Microsoft je kritizován za svou taktiku boje s botnety

Minulý týden Microsoft přerušil více než 1 400 botnetů, které používaly malware Citadel. Ovlivněno jím bylo více než pět milionů lidí po celém světě. Microsoft zákrok proti botnetu pojmenoval Operace b54.

Malware nahrával uživatelská jména a hesla obětí. Ztráty spojené s Citadel podle Microsoftu přesáhly 500 milionů dolarů (přibližně 96 a půl milionu korun). Operace b54 byla sedmým zásahem, který Microsoft proti botnetům vedl. Někteří z bezpečnostních výzkumníků tento krok chválí, ale většina ho vidí jako pouhou reklamu, která brutálním způsobem zasáhla do jejich bitvy s botnety.

„Podle mého názoru operace Microsoftu neměla na Citadel žádný vliv, který by stál za zmínku. Místo toho narušila projekty několika bezpečnostních výzkumníků a neziskových organizací,“ řekl anonymní výzkumník ze švýcarské společnosti abuse.ch. „Podle mě nebyla Operace b54 ničím jiným než propagační kampaní.“

Infikované počítače zasílají soubory s nastavením a různými daty do řídících center. Tato data výzkumníci odchytávají společně se jmény domén, která jsou ke komunikaci s řídícími servery využívána. Poté získané informace zkoumají a nakonec je v případě abuse.ch pošlou další neziskové organizaci Shadowserver Foundation, která získané informace rozešle do 1 500 organizací a šedesáti týmům Computer Emergency Responce (CERT) po celém světě.

Microsoft slíbil, že informace, které o botnetu získal, pošle „klíčovým výzkumníkům,“ například Shadowserveru. „Jak už bylo řečeno na začátku, cílem této operace bylo ochránit veřejnost strategickým narušením operací Citadel, oběti malwaru této hrozby zbavit a kyberzločincům zajistit dražší a riskantnější podnikání,“ oznámil ve středu Richard Boscovich, asistent generálního poradce divize digitální kriminality v Microsoftu.

Chester Wisniewski, bezpečnostní poradce společnosti Sophos, sice operaci Microsoftu podporuje, ale myslí si, že by žádný dodavatel neměl upravovat osobní počítače bez svolení jejich majitele, a to ani v případě, že má dobré úmysly. Boscovich se proti tomu ohradil tím, že Microsoft počítače obětí neměnil, jen je uvedl zpátky do stavu, ve kterém byly před infekcí.

Strategie Microsoftu, která botnety narušuje zabavováním doménových jmen, však může podle výzkumníka z abuse.ch vést i k tomu, že kyberzločinci podniknou akce, které v závěru nadělají více škod. Například když v roce 2011 výzkumníci agresivně vypnuli řídící servery domény malwaru ZeuS-Licat, jeho operátoři pouze změnili architekturu na peer-to-peer a v šíření příkazů nakaženým počítačům pokračovali. Architektura P2P se dá hůře najít a je těžší ji zablokovat.

Experti souhlasí, že Microsoft Citatel poškodil, dodávají však, že jeho operátoři budou zpět. „Pro zločince je to velká rána, ale v jejich podnikání je to určitě nezastaví,“ prohlásil Wisniewski.