Ačkoliv jí byly reportovány celé dlouhé seznamy webů, které distribuují malware, nebyla proti nim schopna účinně zasáhnout. Tyto weby se nacházejí např. v Rusku a Turecku.
V této kauze figurují např. weby v Rusku, které se snaží o exploit (tzv. JustExploit) zranitelnosti ve zpracování Javy. Místní registrátoři v Rusku a Turecku dostali dávno příslušné informace, neudělali ale nic a doménová jména jsou nadále aktivní. Totéž platí pro VeriSign, která by měla zasáhnout buď přímo proti podvodným webům, nebo i proti svým nečinným partnerům.
Fried pronesl své obvinění minulý týden na bezpečnostní konferenci Black Hat. Pro americký Computerworld dodal, že pokládá za neuvěřitelné, pokud se takto chová americký subjekt – nedostatek ochoty kooperovat u registrátorů v Rusku nebo Číně podle něj překvapivý naopak není. Mluvčí společnosti Verisign kritiku odmítl a uvedl, že firma všechna podobná oznámení standardně řeší a dále kontaktuje lokální registrátory.
Inkriminované weby distribuující malware používají techniku fast flux. Tato postup obnáší rychlé přepínání IP adres odpovídajících doménovým jménům. Používali ji původně velcí provozovatelé hostingu k rychlému přesměrování provozu v případě, že server selže nebo je třeba zahlcen útokem DDoS. Nyní si fast flux oblíbili i podvodníci. Jednou z možností je používat pro „přepínání“ infikované uzly v botnetu, které pro vlastní server s malwarem fungují jako proxy.
Při této technice nestačí zablokovat škodlivou IP adresu, protože ta se neustále mění a fyzicky je server prakticky nemožné vystopovat. Bylo by třeba vyřadit několik serverů či rozsahů adres. Účinné je proto pouze zrušit/zablokovat příslušné doménové jméno a těžiště boje se přesouvá od poskytovatelů Internetu k registrátorům. V celém problému nejde jen o vůli registrátorů rušit domény, ale i o rychlost tohoto postupu. V ideálním případě reaguje registrátor ihned. Pokud po upozornění výzkumníků následuje diskuse mezi lokálním registrátorem a společností VeriSign, podvodníci mají podle Frieda spoustu času infikovat další počítače.
Otázkou, jak řešit útoky fast flux, se už v současnosti zabývá ICANN (Internet Corporation for Assigned Names and Numbers, mezinárodní organizace spravující doménový systém a přidělování IP adres).
PŘEDPLATNÉ
ČLÁNKY DO MAILU