Het zou een goed idee zijn, indien de website van Security.nl, deze
websites bekend zou maken om een eigen Blocking List samen te stellen
voor de Firewall. Deze sites worden dan in de zone van Beperking
opgenomen (Norton Internet Security 2005), zodat er geen contact
gemaakt kan worden met deze sites. Je hoeft maar één toevallige
doorlinking te krijgen via een andere website en het kwaad is dan al
geschied.

Dus graag dit soort domeinnamen in het vervolg veelvuldiger en vaker
publiceren via Security.nl.

P.G. Verhoeven, je bedoelt een blacklist. Er zijn gespecialiseerde
organisaties die dergelijke blacklists verzorgen. Sommige lijsten krijg je
tegen betaling, andere worden door onderlinge samenwerking in stand
gehouden.

Op dinsdag 04 januari 2005 15:17 schreef P.G.Verhoeven onder
meer:
> Dus graag dit soort domeinnamen in het vervolg
veelvuldiger en vaker
> publiceren via Security.nl.

Ik denk niet dat dit de taak is van sites als security.nl
maar eerder van bijv. http://isc.sans.org/ omdat zij in
principe 24x7 handlers hebben. Dat er overigens weinig van
dergelijke blacklists zijn heeft meerdere redenen.

Om te beginnen is er een enorm grijs gebied, wanneer kun je
een site als kwaadaardig beschouwen? Als je googled naar
"malware blacklist" kun je een adult site "abbba.
info/firewall/faq" vinden die een dialer aankondigt. Is dat
goed of fout? Is meer dan 3 popups fout? Meningen zullen ver
uiteen lopen (en voor je het weet heb je rechtzaken aan je
broek).

Ten tweede zul je zowel hostnames (of hele domains) als
IP-adressen (of reeksen) moeten blacklisten. Het is een
bekend gegeven dat spamvertised websites regelmatig onder
nieuwe adressen opduiken (met dezelfde hostname dus).
Daarvoor worden zelfs gekraakte thuis-PC's ingezet.

Ten derde is de dekking erg laag. Er zijn maar heel weinig
mensen die doorhebben dat er iets mis gaat bij het openen
van een webpage, en daarna uit kunnen zoeken welke site
precies de oorzaak van de problemen was (denk aan de
gekraakte Falk bannerserver eind vorig jaar).

Het inzetten van zoekbots heeft nauwelijks zin omdat het
vaak nieuwe sites zijn waar nog niemand naar verwijst
(afgelopen vrijdagmiddag was op google zelf nog niets over
irg24. com te vinden). Ik kan me wel een "malware detector
plugin" voorstellen (misschien bestaat zoiets al) welke
nauwgezet websites die malware aanbieden doorgeeft aan een
centrale service (net zoals zoals ISC firewall logs
verzamelt). Maar zoals ik al schreef, wat is wel en wat is
geen malware?

Omdat je met zo'n lijst, net zoals met
anti-virus/trojan/adware/spyware, altijd achter de feiten
aanloopt is m.i. de enige juiste aanvliegroute het veiliger
maken van webbrowsers. Daarbij zal ongetwijfeld
functionaliteit moeten worden ingeleverd; so be it.

Erik van Straten

Ik zie bezoekers van deze site vaak mopperen op de
klik-maar-raak mentaliteit van de doorsnee surfer, maar ik
kom vooral in advertenties vaak nauwelijks leesbare URL's
tegen (bijv. omdat ze zo lang zijn).

Vooral bij de Duitse Google viel me op dat advertenties je
vaak naar totaal een andere site sturen dan de sitename die
(niet clickable) onderaan de advertentie staat; bijv. i.p.v.
op de aangekondigde http://www.IhrReiseshop.de beland je op
http://www.vidado.com (na zoeken op urlaub; beide sites lijken
overigens wel verwand te zijn, en er is geen sprake van
exloits o.i.d.).

Bij google.nl is dat minder maar het komt ook voor. Als je
bijv. naar "digitale camera" zoekt kun je rechts de
advertentie tegenkomen:

Digitale camera
Je eigen PC samenstellen of een gsm
kopen. Simpel, snel en goedkoop
www. neckermann. com

Als je de muispijl in de google page boven "Digitale camera"
plaatst zie je (mits javascript je statusbar mag wijzigen):
"ga naar www. neckermann. com"

Als je op "Digitale camera" clickt kom je echter uit op
http://www.neck.nl (dat kon je weten als je de properties van deze
URL had bekeken). Maar, is dit nou wel of niet Neckermann?
En zo ja welke Neckermann? (In dit geval is er geen
probleem want als je naar http://www.neckermann.com gaat word je
doorgestuurd naar www.neck.nl, en http://www.neckermann.nl is hun
"reizen" site; het gaat hier puur om een voorbeeld waarbij
GEEN sprake is van malware o.i.d.).

De vraag is, moet je mensen nu aanraden om gewoon te
clicken, of moeten ze de onderste URL in de advertentie
copy/pasten? In dat laatste geval zijn er natuurlijk geen
advertentie inkomsten, maar loop je minder risico omdat je
niet meer "langs" allerlei tussenstations komt (die
bovendien info van je verzamelen zoals je IP adres en de
gebruikte zoekstring). Of moet je altijd eerst naar de URL
properties kijken (er zitten erg lange URL's bij), of zouden
adverteerders gewoon duidelijker moeten aangeven waar je
echt naar toe gestuurd wordt?

Erik van Straten