TL;DR: "Wie riskant ist das Internet? Forschern zufolge liegt die Risikoquote bei 42%" ist Bullshit/Clickbait.
eine absolut geniale Aussage, die jedem, der den Anhalter gelesen hat und weiß wie Statistiken funktionieren ein breites Grinsen ins Gesicht zaubern dürfte
Hier ist die Orginalquelle (Anklicken könnt ihr euch sparen):
https://info.menlosecurity.com/rs/281-OWV-899/images/State-of-the-Web-Report-2018_August6.pdf
Die 42% stehen dick in der Einleitung, als Erinnerung an die Ergebnisse vom letzten Jahr.
Ok, dann halt der vom letzten Jahr:
https://www.menlosecurity.com/hubfs/pdfs/Menlo-2017-State-of-Web-report.pdf
1. Verstoß: old news is old
Die Beschreibung ihrer Methodik ist Bullshit. Da wird solange gnadenlos Sachen zusammengeworfen, bis keiner mehr nachvollziehen kann, was eigentlich gemacht wurde. Eine Seite wird gezählt, wenn sie, oder eines ihrer eingebunden Drittanbieter-Scripte "risky" ist. High Level heißt "risky" zum Beispiel "setzt vulnerable software ein". Das macht soweit Sinn. Die weiteren Erläuterungen klingen aber stark nach "alles böse, was zu alt ist". Ok, große Teile des Webs werden von veralteten Servern betrieben und viele davon sind nicht mal ordentlich gepatched und das ist
risky. Seh ich noch ein.
Nächster Faktor: "known bad". Bindet eine Seite Scripte von einer Seite ein, die "known bad" ist, dann ist sie risky. Macht erstmal Sinn. Was ist known bad? -> steht auf einer Liste, die sie aus nicht bekannt gegebenen Quellen der Cyber Defense Industry zusammengekauft haben. Ok?
Letzter Faktor: "Homepage or background site has had a security incident in the last 12 months". Sure... Lücke geschlossen und das öffentlich kommuniziert -> 12 Monate auf der Risikoliste.
Irgendwo muss ich missverstanden haben, wie die wirklich vorgehen, denn ich würde bei solchen Ansätzen eher von 90-95% ausgehen
2. Verstoß: Methodology genügt nicht wissenschaftlichen Standards
Aber das wäre halt "zu unglaubwürdig". Zu behaupten knapp unter der Hälfte der Top 100.000 wären "risky" ist glaubwürdig. Und damit geeignet um ihre eigene Security Technologie am Markt zu verscherbeln: Einfach die Seite in der Cloud rendern lassen und nur das Ergebnis zum Client streamen
They are literally selling a man in the middle! Btw. Kaspersky schreibt auch nur News ab, kratzt den Werbebanner runter und klebt ihren eigenen drauf
Mit der "Forschung" dahinter haben die nichts zu tun.
3. Verstoß: Studie ist nicht unabhängig, sondern dient allein dem Zweck das eigene Produkt zu bewerben.
Verdikt: Fake News
Die "Filterlisten" lassen sich bei Kaspersky ebenfalls nicht finden. Grund dafür ist, dass Born den Satz "Dort gibt es auch .csv- und .txt-Dateien mit den Listen der gefährlichsten Domains, die man in Filterlisten ggf. sperren kann (z.B. per Windows Hosts-Datei)." ausversehen unter den falschen Tweet gesetzt hat. Die Liste gibt es vom Blog eines Mitarbeiters von AlphaSOC, zu dem der Link im zweiten Tweet führt. Abgesehen von einer leichten thematischen Überschneidung hat dieser nichts mit dem ersten Tweet zu tun.
Aussage des Blogeintrags:
"Practically blocking egress traffic to domains within these TLDs in an enterprise setting should be relatively safe and not impact operations."
(Wie sich Born vorstellt TLDs per Hosts-Datei zu sperren würde mich mal interessieren.)
Aber ok. Lass mich kurz die Unternehmensfirewall umkonfigurieren, damit sie alles in Richtung .eu und .dyndns.org blockt, weil es für unser Business viel zu riskant ist, wenn die Belegschaft in diesen Teilen des Webs unterwegs sein kann. Außerdem braucht die eh keiner, die sollen Arbeiten, nicht surfen. #FascistFirewalling
Schön ist auch, dass com, net, org, info, and ru von dem Blogger einfach ausgeschlossen wurden, weil der Rat .com zu verbieten halt dum wäre. Schön vor allem, wenn man sich die ebenfalls von diesem Blogger veröffentlichte Liste mit 41 Phishing Domains ansieht, die zum Drittel aus .com Domains besteht
(Die Liste stammt aus seinem Post "Evaluating Threat-Blocking DNS Providers" mit der er implizit zeigte, dass die alle nicht miteinander kooperieren. Sie ist ein Auszug aus der hosts-file.net Liste der Kategorie Phishing)
Verdikt: Fake Mitigation
Was man sinnvoll mitnehmen kann:
- In einigen Unternehmen kann man über faschichstische Firewalls nachdenken und einfach mal einen guten Teil des Netzes anhand der TLD wegzuzensieren, weil es dort sowieso (fast) nichts gibt, was für das Unternehmen relevant ist. Nicht vergessen facebook zu blocken, damit die User auch einen Grund haben eine Umgehung zu erschaffen.
- Ein Network Intrusion Detection System das mit Listen von "known Malware Domains" versorgt wird, kann helfen infizierte Systeme im eigenen Netz aufzuspüren. Vorsicht: vermischt man die Listen z.B. mit Werbung, wird es schwierig infizierte Hosts aus dem Log zu filtern.
- Die meisten "Cyber Defense" Unternehmen haben inzwischen eigene DNS Server im Angebot. An brauchbare Listen für eine "on premise" Lösung zu kommen wird immer schwieriger, und "alte Listen" sind ziemlich witzlos, da z.B. Command and Control Server nicht monatelang die selbe Domain benutzen. Eine "on premise" Lösung wäre aber zu bevorzugen, denn "irgend ein Rechner im Netzwerk hat einen C&C aufgerufen" ist kein Log Eintrag, mit irgendjemand etwas sinnvolles anfangen kann. Von "1872 Requests wurden blockiert" ganz zu schweigen
- Monitoring DNS Requests ist eine Strategie für "Security in depth", aber der Nutzen sollte nicht überschätzt werden, denn man kann getrost von einer signifikanten Dunkelziffer ausgehen.
Last but not least:
- Kudos to Menlo Security für die Anmerkung, dass es "risky" ist viele Drittanbieter auf Webseiten einzubinden, nur um dann 18 Stück auf ihrer eigenen Seite zu haben.
- Zum Spaß habe ich mir mal die Liste mit Malware-Domains (emd.txt) vom 14th September 2018 von
https://hosts-file.net/?s=Download heruntergeladen. Die Liste enthält 197.305 Domains. 89.859 davon haben eine .com TLD. Welchen Teil des Netzes sollen wir bannen? .eu? Sure...
