Tajné týmy a cílené údery proti botnetům

24. 4. 2009

Sdílet

Joe Stewart, ředitel firmy SecureWorks, uvedl na bezpečnostní konferenci společnosti RSA, že bezpečnostní firmy by měly změnit přístup k malwaru a především botnetům. Namísto reakcím na objevující se hrozby a jejich pouhé monitorování by se odborníci měli cíleně zaměřit na jejich zdroje a začít je ničit.

Bezpečnostní firmy by měly postupovat aktivněji, de facto jako kriminální policie, sledovat své protivníky, pokoušet se je identifikovat, používat sabotáže a infiltraci skupin vlastními lidmi. Odpojení serverů společnosti McColo, které na konci loňského roku výrazně omezilo množství spamu, stejně jako preventivní registrace domén červa Conficker, to vše byly podle Stewarta jen první kroky tímto směrem. Kybernetická kriminalita podle něj funguje podobně jako legální byznys na principu nákladů a zisku. Cílené útoky proti útočníkům mohou způsobit, že se jim jejich činnost prostě přestane vyplácet a přestanou s ní.

Tyto akce by měly provádět malé specializované týmy, které by neřešily vývoj záplat, ale zaměřily se například na jeden botnet a poškozovaly by ho neustále. Jinak jsou akce jednorázové, když například po odstavení serverů McColo řada botnetů opět ožila, byť třeba v menším měřítku. Dobrovolné aktivity nejsou dostatečně účinné; co se týče financování, tým profesionálů by například mohla platit skupina bank a taková skupina by se pak zaměřila na tvůrce (jednoho typu) trojských koní kradoucích hesla do internetového bankovnictví. Na rozdíl od skupiny Conficker Group by ovšem takové týmy měly operovat tajně, aby útočníky nevarovaly.

Problém ovšem mj. naráží na právní aspekty. Útok na řídicí server by podle všeho byl legální pouze v případě, že by měl předem soudní povolení. Nutnost pokaždé takové povolení získat se zdá být značně neefektivní cestou.

Nakonec i samotné čištění infikovaných počítačů by se dalo chápat jako neoprávněné nakládání se zařízením – viz např. článek Botnet Kraken padl do rukou výzkumníkům, ti se ale neodvážili počítače čistit.

Druhá věc samozřejmě je, že podobným způsobem by mohly zřejmě efektivněji postupovat specializované policejní složky.

 

ICTS24

Poznámka: Když Stewart mluvil o nutnosti utajení, vzbuzuje to nutně otázku: A nepracují už takové týmy? Nebylo by jinak botnetů ještě mnohem víc? Tuto možnost Stewart odmítl komentovat.