211service.com
Het kwaadaardige web in kaart brengen
De afgelopen jaren hebben cybercriminelen zich steeds meer gericht op het vinden van manieren om kwaadaardige code in legitieme websites te injecteren. Meestal hebben ze dit gedaan door code in een bewerkbaar deel van een pagina in te sluiten en deze code te gebruiken om schadelijke inhoud van een ander deel van het web weer te geven. Maar deze activiteit kan moeilijk te herkennen zijn omdat websites ook steeds vaker legitieme inhoud, zoals advertenties, video's of codefragmenten, van externe sites binnenhalen.

Slecht internet: FireShark vindt potentieel schadelijke servers door te bepalen welke servers inhoud op meerdere websites aanbieden.
Nu een onderzoeker bij Websense , een beveiligingsbedrijf gevestigd in San Diego, heeft een manier ontwikkeld om dergelijke kwaadaardige activiteiten automatisch te controleren.
Spreken bij de RSA-beveiligingsconferentie vorige week in San Francisco heeft Stephan Chenette, een hoofdonderzoeker op het gebied van beveiliging bij Websense, een experimenteel systeem beschreven dat het web doorzoekt, de bron identificeert van inhoud die is ingebed in webpagina's en bepaalt of code op een site kwaadwillig handelt.
De software van Chenette, FireShark genaamd, maakt een kaart van onderling verbonden websites en markeert potentieel schadelijke inhoud. Elke dag brengt de software de verbindingen in kaart tussen bijna een miljoen websites en de servers die inhoud aan die sites leveren.
Als je meerdere sites in een grafiek zet, kun je hun inhoudsgemeenschappen zien, zegt Chenette. Hoewel sommige contenthubs die verschillende communities met elkaar verbinden legitiem kunnen zijn, zoals de servers die advertenties aan veel verschillende sites leveren, kunnen andere contentbronnen erop wijzen dat een aanvaller kwaadaardige code aanbiedt, zegt hij. Volgens een door Websense gepubliceerde studie is het gebruik van legitieme sites door online aanvallers om schadelijke software te verspreiden het afgelopen jaar met 225 procent toegenomen.
Zelfs legitieme hubs kunnen echter een bedreiging vormen. In september bijvoorbeeld, de New York Times erkende dat online criminelen, die zich voordeden als legitieme adverteerders, inhoud op haar site hadden geplaatst via een advertentienetwerk.
Het aanvallen van een dergelijk netwerk kan veel lucratiever zijn dan het aanvallen van een enkele site. Laten we aannemen dat de beveiliging van de site van topklasse is. Hoe kan een kwaadwillende aanvaller de gebruiker bereiken? zegt Chenette. Een advertentienetwerk zou een goede keuze zijn.

Afstandsbediening: FireShark ontdekte dat sommige inhoud op de site howtofindmyIP.com afkomstig is van dubieuze sites die worden gehost in de Oekraïne.
De onderzoekers van Websense zijn van plan een plug-in voor de Firefox-browser uit te brengen die de contenthubs onthult waarnaar een site is gelinkt.
Het interessante van dit alles is wanneer aanvallers bijvoorbeeld DoubleClick gebruiken als aanvalsvector, zegt Tom Pinckney, medeoprichter van het webbeveiligingsbedrijf SiteAdvisor, dat in 2006 door McAfee werd gekocht en nu vice-president engineering voor de aanbevelingssite Hunch. Voor veel aanvallen koopt iemand de inhoud op het advertentienetwerk, maar de man die de inhoud op de pagina levert - God weet wie dat is.
SiteAdvisor biedt een plug-in die een service biedt die vergelijkbaar is met wat FireShark biedt. McAfee gebruikte een datacenter vol virtuele pc's om op het web te zoeken naar kwaadaardige sites, links te evalueren en unieke e-mailadressen in te dienen die vervolgens worden gecontroleerd op spam.
FireShark graaft dieper dan SiteAdvisor door de HTML, Javascript en andere code te decoderen die is ingesloten in elke webpagina die wordt geparseerd, op zoek naar de ultieme bron van inhoud, zelfs als deze meerdere keren wordt omgeleid. FireShark geeft een meer diepgaand beeld van wat er aan de hand is, zegt Chenette.
Maxim Weinstein, uitvoerend directeur van StopBadware , een non-profitorganisatie die helpt bij het maken van lijsten met kwaadaardige websites, zegt dat FireShark een interessant hulpmiddel kan zijn voor onderzoekers. Het voorbehoud, zegt hij, is dat afwijkend gedrag niet altijd kwaadaardig is. De patronen die er slecht uitzien, zijn vaak goede dingen - alleen abnormaal, zegt hij.
Het volgen van de manier waarop sites in de loop van de tijd zijn verbonden, kan ook helpen bij het identificeren van kwaadaardige wijzigingen aan sites, zegt Chenette. Hij voegt eraan toe dat de FireShark-browserplug-in uiteindelijk gebruikers informatie over de sites die ze bezoeken terug kan sturen naar Websense.