Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Sophos security threat report slaat de plank mis

  • Door
  • Arnout Veenman
  • geplaatst op
  • 25 juli 2008 08:09 uur

Sophos heeft weer een nieuwe versie van haar security threat report gepubliceerd. In het rapport valt ondermeer te lezen dat de rol van Nederland bij de verspreiding van malware beperkt is, al levert de 1 procent malware die in Nederland gehost wordt toch nog een oneervolle 9de plaats in de top 10 grootste malware verspreidende landen op.

Een ander punt in het rapport van Sophos is de verhouding van de webservers die verantwoordelijk zijn voor het hosten van de malware. Daarbij is een opvallende stijging te zien in het percentage Apache webservers, in de uitleg hierover slaat Sophos de plank mis.

Bijna 60 procent van de webbased bedreiging in januari tot juni 2008 betroffen Apache servers. Dit is een opmerkelijke toename in vergelijking met het niveau van 2007, toen Apache webservers goed waren voor minder dan 49 procent van de webbased bedreigingen. Een groot aantal Apache servers worden gehost op Linux of een UNIX variant, wat laat zien dat malware niet zuiver een Microsoft probleem is.

Ookal is er minder malware geschreven die Linux en UNIX aanvalt, neemt niet weg dat websites immuun zijn voor aanvallen. Dit komt doordat aanvallers zich op de website richten -en niet alleen de server- en proberen vaak scripts in de websites te plaatsen of door te sturen naar kwaadaardige code.

Vooral de eerste alinea stoort mij enorm, het lijkt op deze manier wel of dat Apache kwetsbaar zo zijn voor aanvallen, omdat er wordt gesuggereerd dat er een link zou zijn tussen de gebruikte webserver en de verspreiding van malware. Zoals Sophos zelf in de tweede alinea stelt, is het steeds vaker de website zelf is die wordt aangevallen, in plaats van de (web)server.

Dat is ook logisch want de beveiliging van besturingssystemen en webservers wordt telkens beter. Tegelijkertijd zijn er wel heel veel (platform onafhankelijke) webapplicaties die vol met lekken zitten en om de haverklap moeten worden gepatcht, iets dat niet iedereen even braaf doet. Die webapplicaties zijn een veel eenvoudiger doelwit voor aanvallers. Alleen wat heeft dat te maken met de webserver waar de lekke webapplicatie op draait?

Het punt dat Sophos wil maken is wel goed, namelijk dat malware niet alleen een probleem is dat met Windows te maken heeft, ook al is de meeste malware voor Windows geschreven. Met de wijze waarop Sophos dat probeert gaat ze anderzijds wel gruwelijk de mist in.

Onderstaand diagram is net zo suggestief als de tekst:

Sebastiaan Stok, 25 juli 2008 11:06 am

Ze slaan inderdaad de plan mis, Apache is een van de meest gebruikte webserver software!

Dat betekend niet dat het OS nog Apache kwetsbaar zijn.
Ik ben webhosting aanbieder, zou ik op mijn computer een trojan hebben (heb ik *afkloppen* niet), dan zou iemand zo het wachtwoord van de server kunnen achterhalen en de server misbruiken voor het verspreiden van malware of virussen! (dan licht de schuld toch weer bij Windows :evil: .

Dat er Apache op de webserver staat is dan bijzaak.
Maar meestal licht het probleem in verouderde web applicaties :)

Prettige Sysadminday!

Martijn, 25 juli 2008 12:45 pm

Wat een vreselijk kortzichtige conclusie. Je zou bijna denken dat er Microsoft geld achter zit :)

MikeN, 25 juli 2008 1:44 pm

Ik zie echt niet wat er mis is met het artikel? Zoals je zelf al ziet concluderen ze dat steeds minder de lekken komen door de webserver software en steeds meer door de applicaties die erop draaien. Dat lijkt mij een prima conclusie uit de resultaten?

Freeaqingme, 25 juli 2008 5:45 pm

MikeN: Maar juist de onderliggende webserver-software is daarbij in principe irrelevant. Dus wat dat betreft is het 'flauw' dat Apache zo gepresenteerd wordt.

(heeft er trouwens iemand statistieken hoeveel apache gebruikt wordt tov bijv IIS?)

Btw, happy sysadmin-day ;)

MikeN, 25 juli 2008 9:18 pm

Het is helemaal niet irrelevant. Het is juist zeer relevant gezien vroeger IIS vaak misbruikt werd vanwege de gaten, en aan dat het nu gelijktrekt (waarvoor je dus wel naar die software zult moeten kijken) kun je afleiden dat dat waarschijnlijk niet meer het geval is.

Freeaqingme, 25 juli 2008 10:03 pm

Maar dat suggereert dat die websites nu dus geinfecteerd worden door een bug in de webserversoftware te exploiten, en dat klopt dus niet.

MStaaij, 30 juli 2008 9:20 am

Leuke discussie. Zie het artikel absoluut niet drijgent voor Apache, maar als je een beetje logisch nadenkt is het een logisch gevolg van de malware ontwikkelingen.

Wat Arnout denk ik verkeerd opvat uit de eerste alinea is dat Sophos doelt op het feit dat Microsoft altijd als onveilig en dus ook als grootste verspreider malware werd gezien. Sophos toont met de percentages het tegendeel aan en neemt daar als voorbeeld Apache bij. Logisch want de meeste websites draaien op Apache, het is Microsofts grootste concurrent.

In de 2e alinea verklaart Sophos de verplaatsing van het malware problemen naar Apache, door aan te geven dat malware steeds meer op applicatie niveau wordt ontwikkeld en niet meer op server niveau. Weer een mooie feitelijke constatering waarin ze eigenlijk aangeven dat het geen Apache probleem is, maar meer een webapplicatie probleem...

Wel grappig dat de Microsoft security altijd onder vuur heeft gelegen en je nu ziet dat ze het toch aardig voor elkaar hebben. Resultaat is de verspreiding van het malware probleem naar een heel ander niveau! Complimenten aan Microsoft en Apache!

Hier nog even de statistieken:
(bron: http://news.netcraft.com/archives/web_server_survey.html)

Developer June 2008 Percent
Apache 49.12%
Microsoft 35.39%
Google 6.07%
lighttpd 0.89%
Sun 0.32%

Feedback!
Fill out my online form.
Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.