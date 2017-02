Het grootste deel van mijn carrière associeerden we 'bot' met ellende. Als IT-beveiliger zag ik bots het vaakst langskomen om malafide acties uit te voeren, of om andere machines te rekruteren in een netwerk van geautomatiseerde aanvallen. Maar bots zijn ook goedaardig en met bijvoorbeeld de chatbot-initiatieven van Microsoft, Google en anderen zijn er juist steeds meer goedaardige bots. Een nadeel voor ons is dat er meer verkeer te filteren valt en dat ondoorzichtelijker wordt.

Bots en aanvallen

Het vijfde jaarlijkse Bot Traffic Report van Imperva Incapsula over het afgelopen jaar is gebaseerd op doorlopend onderzoek. Het CDN-bedrijf keek voor het rapport over het afgelopen jaar naar 16,7 miljard bezoeken aan 100.000 willekeurig geselecteerde domeinen binnen het Incapsula-netwerk. Hier zijn enkele interessante datapunten daaruit:

Meer dan de helft van al het websiteverkeer is niet afkomstig door menselijke bezoekers, maar komt van bots.

Na drie jaar te hebben afgenomen, is botverkeer weer aan het groeien en dat is vooral te danken aan een toename in goedaardig verkeer.

Kwaadaardige bots vormen 29 procent van al het verkeer, terwijl 23 procent goedaardig is.

De ondergang van RSS zorgde ervoor dat goedaardig botverkeer niet nog veel hoger lag.

Elke derde bezoeker aan een website is een malafide bot.

94,2 procent van alle websites hebben te maken gehad met een botaanval.

Malafide bots zijn ontworpen om beveiligingsmechanismes te omzeilen en om een site of apparaat te veroveren met als doel om of het slachtoffer aan te vallen of om het toe te voegen aan een collectief van bots. Een botnet gebruikt meerdere bots om taken af te handelen die normaal een gebruiker zou doen (kopen van kaartjes, invullen van beveiligingsvragen, versturen van serveraanvragen etc) of om dingen te stelen. Ze zijn van grond af aan ontworpen om ongeautoriseerde activiteiten te ontplooien.

Goede bots, slechte bots

Als je ooit de logs hebt bekeken van publieke sitebezoekers of van een firewall, zal het geen nieuws voor je zijn dat het wemelt van botverkeer, zowel kwaad- als goedaardig. Je herkent wat voor bot het is meestal aan de combinatie van naam, oorsprong en frequentie.

Goede bots komen keer op keer op vastgestelde tijdstippen en proberen niet te verbergen wat ze doen en wie ze zijn. Slechte bots komen van willekeurige domeinen, proberen hun bedoelingen te verbergen en proberen het regelmatig met een willekeurige interval. In hun datavelden zit exploitcode.

Crawlers en health-monitors

Verder zijn goede bots geprogrammeerd om alleen activiteiten uit te voeren die zijn geautoriseerd, hoewel veel sites waar ze mee verbinden niet noodzakelijkerwijs daar behoefte aan hebben of er überhaupt van weten. Volgens het rapport van Imperva zijn goedaardige bots onder meer de volgende voorbeelden:

Monitorende bots die kijken naar de performance van site/netwerk/features

Feed Fetchers, die content kopiëren

Bots van zoekmachines

Commerciële crawlers, bijvoorbeeld voor marketingdoeleinden

Hierna: Goede IT-bots veranderen het dagelijkse, routinematige werk, waardoor we meer tijd hebben voor bijvoorbeeld architecturale issues en structurele problemen.