2%

4,3%

6

13,1%

-83,4% ↓

9.625

418

Montenegro

EMEA

ME

26

2,1%

4,3%

N.v.t.

N.v.t.

N.v.t.

5.465

233

Tonga

APAC

TO

27

2,1%

4,2%

33

1,1%

94,5% ↑

13.150

550

Trinidad en Tobago

Amerika

TT

28

1,9%

3,8%

51

0,6%

217,6% ↑

4.287

165

Families en personen

Generiek

NAME

29

1,7%

3,3%

16

3,1%

-45,9% ↓

6.726

223

Tuvalu

APAC

TV

30

1,7%

3,2%

38

0,9%

80,1% ↑

40.770

1.316

Kazachstan

EMEA

KZ

31

1,5%

3,1%

15

3,1%

-50,2% ↓

4.708

144

Turks- en Amerika Caicoseilanden

TC

32

1,5%

3,0%

40

0,9%

74,8% ↑

11.187

338

Mobiele apparaten

Generiek

MOBI

33

1,5%

3,0%

25

1,7%

-14,4% ↓

6.861

204

Marokko

EMEA

MA

34

1,5%

3,0%

N.v.t.

N.v.t.

N.v.t.

2.024

60

Laos

APAC

LA

35

1,5%

2,9%

26

1,6%

-8,7% ↓

4.143

122

Colombia

Amerika

CO

36

1,5%

2,9%

68

0,4%

249,0% ↑

3.618

106

Belize

Amerika

BZ

37

1,3%

2,5%

30

1,2%

2,2% ↑

3.472

88


12

Totaalklassering (vervolg) HOOG RISICO

Land of naam

LAAG RISICO

Regio

TLD

2010 2010 Wereldwijde Gewogen risico risico classificatie verhouding




Zuid-Korea

APAC

KR

38

1,1%

2,2%

28

1,5%

-26,7% ↓

70.261

1.530

Christmas eiland

APAC

CX

39

1,1%

2,2%

74

0,4%

195,6% ↑

6.084

136

Letland

EMEA

LV

40

1,1%

2,1%

71

0,4%

163,1% ↑

10.015

210

Canada

Amerika

CA

41

0,9%

1,6%

64

0,5%

90,5% ↑

169.543

2.777

Slowakije

EMEA

SK

42

0,9%

1,7%

45

0,8%

11,4% ↑

37.643

649

Servië

EMEA

RS

43

0,9%

1,7%

N.v.t.

N.v.t.

N.v.t.

2.031

35

Europese Unie

EMEA

EU

44

0,8%

1,6%

59

0,5%

60,3% ↑

80.278

1.288

Oekraïne

EMEA

UA

45

0,8%

1,6%

36

1,0%

-19,7% ↓

38.619

615

Federale Staten van Micronesia

APAC

FM

46

0,7%

1,5%

66

0,4%

69,7% ↑

4.075

60

Maleisië

APAC

MY

47

0,7%

1,5%

80

0,3%

122,1% ↑

15.200

221

Thailand

APAC

TH

48

0,7%

1,5%

32

1,1%

-34,8% ↓

8.912

130

Verenigd Koninkrijk

EMEA

UK

49

0,7%

0,9%

55

0,6%

30,3% ↑

898.229

8.503

Moldavië

EMEA

MD

50

0,7%

1,4%

N.v.t.

N.v.t.

N.v.t.

2.644

38

Wit-Rusland

EMEA

BY

51

0,7%

1,4%

29

1,3%

-44,8% ↓

4.372

62

Zuid-Georgië en Zuidelijke Sandwich eilanden

EMEA

GS

52

0,6%

1,2%

48

0,6%

-7,1% ↓

4.578

55

Peru

Amerika

PE

53

0,6%

1,2%

41

0,9%

-32,9% ↓

5.176

60

Tsjechië

EMEA

CZ

54

0,6%

1,0%

54

0,6%

-4,7% ↓

101.781

1.068

Iran

EMEA

IR

55

0,5%

1,1%

37

0,9%

-42,5% ↓

17.874

191

Litouwen

EMEA

LT

56

0,5%

1,1%

44

0,8%

-36,9% ↓

11.517

121

Ecuador

Amerika

EC

57

0,5%

1,0%

49

0,6%

-18,8% ↓

2.496

26

Verenigde Arabische Emiraten

EMEA

AE

58

0,5%

1,0%

65

0,5%

7,9% ↑

4.123

42

Uruguay

Amerika

UY

59

0,5%

1,0%

75

0,4%

35,0% ↑

3.277

33

Hongkong

APAC

HK

60

0,5%

1,0%

34

1,1%

-53,8% ↓

17.960

176

Republiek China (Taiwan)

APAC

TW

61

0,5%

1,0%

52

0,6%

-16,3% ↓

56.000

534

België

EMEA

BE

62

0,5%

0,9%

81

0,3%

49,2% ↑

123.606

1.124

Liechtenstein

EMEA

LI

63

0,5%

1,0%

90

0,2%

110,3% ↑

3.000

29

Oost-Timor

APAC

TL

64

0,5%

1,0%

58

0,5%

-11,6% ↓

5.309

51

Hongarije

EMEA

HU

65

0,4%

0,9%

53

0,6%

-23,9% ↓

71.650

614

Duitsland

EMEA

DE

66

0,4%

0,5%

83

0,3%

43,8% ↑

1.504.163

7.052

Saudi-Arabië

EMEA

SA

67

0,4%

0,9%

42

0,9%

-48,7% ↓

2.630

23

Bosnië en Herzegovina

EMEA

BA

68

0,4%

0,9%

46

0,8%

-43,9% ↓

2.671

23

Indonesië

APAC

ID

69

0,4%

0,8%

56

0,6%

-23,7% ↓

6.138

52

Brazilië

Amerika

BR

70

0,4%

0,7%

70

0,4%

5,0% ↑

290.350

2.084

Finland

EMEA

FI

71

0,4%

0,8%

85

0,3%

41,5% ↑

35.046

283

Argentinië

Amerika

AR

72

0,4%

0,8%

50

0,6%

-36,7% ↓

80.324

603

Spanje

EMEA

ES

73

0,4%

0,7%

27

1,6%

-75,6% ↓

103.555

749

Nieuw-Zeeland APAC

NZ

74

0,4%

0,7%

94

0,2%

86,8% ↑

56.240

416

Frankrijk

EMEA

FR

75

0,4%

0,7%

61

0,5%

-24,8% ↓

244.237

1.626

Oostenrijk

EMEA

AT

76

0,4%

0,7%

89

0,2%

58,4% ↑

139.244

966

Israël

EMEA

IL

77

0,4%

0,7%

31

1,2%

-70,4% ↓

29.113

209


13

Totaalklassering (vervolg) HOOG RISICO

Land of naam

LAAG RISICO

Regio

TLD

2010 2010 2010 2009 Wereldwijde Gewogen Niet-gewogen Wereldwijde risico risico risico risico classificatie verhouding verhouding classificatie


