Minden biztonsági cég rendszeresen közzéteszi saját statisztikáit az IT-biztonsági támadásokról. A webes támadásokra szakosodott amerikai Sucuri a közelmúltban egy olyan összesítést adott közre blogján, amely a támadások forrásáról (operációs rendszer, böngésző, földrajzi eloszlás) ad képet.

Félmilliárd hálózati kérést elemeztek

A kutatók egy 30 napos időszakot vizsgáltak. Ez idő alatt 480 millió blokkolt hálózati kérést tudtak monitorozni különböző módszerekkel. Elsősorban a forgalom metaadatait elemezték. Vizsgálták az adatforgalomban kimutatható user-agent bejegyzéseket is.  A kutatók utalnak is arra, hogy például a böngészőstatisztika nem is száz százalékban pontos, mivel a user-agentek hamisak is lehetnek, így elsősorban a tendenciákra érdemes figyelni.
 

Érdekes, hogy a támadások háromnegyedét hat típus fedi le. A legnagyobb azoknak a támadásoknak az aránya (29 százalék), amikor a támadók semmiféle user-agentet nem állítanak be. A második legnagyobb támadási forrás böngészőfronton 16 százalékkal az Internet Explorer 6, ami azonban valószínűleg exploitokkal hamisított böngésző lehet. Mellettük még a Chrome és a GoogleBot ért el 10 százalék fölötti arány. Mint azt Daniel Cid, a Sucuri alapítója és jelenlegi technológiai igazgatója írja, a GoogleBotot főleg azért használják előszeretettel a támadásokhoz, mert jól erjetik a támadásokat. Olyan akciókat lehet segítségével felépíteni, amely olyannak mutatja a támadást, mintha a Google keresőrobotja kommunikál a szerverrel.

A háttérben sok a Linux

A közel félmilliárd blokkolt kérés legtöbbje, 45 százaléka windowsos rendszerről érkezett, valószínűleg fertőzött PC-k bevonásával. Az összes többi azonosítható operációs rendszer aránya ehhez képest elenyésző: a Linux a támadások 5 százalékában, az Apple eszközök együttesen (Mac OS X, iOS) is csak 4 százalékában kapnak szerepet.
 

De mi van a nem azonosítható 44 százalékkal? Ezeknél a kutatók az ún. passzív ujjlenyomat módszert követték (pOf – passive OS fingerprinting), amikor is hálózati szintű elemzésekkel próbálták meg azonosítani incidensek mögött álló operációs rendszert. Ezzel a módszerrel kicsit megváltozott a kép: a windowsos rendszerek aránya már az b50 százalékhoz közelített, míg a linuxosoké 40 százalék fölé kúszott.

Tengerentúlról jönnek a támadások

Bár a kibertámadásokról szóló hírek alapján azt várhatnánk, hogy a legtöbb támadás forrása valamelyik ázsiai ország, esetleg Oroszország, a Sucuri statisztikái egészen mást mutatnak.

A vizsgált időszakban messze az Egyesült Államokból indították a legtöbb támadást. Ez persze közel sem azt jelenti, hogy a kiberbűnözők koncentrációja magasabb az USA-ba, csupán azt, hogy a támadásokba bevont rendszerek ott helyezkednek el. Ettől még a támadók akár Új-Zélandon is lehetnek. Mindenesetre feltűnő, hogy az USA-hoz képest, amely 38 százalékkal vezeti a listát, a második helyezett India is csak 7 százalékig jutott.
 

Indonézia, Kína, Kanada, Németország, Ukrajnában és Oroszország pedig a támadások 5 vagy kevesebb százalékának forrása volt.

Daniel Cid szerint az elemzés minden pontatlansága ellenére egy dolgot szépen megmutat: a webes támadások ellen a csupán a földrajzi hely vagy a user-agent szűrésére építő módszerek nem sokat érnek.