Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 19/8/2011
Websteder med skadelig software slipper uden om de filtre, som sikkerhedsbranchen sætter op.Det er en af konklusionerne i rapporten "Trends in Circumventing Web-Malware Detection," som forskere fra Google har udgivet.
Rapporten beskriver, hvordan bagmændene bag farlige websteder forsøger at undgå de kontrolmekanismer, som indgår i Googles Safe Browsing-system. Det er et system, der forsøger at opdage skadelige websteder, så brugerne kan advares om dem, før de besøger dem.
Safe Browsing anvender en række metoder til at fastslå, om et websted er farligt. Men bagmændene har en metode, der effektivt modvirker dem alle: IP-cloaking.
Det går ud på, at webstedet svarer forskelligt, alt efter hvilken IP-adresse den besøgende kommer fra. Hvis besøget på det skadelige websted kommer fra en almindelig bruger, bliver vedkommende udsat for et angreb.
Men hvis besøget kommer fra en IP-adresse, som bagmændene formoder tilhører Google eller deres samarbejdspartnere, serveres uskyldigt sideindhold.
Frem til 2009 var der under 50.000 websteder om måneden, der anvendte IP-cloaking. Men derefter steg mængden voldsomt, i august 2009 var der over 200.000. Tallet har siden ligget over 100.000.
Det eneste middel mod IP-cloaking er at scanne de mistænkte websteder fra IP-adresser, som de ikke beskytter sig mod.
Forskerne konkluderer, at det er mest effektivt at kombinere en række forskellige teknikker i kampen mod de skadelige programmer.