Nauru

APAC

NR

78

0,4%

0,7%

62

0,5%

-29,9% ↓

8.199

58

Turkije

EMEA

TR

79

0,4%

0,7%

47

0,7%

-46,6% ↓

36.466

252

Zweden

EMEA

SE

80

0,4%

0,7%

88

0,3%

35,8% ↑

102.870

684

Singapore

APAC

SG

81

0,3%

0,7%

10

4,6%

-92,6% ↓

15.632

105

Noorwegen

EMEA

NO

82

0,3%

0,6%

77

0,4%

-8,5% ↓

50.089

317

Griekenland

EMEA

GR

83

0,3%

0,6%

73

0,4%

-22,7% ↓

41.357

243

Amerikaanse overheid

Generiek

GOV

84

0,3%

0,6%

104

0,0%

1,188,3% ↑

6.415

38

Mexico

Amerika

MX

85

0,3%

0,6%

69

0,4%

-26,7% ↓

49.601

284

Luxemburg

EMEA

LU

86

0,3%

0,6%

98

0,1%

102,4% ↑

6.750

38

Italië

EMEA

IT

87

0,3%

0,5%

78

0,3%

-17,6% ↓

314.171

1.495

Venezuela

Amerika

VE

88

0,3%

0,5%

21

2,1%

-86,7% ↓

5.842

32

Estland

EMEA

EE

89

0,3%

0,5%

76

0,4%

-30,1% ↓

11.302

58

Zuid-Afrika

EMEA

ZA

90

0,3%

0,5%

96

0,2%

50,6% ↑

72.629

357

Portugal

EMEA

PT

91

0,2%

0,5%

86

0,3%

-13,2% ↓

38.869

189

Vanuatu

APAC

VU

92

0,2%

0,5%

97

0,2%

49,1% ↑

15.211

70

Nederland

EMEA

NL

93

0,2%

0,3%

84

0,3%

-24,4% ↓

583.943

1.980

Bulgarije

EMEA

BG

94

0,2%

0,5%

43

0,8%

-73,1% ↓

17.974

81

Denemarken

EMEA

DK

95

0,2%

0,4%

91

0,2%

0,7% ↑

151.472

627

IJsland

EMEA

IS

96

0,2%

0,4%

87

0,3%

-19,8% ↓

6.102

26

Slovenië

EMEA

SI

97

0,2%

0,4%

79

0,3%

-36,6% ↓

11.339

48

Australië

APAC

AU

98

0,2%

0,3%

93

0,2%

-4,3% ↓

256.103

871

Zwitserland

EMEA

CH

99

0,1%

0,3%

95

0,2%

-13,3% ↓

217.863

572

Ierland

EMEA

IE

100

0,1%

0,2%

101

0,1%

-5,7% ↓

32.120

71

Kroatië

EMEA

HR

101

0,1%

0,2%

100

0,1%

-11,1% ↓

22.511

50

Guernsey

EMEA

GG

102

0,1%

0,2%

57

0,6%

-81,1% ↓

12.092

25

Catalaans

Gesponsord

CAT

103

0,1%

0,2%

99

0,1%

-31,6% ↓

3.936

7

Japan

APAC

JP

104

0,1%

0,1%

103

0,1%

6,6% ↑

464.408

547

Educatie

Generiek

EDU

105

0,1%

0,1%

102

0,1%

-48,6% ↓

14.002

15

Reizen en toerisme 

Generiek

TRAVEL

106

0,0%

0,0%

92

0,2%

-88,6% ↓

2.013

1

Opmerking: de vermeldingen "N.v.t." hebben betrekking op nieuwe TLD's in het rapport van dit jaar, waardoor geen vergelijking met vorige jaren mogelijk is.


14

Regio Amerika HOOG RISICO

Land of naam

LAAG RISICO

TLD


2010 Gewogen risico verhouding




Jaarlijkse wijziging van het gewogen risico

2010 2010 Totaal aantal Totaal aantal getraceerde riskante domeinen domeinen

Verenigde Staten

US

14

6,0%

11,2%

17

3,1%

95,7% ↑

119.861

13.365

Trinidad en Tobago

TT

28

1,9%

3,8%

51

0,6%

217,6% ↑

4.287

165

Turks- en Caicoseilanden

TC

32

1,5%

3,0%

40

0,9%

74,8% ↑

11.187

338 106

Colombia

CO

36

1,5%

2,9%

68

0,4%

249,0% ↑

3.618

Belize

BZ

37

1,3%

2,5%

30

1,2%

2,2% ↑

3.472

88

Canada

CA

41

0,9%

1,6%

64

0,5%

90,5% ↑

169.543

2,777

Peru

PE

53

0,6%

1,2%

41

0,9%

-32,9% ↓

5.176

60

Ecuador

EC

57

0,5%

1,0%

49

0,6%

-18,8% ↓

2.496

26

Uruguay

UY

59

0,5%

1,0%

75

0,4%

35,0% ↑

3.277

33

Brazilië

BR

70

0,4%

0,7%

70

0,4%

5,0% ↑

290.350

2.084

Argentinië

AR

72

0,4%

0,8%

50

0,6%

-36,7% ↓

80.324

603

Mexico

MX

85

0,3%

0,6%

69

0,4%

-26,7% ↓

49.601

284

Venezuela

VE

88

0,3%

0,5%

21

2,1%

-86,7% ↓

5.842

32

• Colombia (.co) liet dit jaar een van de grootste risicostijgingen zien, door van plaats 68 op te klimmen naar plaats 36. We constateerden dat de voornaamste risico's bij .co te maken hebben met kwaadaardige activiteiten: URL's die als tussenschakel voor andere kwaadaardige hosts dienen, zoals botnets van gehackte systemen en de beheercentra die deze manipuleren. • Venezuela (.ve) was een van de TLD's met de grootste vooruitgang, door te zakken van plaats 21 in 2009 naar plaats 88 dit jaar.


