Snellere aanvallen op internet

Combinatie van technieken vergroot bereik

Symantecs halfjaarlijkse analyse van aanvallen op internet laat zien dat virusschrijvers zich steeds meer richten op recent gepubliceerde zwakheden met een hoog bedreigingspotentieel.

Top tien Nederland is doorgedrongen tot de top tien van landen van waaruit de meeste internetaanvallen komen. Het heeft Taiwan van de achtste plaats gestoten door 2 procent van de internetaanvallen voor zijn rekening te nemen. In het eerste halfjaar van 2003 kwamen de meeste aanvallen nog steeds uit de Verenigde Staten (51 procent). De nieuwe positie zegt waarschijnlijk meer over de opkomst van breedband internet in Nederland dan over het aantal virusschrijvers. De herkomst van een virus of worm is te bepalen aan de hand van het ip-adres, waaruit een specifiek land te herleiden valt. Dit is vaak niet het adres van de server of computer die de virusschrijver gebruikt, maar van onbeveiligde of overgenomen systemen die de schrijver gebruikt om zijn internetaanval te lanceren. Veel computers die via dsl of de kabel aan internet hangen zijn slecht beveiligd.

Bedreigingen die karakteristieken van virussen, wormen en Trojaanse paarden combineren om zich te verspreiden vormen de gevaarlijkste trend in internetaanvallen. Dit stelt Symantec in zijn nieuwste versie van het Internet Security Threat Report, waarin het trends en ontwikkelingen in internetaanvallen over het eerste halfjaar van 2003 analyseert. Bij twintigduizend wereldwijd verspreide systemen is informatie over internetaanvallen verzameld. Ruim dertig van de vijftig meest voorkomende internetbedreigingen in het eerste halfjaar van 2003 gebruikte een combinatie van aanvalstechnieken. Het laatste halfjaar van 2002 waren dat er nog maar 26 van de vijftig. Dit is een stijging van 20 procent.
De snelle verspreiding is de gevaarlijkste eigenschap van gecombineerde bedreigingen. Een voorbeeld van zo'n aanval, Sql slammer, infecteerde in januari van dit jaar in minder dan een uur honderdduizenden systemen over de hele wereld. Deze snelle verspreiding was mogelijk doordat een dergelijke bedreiging meerdere technieken combineert om systemen te infecteren. Dit vergroot het bereik en de verspreidingssnelheid. Daarnaast stellen gecombineerde bedreigingen niet alleen de beveiliging van internetsystemen op de proef, maar zorgen ze ook voor onnodige belasting van systemen en slokken ze veel capaciteit van netwerkverbindingen op.

Patchbeleid

Het aantal gerapporteerde zwakheden in software is opnieuw toegenomen met 1432 tot ongeveer achtduizend bekende lekken in vierduizend softwaresystemen. Gecombineerde bedreigingen maken gebruik van meerdere bekende zwakheden in software. Misbruik van relatief nieuwe zwakheden stelt hen in staat om firewalls en anti-virussoftware te omzeilen. De beste remedie is zo snel mogelijk verbeterde versies van de softwarefabrikant te installeren om de lekken te dichten. Bedrijven en consumenten nemen daar nog steeds veel tijd voor of komen er zelfs niet aan toe. Analyse van de internetaanvallen laat zien dat virusschrijvers zich steeds meer richten op recent gepubliceerde zwakheden met een hoog bedreigingspotentieel. Symantec verwacht dat deze trend in de toekomst doorzet. Het adviseert bedrijven om voorrang te geven aan het patchbeleid en de grootste bedreigingen het eerst op te lossen. < BR>