Computers binnen de netwerken van hostingpartijen, bedrijven en SaaS-leveranciers maken relatief weinig onderdeel uit van botnets. Providers zijn daarentegen cruciaal bij de bestrijding van netwerken van met malware geïnfecteerde machines: binnen de netwerken van grote internetproviders bevindt zich het leeuwendeel van met malware geïnfecteerde machines. Bovendien zijn er grote verschillen tussen providers onderling. Dat betoogt Michel van Eeten, professor Techniek, Bestuur & Management aan de Technische Universiteit (TU) Delft.
Dertig procent van alle onderzochte spam was afkomstig van slechts tien providers. Vijftig providers bleken verantwoordelijk voor meer dan de helft van de onderzochte spam. Computers binnen de netwerken van hostingpartijen, bedrijven en SaaS-leveranciers maken relatief zelden onderdeel uit van een botnet. Van Eeten presenteert deze bevindingen dinsdag 8 juni tijdens een academische beveiligingsconferentie aan de Amerikaanse Harvard-universiteit.
Tussen de 63 en 69 procent van alle spambronnen in de steekproef van Van Eeten bleek zich binnen de netwerken van tweehonderd internet service providers (isp’s) te bevinden. Dat percentage verschilt overigens sterk per land: in Israël, Turkije en Italië was in 2008 maar liefst 96 procent van de spam afkomstig uit machines binnen providernetwerken, terwijl ditzelfde percentage in Canada op 42 procent lag.
Spam-‘valkuil’
Van Eeten baseert zijn conclusies op onderzoek onder een verzameling van 138 miljoen ip-adressen waarvandaan spam werd verstuurd aan een zogeheten spam-‘valkuil’. Dat is een internetdomein waarvan de mailadressen nooit gebruikt zijn, maar dat speciaal is opgezet om spam te vangen. Van elk van deze ongevraagde mails achterhaalden de onderzoekers vanuit welk netwerk de post afkomstig was, en of dit netwerk tot een provider behoorde.