15

Regio Azië-Pacific (APAC) HOOG RISICO

Land of naam

LAAG RISICO

TLD



2010 Niet-gewogen risicoverhouding



Jaarlijkse wijziging van het gewogen risico

2010 2010 Totaal aantal Totaal aantal getraceerde riskante domeinen domeinen

Vietnam

VN

3

29,4%

58,0%

39

0,9%

3.107,9% ↑

24.988

14.492

Cocos-Keeling-eilanden

CC

6

10,5%

20,2%

14

3,3%

215,4% ↑

58.713

11.869

Samoa

WS

10

8,6%

16,9%

4

17,8%

-51,8% ↓

22.070

3.734

Tokelau-eilanden

TK

11

8,4%

15,9%

19

2,3%

262,0% ↑

91.876

14.630

Volksrepubliek China

CN

15

4,8%

8,3%

3

23,4%

-79,5% ↓

261.298

21.711

India

IN

21

3,4%

6,5%

22

2,0%

67,8% ↑

49.368

3.218

Pakistan

PK

23

2,8%

5,5%

18

2,8%

0,5% ↑

4,947

273

Niue

NU

24

2,5%

5,0%

24

1,9%

32,3% ↑

27.420

1.362

Filipijnen

PH

25

2,2%

4,3%

6

13,1%

-83,4% ↓

9.625

418

Tonga

TO

27

2,1%

4,2%

33

1,1%

94,5% ↑

13.150

550

Tuvalu

TV

30

1,7%

3,2%

38

0,9%

80,1% ↑

40.770

1.316

Laos

LA

35

1,5%

2,9%

26

1,6%

-8,7% ↓

4.143

122

Zuid-Korea

KR

38

1,1%

2,2%

28

1,5%

-26,7% ↓

70.261

1.530

Christmaseiland

CX

39

1,1%

2,2%

74

0,4%

195,6% ↑

6.084

136


FM

46

0,7%

1,5%

66

0,4%

69,7% ↑

4.075

60

Maleisië

MY

47

0,7%

1,5%

80

0,3%

122,1% ↑

15.200

221

Thailand

TH

48

0,7%

1,5%

32

1,1%

-34,8% ↓

8.912

130

Hongkong

HK

60

0,5%

1,0%

34

1,1%

-53,8% ↓

17.960

176

Republiek China (Taiwan)

TW

61

0,5%

1,0%

52

0,6%

-16,3% ↓

56.000

534

Oost-Timor

TL

64

0,5%

1,0%

58

0,5%

-11,6% ↓

5.309

51

Indonesië

ID

69

0,4%

0,8%

56

0,6%

-23,7% ↓

6.138

52

Nieuw-Zeeland

NZ

74

0,4%

0,7%

94

0,2%

86,8% ↑

56.240

416

Nauru

NR

78

0,4%

0,7%

62

0,5%

-29,9% ↓

8.199

58

Singapore

SG

81

0,3%

0,7%

10

4,6%

-92,6% ↓

15.632

105

Vanuatu

VU

92

0,2%

0,5%

97

0,2%

49,1% ↑

15.211

70

Australië

AU

98

0,2%

0,3%

93

0,2%

-4,3% ↓

256.103

871

Japan

JP

104

0,1%

0,1%

103

0,1%

6,6% ↑

464.408

547


• Totaal gezien is de regio Azië-Pacific het sterkst vertegenwoordigd in de categorie "best verbeterd", door vier plaatsen te bezetten in de top vijf, aangevoerd door Singapore (.sg) en gevolgd door de Volksrepubliek China (.cn), de Filipijnen (.ph) en Samoa (.ws). Deze prestatie is vooral indrukwekkend omdat de betreffende TLD's vorig jaar alle vier in de lijst met tien meest riskante TLD's stonden. • Vietnam (.vn) is daarentegen gestegen van plaats 39 in 2009 naar een derde plaats in de risicoclassificering van 2010. De voornaamste risico's van .vn zijn vergelijkbaar met die van Colombia (.co): kwaadaardige activiteiten, sites die worden ingezet als proxy naar andere kwaadaardige hosts en manipulatie van beheersfuncties. • Japan keerde terug op de lijst met 's werelds minst riskante TLD's en in de APAC-regio was het opnieuw het veiligste domein.


16

Regio Europa, Midden-Oosten en Afrika (EMEA) HOOG RISICO

Land of naam

LAAG RISICO

TLD


2010 2010 2009 Gewogen Niet-gewogen Wereldwijde risico risicoverhouding risico verhouding classificatie

2009 Jaarlijkse 2010 2010 Gewogen wijziging van het Totaal aantal Totaal aantal risico gewogen risico getraceerde riskante verhouding domeinen domeinen

Kameroen

CM

4

22,2%

44,2%

1

36,7%

-39,5% ↓

3.947

1.746

Armenië

AM

5

12,1%

24,2%

23

2,0%

512,9% ↑

3.145

760

Rusland

RU

9

10,1%

16,8%

9

4,6%

116,7% ↑

329.136

55.373

Voormalige Sovjet-Unie

SU

16

4,6%

9,2%

8

5,2%

-9,8% ↓

8.478

784


ST

17

3,7%

7,3%

12

3,8%

-1,6% ↓

11.997

880

Roemenië

RO

18

3,7%

7,1%

20

2,2%

63,5% ↑

56.312

3.982

Georgië

GE

19

3,5%

7,0%

N.v.t.

N.v.t.

N.v.t.

2.311

162

Polen

PL

20

3,4%

5,8%

60

0,5%

574,2% ↑

297.946

17.398

Montserrat

MS

22

3,2%

6,3%

N.v.t.

N.v.t.

N.v.t.

3.382

213

Montenegro

ME

26

2,1%

4,3%

N.v.t.

N.v.t.

N.v.t.

5.465

233

Kazachstan

KZ

31

1,5%

3,1%

15

3,1%

-50,2% ↓

4.708

144

Marokko

MA

34

1,5%

3,0%

N.v.t.

N.v.t.

N.v.t.

2.024

60

Letland

LV

40

1,1%

2,1%

71

0,4%

163,1% ↑

10.015

210

Slowakije

SK

42

0,9%

1,7%

45

0,8%

11,4% ↑

37.643

649

Servië

RS

43

0,9%

1,7%

N.v.t.

N.v.t.

N.v.t.

2.031

35

Europese Unie

EU

44

0,8%

1,6%

59

0,5%

60,3% ↑

80.278

1.288

Oekraïne

UA

45

0,8%

1,6%

36

1,0%

-19,7% ↓

38.619

615

Verenigd Koninkrijk

UK

49

0,7%

0,9%

55

0,6%

30,3% ↑

898.229

8.503

Moldavië

MD

50

0,7%

1,4%

N.v.t.

N.v.t.

N.v.t.

