Surfer is op internet nergens helemaal veilig

De onderzoekers lieten het internet afstropen door een speciaal ontwikkelde ‘client honeypot’ − Capture HPC genoemd − die bij bezoek aan websites registreerde of vanaf de websites veranderingen aangebracht werden in het register, bestanden werden aangemaakt of juist verwijderd of veranderingen werden aangebracht in de lopende processen op het bezoekende systeem. Het systeem is zo geprogrammeerd dat bij zo’n wijziging een aantekening van de bezochte pagina wordt gemaakt, waarna de machine zichzelf terugconfigureert naar de oorspronkelijke instellingen.

Gevaarlijkst
Met een twaalftal instanties van Capture HPC werden begin mei in twee weken tijd 300.000 webpagina’s van 150.000 hosts bezocht met Internet Explorer 6 op Windows XP met Service Pack 2. Binnen dat universum vonden de onderzoekers 306 webpagina’s die het gewraakte gedrag vertoonden, ofwel 0,1 procent van het totaal.
De gevaarlijkste categorie bleken de pornografische websites: 0,57 procent van de geïnspecteerde web­pagina’s bleek kwaadaardige code te bevatten. Maar minstens zo belangrijk vinden de onderzoekers de constatering dat geen enkele categorie geheel vrij blijkt van de aanwezigheid van sites met kwaadaardige code. Dat impliceert dat men zich niet van narigheid kan vrijwaren door bepaalde uithoeken van internet niet te bezoeken.
Die conclusie werd versterkt toen de onderzoekers het gedrag van de 306 kwaadaardige pagina’s bij herhaling bezochten. Niet alleen bleken de pagina’s vaak zo ontworpen dat detectie moeilijker wordt, bijvoorbeeld door per bezoekersadres maar één keer een kwaadaardige lading af te leveren, ook bleken sommige pagina’s te verdwijnen of van kwaadaardige lading ontdaan te worden. Dat laatste valt alleen maar te verklaren wanneer de uitbaters van de kwaadaardige code voortdurend schuiven met de locaties waarop ze hun code publiceren om de kans op het vinden van nieuwe slachtoffers te vergroten.