Vorige week waarschuwden de FBI, het Amerikaanse ministerie van Homeland Security en het Computer Emergency Readiness Team van de Amerikaanse overheid (US-CERT) voor de "ddos-infrastructuur" van Noord-Korea waarmee het land allerlei aanvallen zou uitvoeren, maar securitybedrijf Arbor Networks heeft kritiek op het rapport.
Het rapport bevat namelijk honderden ip-adressen, maar een duidelijke context wordt niet gegeven. Zo is het onbekend of de ip-adressen in kwestie onderdeel van een command en controle-infrastructuur of een besmet systeem zijn. Het is ook onduidelijk in hoeverre de ip-adressen "onschuldige" reflectors/versterkers zijn die worden gebruikt om het aanvalsverkeer te versterken. Het gaat dan bijvoorbeeld om servers die het aanvalsverkeer ontvangen en een veelvoud daarvan naar het uiteindelijke doel doorsturen.
Arbor Networks beschikt over een grote hoeveelheid informatie over ddos-aanvallen. Van de 632 ip-adressen in het rapport hadden er 24 die in de dataset van het bedrijf voorkomen aan tenminste één aanval deelgenomen. Verder werden er 164 ddos-aanvallen gevonden waar ip-adressen uit het rapport aan hadden deelgenomen. Het securitybedrijf erkent dat de eigen gegevens van ongeveer een derde van al het internetverkeer afkomstig zijn en het daardoor geen compleet beeld heeft.
Toch is het bedrijf kritisch over het rapport. "Het rapport is vaag over de kwalificatie van de gegeven ip-adressen. Het is onduidelijk op genoemde ip-adressen in het rapport onderdeel van de command en control-infrasrtuctuur zijn, gewoon bots zijn of beide. Het is niet eens duidelijk dat sommige van de ip-adressen geen "onschuldige" reflectors zijn", zegt analist Kirk Soluk.
Door dit gebrek aan context is het volgen Soluk lastig voor beveiligingsexperts om iets met de data te doen. Een lijst met command en control-servers wordt door experts anders behandeld dan een lijst met bots. Organisaties die blindelings de opgegeven lijst met ip-adressen in hun beveiligingssystemen laden kunnen dan ook meer schade dan goeds aanrichten. "Dit kan het vertrouwen aantasten in tijden waarin het het meest nodig is," merkt Soluk op, die verder stelt dat kennis over en context net zo belangrijk zijn als het noemen van ip-adressen.
Deze posting is gelocked. Reageren is niet meer mogelijk.