2.644

38

Wit-Rusland

BY

51

0,7%

1,4%

29

1,3%

-44,8% ↓

4.372

62

Zuid-Georgië en Zuidelijke Sandwicheilanden

GS

52

0,6%

1,2%

48

0,6%

-7,1% ↓

4.578

55

Tsjechië

CZ

54

0,6%

1,0%

54

0,6%

-4,7% ↓

101.781

1.068

Iran

IR

55

0,5%

1,1%

37

0,9%

-42,5% ↓

17.874

191

Litouwen

LT

56

0,5%

1,1%

44

0,8%

-36,9% ↓

11.517

121


AE

58

0,5%

1,0%

65

0,5%

7,9% ↑

4.123

42

België

BE

62

0,5%

0,9%

81

0,3%

49,2% ↑

123.606

1.124

Liechtenstein

LI

63

0,5%

1,0%

90

0,2%

110,3% ↑

3.000

29

Hongarije

HU

65

0,4%

0,9%

53

0,6%

-23,9% ↓

71.650

614

Duitsland

DE

66

0,4%

0,5%

83

0,3%

43,8% ↑

1.504.163

7.052

Saudi-Arabië

SA

67

0,4%

0,9%

42

0,9%

-48,7% ↓

2.630

23

Bosnië en Herzegovina

BA

68

0,4%

0,9%

46

0,8%

-43,9% ↓

2.671

23

Finland

FI

71

0,4%

0,8%

85

0,3%

41,5% ↑

35.046

283

Spanje

ES

73

0,4%

0,7%

27

1,6%

-75,6% ↓

103.555

749

Frankrijk

FR

75

0,4%

0,7%

61

0,5%

-24,8% ↓

244.237

1.626

Oostenrijk

AT

76

0,4%

0,7%

89

0,2%

58,4% ↑

139.244

966

Israël

IL

77

0,4%

0,7%

31

1,2%

-70,4% ↓

29.113

209

Turkije

TR

79

0,4%

0,7%

47

0,7%

-46,6% ↓

36.466

252

Zweden

SE

80

0,4%

0,7%

88

0,3%

35,8% ↑

102.870

684

Noorwegen

NO

82

0,3%

0,6%

77

0,4%

-8,5% ↓

50.089

317

Griekenland

GR

83

0,3%

0,6%

73

0,4%

-22,7% ↓

41.357

243

Luxemburg

LU

86

0,3%

0,6%

98

0,1%

102,4% ↑

6.750

38

Italië

IT

87

0,3%

0,5%

78

0,3%

-17,6% ↓

314.171

1.495

Estland

EE

89

0,3%

0,5%

76

0,4%

-30,1% ↓

11.302

58

Zuid-Afrika

ZA

90

0,3%

0,5%

96

0,2%

50,6% ↑

72.629

357

Portugal

PT

91

0,2%

0,5%

86

0,3%

-13,2% ↓

38.869

189


17

Regio Europa, Midden-Oosten en Afrika (EMEA) (vervolg) HOOG RISICO

Land of naam

LAAG RISICO

TLD


2010 2010 2009 Gewogen Niet-gewogen Wereldwijde risico risicoverhouding risico verhouding classificatie

2009 Jaarlijkse 2010 2010 Gewogen wijziging van het Totaal aantal Totaal aantal risico gewogen risico getraceerde riskante verhouding domeinen domeinen

Nederland

NL

93

0,2%

0,3%

84

0,3%

-24,4% ↓

583.943

1.980

Bulgarije

BG

94

0,2%

0,5%

43

0,8%

-73,1% ↓

17.974

81

Denemarken

DK

95

0,2%

0,4%

91

0,2%

0,7% ↑

151.472

627

IJsland

IS

96

0,2%

0,4%

87

0,3%

-19,8% ↓

6.102

26

Slovenië

SI

97

0,2%

0,4%

79

0,3%

-36,6% ↓

11.339

48

Zwitserland

CH

99

0,1%

0,3%

95

0,2%

-13,3% ↓

217.863

572

Ierland

IE

100

0,1%

0,2%

101

0,1%

-5,7% ↓

32.120

71

Kroatië

HR

101

0,1%

0,2%

100

0,1%

-11,1% ↓

22.511

50

Guernsey

GG

102

0,1%

0,2%

57

0,6%

-81,1% ↓

12.092

25


• Bij TLD's in de EMEA-regio is het risico dit jaar aanzienlijk gestegen in vergelijking met 2009: Polen (.pl) steeg van plaats 60 naar plaats 20 en Armenië (.am) ging van plaats 23 naar de vijfde plaats in de risicoclassificering. • Bij .pl worden de domeinen met verschillende risico's in verband gebracht, met inbegrip van kwaadaardige activiteiten, kwaadaardige downloads en het hosten van URL's die te maken hebben met spamaanvallen en -campagnes. • De aan .am verbonden risico's zijn gerichter. Zij concentreren zich op kwaadaardige activiteiten, waaronder manipulatie van beheer en vergelijkbare services.


18

Generieke en gesponsorde TLD's HOOG RISICO

Naam

LAAG RISICO

Regio

TLD

2010 2010 2010 2009 Wereldwijde Gewogen Niet-gewogen Wereldwijde risico risico risico risico classificatie verhouding verhouding classificatie


Commercieel

Generiek

COM

1

31,3%

6,1%

2

32,2%

-2,8% ↓

15.530.183

948.995

Informatie

Generiek

INFO

2

30,7%

46,6%

5

15,8%

94,5% ↑

533.711

248.806

Azië-Pacific

Generiek

ASIA

7

10,3%

20,6%

N.v.t.

N.v.t.

N.v.t.

3.122

642

Netwerk

Generiek

NET

8

10,1%

10,5%

7

5,8%

73,7% ↑

1.556.813

163.466

Organisatie

Generiek

ORG

12

6,4%

7,4%

11

4,2%

50,3% ↑

1.224.870

90.290

Business

Generiek

BIZ

13

6,3%

11,8%

13

3,6%

74,3% ↑

121.622

14.350

Families en personen

Generiek

NAME

29

1,7%

3,3%

16

3,1%

-45,9% ↓

6.726

223

Mobiele apparaten

Generiek

MOBI

33

1,5%

3,0%

25

1,7%

-14,4% ↓

6.861

204


Generiek

GOV

84

0,3%

0,6%

104

0,0%

1.188,3% ↑

6.415

38

Catalaans

Gesponsord

CAT

103

0,1%

0,2%

99

0,1%

-31,6% ↓

3.936

7

Educatie

Generiek

EDU

105

0,1%

0,1%

102

0,1%

-48,6% ↓

14.002

15

Reizen en toerisme 

Generiek

TRAVEL

106

0,0%

0,0%

92

0,2%

-88,6% ↓

2.013

1

• Bijna de helft (47%) van de onderzochte informatiesites (.info) is als rood of geel beoordeeld en de meeste van deze sites (43%) hebben een rode classificatie gekregen. Veel van de vastgestelde risico's in het .info-TLD hebben te maken met het hosten van inhoud die voor spamcampagnes wordt gebruikt. Deze inhoud kan betrekking hebben op goederen, malware of valse antivirussoftware. Daarnaast zijn er veel sites in het .info-TLD die connecties hebben met andere kwaadaardige domeinen en servers. Veel van deze sites zijn later boven water gekomen tijdens valse antiviruscampagnes en activiteiten van het Zeus-botnet. • Meer dan 14% van de Koobface-URL's (45.213) is aangetroffen in het commerciële TLD (.com), zonder significant aanwezig te zijn in andere TLD's.


19

Neiging naar rode versus gele risico's Rode beoordelingen worden toegekend aan websites die schadelijke code bevatten (zoals trojaanse paarden, virussen en spyware) of waar sprake is van browsermisbruik, en aan sites die een gevaarlijke reputatie hebben verworven door de gerelateerde bestands-, e-mail-, interneten netwerkrisico's. Gele beoordelingen worden toegekend aan sites waarbij voorzichtigheid is geboden vanwege spamrisico, agressieve pop-ups of koppelingen naar riskante sites. Bij de meeste TLD's is sprake van een combinatie van rode en gele sites. Sommige neigen echter sterker naar geel of rood. De Azië-Pacific-regio's (.asia) bevatten bijvoorbeeld 642 riskante domeinen waarvan er 619 als geel zijn beoordeeld. Bij de riskante domeinen van de Amerikaanse overheid (.gov), IJsland (.is), educatie (.edu) en de branche voor reizen en toerisme (.travel) is daarentegen 100% van de domeinen als rood beoordeeld. We hoeven ons echter niet al te veel zorgen te maken over deze vier TLD's. Geen van deze TLD's heeft meer dan 40 riskante sites en over het algemeen gesproken zijn ze allemaal veilig. Vietnam (.vn) heeft echter 14.492 rode sites, wat neerkomt op 99,89% van de riskante sites en wat zijn derde plaats op de lijst met riskante TLD's rechtvaardigt.

Neiging naar geel Land of naam

TLD

Totaal aantal riskante sites

Percentage geel

Percentage rood

Azië-Pacific

ASIA

642

96,4%

Armenië

AM

760

94,2%

3,6% 5,8%

Finland

FI

283

89,1%

11,0%

Tokelau-eilanden

TK

14.630

86,3%

13,7%

Cocos-Keeling-eilanden

CC

11.869

85,5%

14,5%

Canada

CA

2.777

82,0%

18,0%

Verenigd Koninkrijk

UK

8.503

77,8%

22,2%

Tuvalu

TV

1.316

77,7%

22,3%

Mobiele apparaten

MOBI

204

76,0%

24,0%

Maleisië

MY

221

74,7%

25,3%

Niue

NU

1.362

73,3%

26,7%

Zweden

SE

684

65,2%

34,8%


FM

60

65,0%

35,0%

Nieuw-Zeeland

NZ

416

61,8%

38,2%

Colombia

CO

106

56,6%

43,4%

Samoa

WS

3.734

55,8%

44,2%

China

CN

21.711

55,5%

44,5%

Rusland

RU

55.373

55,4%

44,6%

Peru

PE

60

51,7%

48,3%

Australië

AU

871

51,7%

48,3%

Neiging naar rood Land of naam

TLD

Totaal aantal riskante sites

Percentage geel

Percentage rood


GOV

38

0,0%

100,0%

IJsland

IS

26

0,0%

100,0%

Educatie

EDU

15

0,0%

100,0%

Reizen en toerisme

TRAVEL

1

0,0%

100,0%

Vietnam

VN

14.492

0,1%

99,9%

Turks- en Caicoseilanden

TC

338

3,3%

96,8%

Polen

PL

17.398

3,5%

96,5%

Trinidad en Tobago

TT

165

4,2%

95,8%

Oost-Timor

TL

51

5,9%

94,1%

Kroatië

HR

50

8,0%

92,0%

Servië

RS

Informatie

INFO

Nauru

35

8,6%

91,4%

248.806

8,6%

91,4%

NR

58

8,6%

91,4%

Saudi-Arabië

SA

23

8,7%

91,3%

Hongarije

HU

614

9,1%

90,9%


AE

42

9,5%

90,5%

Business

BIZ

14.350

9,8%

90,2%


ST

880

10,3%

89,7%

Thailand

TH

130

10,8%

89,2%

Georgië

GE

162

11,1%

88,9%

Turkije

TR

252

11,5%

88,5%

Christmaseiland

CX

136

11,8%

88,2%

Guernsey

GG

25

12,0%

88,0%

Uruguay

UY

33

12,1%

87,9%

Laos

LA

122

12,3%

87,7%

Montserrat

MS

213

13,6%

86,4%


20

Het veranderende dreigingslandschap

Een anders type zombie: malware die nooit doodgaat Begin juni werd er een grootschalige aanval met SQL-injecties uitgevoerd, die veel aandacht in de media kreeg. Met een "spatter"-aanval werd een iframe ingevoegd op tienduizenden websites. Dit iframe zorgde ervoor dat gebruikers werden omgeleid naar een kwaadaardige pagina, die vervolgens een bestand downloadde en uitvoerde. Deze aanvallen doen zich regelmatig voor, ten minste eenmaal per kwartaal. Zodra het kwaadaardige domein uit de lucht is gehaald, verdwijnen het nieuws en de bezorgdheid over de betreffende aanval naar de achtergrond. Maar we horen niets over het aantal sites die na een dergelijke aanval niet worden opgeschoond. Een maand na de aanval in juni (bekend als ww.robint.us) telden we 51.900 sites die nog steeds waren geïnfecteerd met deze SQL-injectie. Deze situatie is beslist niet uniek. Via de aanval 2677.in worden gebruikers bijvoorbeeld nog steeds omgeleid bij 26.800 webpagina's, yahoosite.ru oefent nog steeds invloed uit op 1380 sites, de exploit killpp.cn uit 2008 is nog steeds aanwezig op 680 pagina's en k.18xn.com is actief op nog eens 538 sites. Deze problemen nemen waarschijnlijk toe omdat het injecteren en verbergen van aanvallen wordt vergemakkelijkt door het dynamische en flexibele karakter van internet. —McAfee-dreigingsrapport: tweede kwartaal 2010

De hoeveelheid malware blijft in 2010 een stijgende lijn vertonen, waarbij de eerste zes maanden van 2010 het meest actieve halfjaar ooit vormden wat betreft de totale productie aan malware.4 De typen malware zijn volop in ontwikkeling, met meer software die automatisch wordt uitgevoerd (gestart vanaf USB-apparaten), meer kwaadaardige antivirussoftware (valse waarschuwingssoftware), meer malware voor sociale netwerken en veel meer gepersonaliseerde en geloofwaardige spam. Geavanceerde persistente dreigingen (ofwel Advanced Persistent Threats, ATP's) kunnen verschillende technieken combineren om te frauderen of om aanvallen uit te voeren. Een website vormt dus slechts een deel van de dreigingspuzzel. Socialenetwerksites vergemakkelijken het werk van criminelen, omdat kwaadaardige of verborgen koppelingen kunnen worden opgenomen in bijdragen en berichten van vrienden die "overdraagbaar vertrouwen" genieten. "Ik vertrouw je, dus ik kan jouw 'vriend' toch ook vertrouwen?" De Koobfaceworm maakt sinds 2008 misbruik van deze vertrouwensnetwerken, op zoek naar nieuwe slachtoffers voor zijn schadelijke code en nieuwe zombie-bots voor zijn botnets.5 In 2010 was de Koobface-worm erg actief. We hebben 315.415 kwaadaardige URL's aangetroffen met betrekking tot Koobface. Meer dan 14% van deze URL's (45.213) is aangetroffen in .com, ons meest riskante TLD, zonder significant aanwezig te zijn in andere TLD's. Een microkosmos van deze stroom malware zorgde dit jaar voor het op één na riskantste TLD: info. Als u op dit domein op een koppeling klikte, had u een kans van 47% om op een riskante pagina uit te komen. Uit ons onderzoek van de typen beveiligingsrisico's op .info is gebleken dat de overgrote meerderheid als riskant is beoordeeld vanwege de wijze waarop ze zich hebben geregistreerd en de domeinreputatie die ze genieten, uitgaande van onze database met verdachte activiteiten die in de loop der tijd zijn waargenomen. De kwaadaardige sites vormen een volgende risicofactor voor .info. Sommige van deze sites worden gebruikt voor malware, exploits of een combinatie van beide. Sommige fungeren als beheerserver, een gehackte server of een domein op een server dat door een bot wordt beheerd. Veel sites bevatten downloads voor valse antivirussoftware (ook wel bekend als scareware of valse waarschuwingssoftware) en Zeus-botnetmalware, die een rol spelen in het totale dreigingslandschap. De Zeus-botnets gebruiken uiterst geavanceerde technieken om de krachtige verificatiesystemen, waaronder eenmalige wachtwoorden, te omzeilen die worden gebruikt voor online bankieren. Ze vormen een bijzonder lastige en ernstige bedreiging

voor consumenten en bedrijven. De phishing sites vertegenwoordigen tot slot ook een aanzienlijk deel van de rode .info-sites. Hoe harder we werken, des te meer werk we hebben... Aangezien de TLD-registreerders steeds meer beperkingen opleggen aan het gebruik van hun domeinen, zijn criminelen op zoek naar andere wegen om internet te misbruiken. Kant-en-klare malware-toolkits grijpen in op zwakke schakels in de beveiliging van Web 2.0-technologieën, zoals AJAX, XML, Flash, iframes en JavaScript, evenals op slecht geconfigureerde of onderhouden browsers, computer en websites. Het oneindige aantal combinatiemogelijkheden aan kwetsbaarheden bij hulpmiddelen en software vergemakkelijkt het plaatsen van riskante inhoud in domeinen die voor het overige deel legitiem zijn. Deze inhoud is onzichtbaar voor de gebruiker en voor misbruik van kwetsbaarheden in de browser is het niet nodig dat de gebruiker "klikt om te downloaden". Een hacker kan bijvoorbeeld gebruik maken van een speciale aanval (een SQL-injectie) om een specifiek type onzichtbare code (een iframe) te implanteren. Het iframe, dat zo klein kan zijn als een pixel en achter andere afbeeldingen of pop-upschermen verborgen kan zijn, bevat een URL die gebruikers ongemerkt naar een andere site doorverwijst, waar ze dan de kwaadaardige payload ontvangen. In een poging te voorkomen dat de browser de vervalste URL's detecteert, kan het ingesloten iframe gebruik maken van services voor verkorte URL's, zoals bit.ly of Tinyurl, om de URL te verbergen. De services voor verkorte URL's stellen alles in het werk om dit misbruik te detecteren, maar tot dusverre konden deze pogingen eenvoudig worden omzeild. Criminelen kunnen bijvoorbeeld de oorspronkelijke locatie van bezoekers detecteren en op basis hiervan alleen het verkeer selecteren dat ze naar hun site willen doorverwijzen.

4 McAfee-dreigingsrapport: tweede kwartaal 2010, kan in meerdere talen worden gedownload vanaf http://www.mcafee.com/us/threat_center/white_paper.html 5 Craig Schmugar, "Koobface remains active on Facebook" (Koobface blijft actief op Facebook), McAfee Labs Blog. www.avertlabs.com/research/blog/index.php/2008/12/03/ koobface-remains-active-on-facebook/


21

De aanvaller maakt door middel van een cross-site-omleiding onderscheid tussen de inhoud en de eerste aanvalslijn. De inhoud kan zo opnieuw worden gebruikt voor seriële pogingen, bovendien kunnen op frequentie gebaseerde detectieprogramma's worden omzeild door versiewijzigingen of kleine aanpassingen. Begint een bepaalde smaak van Koobface of Zeus te bekend te worden? Probeer deze nieuwe dan maar eens! Snel bewegende actuele doelen Het is mogelijk om kwaadaardig materiaal toe te voegen aan slecht beveiligde sites en aan elke vorm van door gebruikers gegenereerde inhoud, zoals een jpegbestand, een blog of een forum. Ofschoon slecht onderhouden sites vaak maanden- of jarenlang malware hosten (zie kader op pagina 21), kunnen enkele van de slimste dreigingen in een tijdsbestek van enkele uren verschijnen en vervolgens weer verdwijnen. Een beheercentrum met een botnet hoeft slechts vijf minuten per dag "wakker" te zijn. Om bescherming te bieden tegen deze kortstondige maar lucratieve activiteiten, moeten evaluaties op URL- of padniveau vaak worden bijgewerkt. Internetgebruikers hebben daarom baat bij inhoudsinspectie die in real time wordt uitgevoerd (scans op de nieuwste malware). Naast plaatsing van malware op een site blijft manipulatie van zoektermen een van de populairste en subtielste manieren voor criminelen om verkeer naar hun sites te leiden. Criminelen trekken de aandacht met rampen, trucs met beroemdheden, sportevenementen en andere actuele

onderwerpen. Ze maken advertenties en websites met populaire termen, zorgen ervoor dat deze worden geïndexeerd door zoekmachines en gebruiken vervolgens botnets en klikmachines om ervoor te zorgen dat deze inhoud in de bovenste zoekresultaten komt te staan. Wanneer gebruikers op deze hits in de zoekresultaten klikken, worden ze naar de sites met kwaadaardige downloads gevoerd. Een kwaadaardige site kan een nieuwe site met actuele inhoud zijn, bewust gemaakt voor dit doel, of een onschuldige site die is gehackt. Al deze methoden zijn lonend vanwege de persoonsgegevens, aanmeldgegevens van accounts, accountgegevens van vrienden, wachtwoorden en botnetzombies die worden verkregen. Mobiele apparatuur Plaats 33 in de risicoclassificatie, de mobiele apparaten (.mobi), vormde dit jaar een van de veiligere TLD's op internet. We blijven echter kritisch kijken naar dit TLD en naar het gebruik van mobiel internet in het algemeen. Steeds meer aanvallen vinden tegenwoordig plaats via mobiele apparaten. Het Zeus-botnet kan gebruikers vragen om hun mobiele nummer en machtigings nummer, en deze gegevens vervolgens gebruiken voor een financiële transactie. Als een spambericht of webformulier een mobiel nummer onderschept, kan dit nummer worden toegepast bij vervolgacties, voor het versturen van meer spam, als lokaas voor phishing of voor koppelingen naar sites die malware hosten. De miljoenen webgebaseerde smartphones die in omloop zijn, vergroten simpelweg de kansen voor handige criminelen.

"6% van alle kwaadaardige URL's die in 2009 door McAfee zijn geïdentificeerd (en waarvoor McAfee bescherming biedt), bestond uit kwaadaardige URL's op padniveau. In 2010 is dit percentage al gestegen naar 16%." —McAfee-dreigingsrapport: tweede kwartaal 2010


22

Reacties van registreerders en beheerders van topleveldomeinen Naast onze inzichten willen we u ook enkele standpunten verschaffen van mensen die binnen de TLD-gemeenschap actief zijn in de frontlinie van het risicobeheer. We verzochten de TLD's die we in dit rapport vermelden om commentaar, teneinde ervaringen, opvattingen en context ten aanzien van onze analyse te verkrijgen. .info (informatie)

"Afilias streeft als beheerder van het .inforegister naar het beteugelen van corrupte activiteiten op het .info-domein. Hiertoe zijn wij in 2008 gestart met ons toonaangevende antimisbruikbeleid en werken we proactief met onze registreerders (die rechtstreeks verkopen aan de geregistreerden) teneinde phishing en ander misbruik actief te bestrijden. Helaas heeft de groeiende populariteit van .info geleid tot toegenomen interesse van spammers. We zijn daarom gestart met de implementatie van enkele nieuwe tactieken, maar er moet meer gebeuren. De uitdaging is complex omdat Afilias als gTLD-registerbeheerder niet gerechtigd is te bepalen door wie en aan wie .infodomeinnamen worden verkocht. .info is de thuisbasis van miljoenen nuttige en legitieme sites. Het blokkeren van e-mail op basis van TLD-adressen is daarom onverstandig en zou onterecht meer onschuldige slachtoffers kunnen treffen.

In plaats daarvan kunnen geraffineerdere e-mailfiltermethoden verlichting brengen zonder de ongewenste neveneffecten." —Roland LaPlante senior vicepresident en directeur marketing bij Afilias .jp (Japan)

"Ik ben van mening dat onze voortdurende inspanningen ter verbetering van de .jp-domeinnamen hebben geleid tot een toegenomen vertrouwen van registreerders en gebruikers in het .jp-domein. Om voor registratie van een .jp-domein naam in aanmerking te komen, moet worden voldaan aan geschiktheids criteria. Dit geldt in het bijzonder voor .jp-domeinnaamregistraties van het type Organisatie (zoals "voorbeeld.co.jp") waarvoor, afhankelijk van het domeintype, verschillende criteria worden gehanteerd. Zo kan bijvoorbeeld uitsluitend een in Japan gevestigd bedrijf "voorbeeld.co.jp" laten registreren. Als een geregistreerde .jp-domeinnaam niet aan deze eisen voldoet, wordt de registratie ongeldig verklaard en volgen gepaste maatregelen. JPRS heeft hiervoor in het verleden, als verantwoordelijke instantie voor registraties, de status gecontroleerd en zo nodig actie ondernomen om een naam ongeldig te verklaren voor de .jp-registreerders. In juni 2008 heeft JPRS de registratieregels voor .jp-domeinnamen uitgebreid naar .co. jp. Hierdoor is het voor het register mogelijk geworden om valse registraties te annuleren indien annulering door de registreerders niet doeltreffend blijkt. Bovendien hebben we in november 2009 het toepassingsgebied van de regel vergroot naar alle .jp-domeinnamen van het organisatorische en geografische type. Door uitbreiding van de regelgeving en de intensieve samenwerking met de .jp-registreerders zorgt JPRS voor een rigoureuze en daadkrachtige aanpak van het probleem van de valse registraties.


23

We nemen ook maatregelen om het probleem aan te pakken van domeinnamen die worden geregistreerd en ingezet voor frauduleuze activiteiten, zoals phishing. In samenwerking met JPCERT/CC en de andere betrokken organisaties onderzoekt JPRS de mate van kwaadwilligheid van de beoogde misbruikte domeinnaam. Indien blijkt dat de naam inderdaad wordt misbruikt, verzoekt JPRS de .jp-registreerder om de naam ongeldig te verklaren. In aanvulling hierop is JPRS al sinds 2006 voortdurend bezig geweest met het verwijderen van DNS-serverregistraties in situaties waarbij de hostnaam een nietbestaande .jp-domeinnaam bevatte. Ten aanzien van de Domain Name System Security Extensions (DNSSEC) willen we in oktober 2010 starten met het gebruik van handtekeningen voor de .jp-zone en voor januari 2011 staat de introductie van DNSSEC gepland voor de services van de domeinnaam .jp. Bovendien is in november 2009 een forum met de naam "DNSSEC Japan" opgericht met het doel DNSSEC binnen de hele gemeenschap te introduceren en te bevorderen. Een van de medewerkers van JPRS bekleedt bij het forum de functie van vicevoorzitter. Deze aanhoudende inspanningen hebben hun vruchten afgeworpen. Zo ontvangt JPRS bijvoorbeeld bijna geen klachten meer over phishing: maandelijks ongeveer één klacht." —Yumi Ohashi relatiemanager internationale betrekkingen en overheid JPRS .sg (Singapore)

"Het Singapore Network Information Centre (SGNIC) stimuleert de toepassing en het gebruik van de domeinnaam ".sg" door bedrijven en personen. Hierdoor worden ze niet alleen beter herkend door gebruikers en klanten in Singapore, maar kunnen ze zich ook nadrukkelijker profileren op de internationale markt.

Bezoekers van een .sg-website kunnen verzekerd zijn van een verantwoord beheer van de site volgens de registratievoorwaarden van SGNIC. Dit komt omdat aanvragers van een .sg-domeinnaam verplicht zijn de vereiste documenten te overleggen voor registratie van een domeinnaam onder een van de categorieën van .sg, zodat hun entiteitsstatus kan worden gecontroleerd. Iemand die een ".com.sg" wil inschrijven, moet bijvoorbeeld aantonen dat het een commerciële entiteit betreft die staat ingeschreven bij de Accounting Regulatory Authority van Singapore (ACRA) of een beroepsorganisatie, terwijl voor registratie van een ".edu.sg" inschrijving bij het Ministerie van Onderwijs of erkenning door andere toepasselijke instanties verplicht is. Voor registraties door buitenlandse bedrijven moet de aanvraag vergezeld gaan van een contactadres in Singapore. Indien SGNIC negatieve feedback ontvangt omtrent het gebruik van een .sg-domein naam, wordt dit onmiddellijk onderzocht in nauwe samenwerking met de registreerders. Waar nodig worden de betrokken instanties geraadpleegd om er zeker van te zijn dat wordt voldaan aan de registratievoorwaarden. Indien bij een naam sprake is van een onjuiste voorstelling van zaken of fraude, of als materiaal wordt gehost dat in strijd is met de wetten of voorschriften van de regelgevende instanties, volgt altijd rectificatie door de registreerders. Indien dit wordt nagelaten, is SGNIC gerechtigd om de naam in te trekken of te verwijderen. Omdat internetcontent vanaf elke locatie kan worden gehost, zelfs nadat een naam is geregistreerd in Singapore, participeert SGNIC actief in de internationale internetgemeenschap, met gespecialiseerde groepen voor de veiligheid en stabiliteit van internet, om de .sg-domeinnamen te bewaken en misbruik te voorkomen. SGNIC is van mening dat deze maatregelen ervoor hebben gezorgd dat de veiligheid en de rechtmatige toepassing van .sgdomeinnamen gewaarborgd blijven.” —Mr. Lim Choon Sai algemeen directeur Singapore Network Information Centre Pte Ltd.


24

.ws (Samoa)

"Het afgelopen jaar hebben we ons gericht op reductie van het aantal riskante domeinen van ons TLD ".ws", door toepassing van aanvullende verificatie- en beveiligings modules op de infrastructuur van ons register. Door proactieve bewaking van domein registraties zijn we in staat te voorkomen dat kwaadaardige inhoud openbaar wordt. Ook hebben we met bestaande internet beveiligings- en veiligheidsbedrijven samengewerkt bij de implementatie van een geavanceerd feedbacksysteem, dat ons direct op de hoogte stelt als sprake is van mogelijk kwaadaardige domeinen die later gesignaleerd kunnen worden door internetbezoekers. We krijgen nu een beter beeld van de wijze waarop nieuwe dreigingen worden ontwikkeld en ingezet en we zijn in staat om potentiële problemen te identificeren en ongedaan te maken voordat ze schade aanrichten. In combinatie met deze informatie en de intensievere contacten met onze erkende .ws-registreerders zijn we erin geslaagd een meldingssysteem te ontwikkelen waarmee registreerders op de hoogte worden gesteld van mogelijk kwaadaardige registraties van domeinnamen. Ook is een service in het leven geroepen voor het inlichten van internethosts die hostingservices leveren voor

.ws-domeinen. Spam-e-mail wordt bestreden door een geavanceerde bewaking van de e-mailactiviteiten op onze servers, waardoor spammers snel worden geïdentificeerd en hun acties worden verhinderd. Als officieel register voor het topleveldomein .ws hebben we al vanaf de lancering van het domein, meer dat 10 jaar geleden, veel waarde gehecht aan onze reputatie op internet. Global Domains International was een van de eerste bedrijven die op register niveau deel ging uitmaken van de Conficker Working Group. We hebben intensief met hen samengewerkt om hen te ondersteunen bij het identificeren van de worm en de schade ervan te beperken. Deze samenwerking zullen we voortzetten om er zeker van te zijn dat ons TLD .ws niet wordt gebruikt voor verspreiding van de Conficker-dreiging. De aanpassingen die in ons registersysteem worden doorgevoerd, veranderen continu om gelijke tred te houden met de steeds wijzigende tactieken van criminelen. Omdat we bekend zijn met de populaire methoden die worden toegepast door lieden die malafide activiteiten op internet proberen te ontplooien, kunnen we de integriteit en veiligheid in de .ws-zone waarborgen. —Alan Ezeir president-directeur Global Domains International


25

Conclusie De risico's nemen toe en de risicofactoren op internet wijzigen steeds sneller. Steeds meer criminelen zijn in staat om hun activiteiten te verbergen en te vermommen. Daarom moeten internetgebruikers nieuwe manieren zoeken om deze dreigingen het hoofd te bieden, maar moet het surfen op internet ook leuk en nuttig blijven. Consumenten zullen waarschijnlijk niet alle riskante plaatsen onthouden die in dit rapport zijn genoemd. En zelfs als ze dit zouden kunnen, hebben we aangetoond dat de meest riskante TLD van het ene jaar enorm kan zijn verbeterd in het daarop volgende jaar. Consumenten kunnen gevaarlijke plaatsen op het internet mijden door gebruik te maken van betrouwbare beveiligingssoftware met automatische updates en veilige zoekfuncties, zoals McAfee Total Protection™. Dit is overigens slechts één situatie waarbij technologische ondersteuning aanbeveling verdient. Bedrijven weten tegenwoordig dat internet een integraal onderdeel vormt van de bedrijfsvoering en veel werknemers vinden dat ze tijdens het werk toegang moeten hebben tot internet. Dit verwachtings patroon zal toenemen wanneer de scheiding tussen werk en privéleven van werknemers verder vervaagt vanwege toegenomen mobiliteit, telewerken, intensiever gebruik van persoonlijke apparatuur en de connectiviteit die een steeds grotere rol speelt. De eenvoudigste manier om gebruikers te helpen bij het mijden van internetrisico's vormt het toevoegen van webreputatiefuncties aan hun andere verdedigingsmechanismen. Visuele signalen die in real time worden bijgewerkt, kunnen de gebruiker hierbij trainen, terwijl gelijktijdig actief bescherming wordt geboden.

Dit rapport biedt hoop aan de beheerders van riskante TLD's. Het is beslist mogelijk om van een slechte risicoreputatie af te komen of om juist een goede reputatie te behouden. Gespecialiseerde beveiligings bedrijven, zoals McAfee, willen u hierbij helpen. Met 's werelds meest uitgebreide netwerk voor wereldwijde dreigings informatie kunnen we u steeds nieuwe gegevens verstrekken over de actuele toestand en bieden we slimme oplossingen om blootstelling aan risico's te verminderen. Volgend jaar constateren we wellicht dat botnets of zombies zijn vervangen door een nieuwe tactiek die is gebaseerd op honderden miljoenen dataverwerkende mobiele apparaten die overal ter wereld worden gebruikt. Wij brengen u dan graag weer op de hoogte van deze ontwikkelingen en van de getroffen maatregelen door TLD-registreerders en de beveiligingsgemeenschap.


26

McAfee, Inc. McAfee, Inc. is het grootste bedrijf ter wereld dat gespecialiseerd is in beveiligingstechnologie. Het hoofdkantoor is gevestigd in Santa Clara, in de Amerikaanse staat Californië. McAfee biedt proactieve en bewezen oplossingen en services die systemen, netwerken en mobiele apparaten over de hele wereld helpen beveiligen, zodat gebruikers veiliger op internet kunnen surfen en winkelen. McAfee kan dankzij haar ongeëvenaarde McAfee Global Threat Intelligence vernieuwende producten ontwikkelen die thuisgebruikers, bedrijven, de overheid en serviceproviders de mogelijkheid bieden om regelnaleving te bewijzen, gegevens te beveiligen, onderbrekingen te voorkomen, kwetsbaarheden te identificeren en hun beveiliging voortdurend te controleren en te verbeteren. McAfee beveiligt uw digitale wereld. http://www.mcafee.com/nl

McAfee International BV Gatwickstraat 25, Postbus 58326 1043 GL Amsterdam The Netherlands + 31 (0)20 5863800 www.mcafee.com/nl

De informatie in dit document is alleen bedoeld voor educatieve doeleinden en als service voor de klanten van McAfee. De informatie in dit document kan zonder voorafgaande kennisgeving worden gewijzigd en wordt geleverd "zoals deze is", zonder garanties met betrekking tot de nauwkeurigheid of toepasbaarheid van de informatie op een specifieke situatie of omstandigheid. McAfee, het McAfee-logo, McAfee Global Threat Intelligence, McAfee Labs en McAfee Total Protection zijn gedeponeerde handelsmerken of handelsmerken van McAfee, Inc. en/of haar dochtermaatschappijen in de VS en/of andere landen. Andere namen en merken kunnen eigendom van anderen zijn. De productplannen, specificaties en beschrijvingen in dit document zijn alleen bedoeld ter informatie. De aangeboden informatie kan zonder voorafgaande kennisgeving worden gewijzigd en wordt zonder enige vorm van uitdrukkelijke of stilzwijgende garantie verstrekt. Copyright © 2010 McAfee, Inc. 10902rpt_mapping-mal-web_0910


27

Het Mal-Web in kaart brengen

Recommend Documents