Domenico
15/04/11, 13:05
'Neerhalen Coreflood-botnet is best mogelijk aanpak'
Internet Systems Consortium (ISC) oogst bewondering met de innovatieve uitschakeling van botnet Coreflood. De non-profit internetorganisatie kreeg van een Amerikaanse rechter toestemming om zijn eigen commando- en controleservers in de lucht te brengen, nadat de kwaadaardige controle-infrastructuur van CorefIood op 12 april door de FBI was uitgeschakeld.
ISC verwijdert de Coreflood-malware niet van geïnfecteerde pc's, want dat mag juridisch niet, maar vertelt de pc bij elke reboot om de Coreflood-software af te sluiten. Daardoor kan de malware geen schade aanrichten.
Daarnaast verzamelen de commando- en controleservers van ISC de IP-adressen van geïnfecteerde machines. Deze informatie geven ze door aan de betrokken providers, die hierdoor in staat worden gesteld hun klanten te informeren. In tandem hiermee verwijdert Microsoft via de Malicious Software Removal Tool de malware van geïnfecteerde Windows-machines.
'Best mogelijke aanpak'
'Ik verwacht dat dit de komende jaren de dominante aanpak gaat worden', vertelt Michel van Eeten, hoogleraar bestuurskunde aan de faculteit Techniek, Bestuur & Management van de Technische Universiteit (TU) Delft. 'Dit is momenteel de best mogelijke aanpak.'
Het is volgens Van Eeten 'een interessant experiment dat een balans weet te vinden tussen twee extremen: alleen de commando- en controleservers aanpakken, en daarmee de bots ongemoeid laten, of de bots ook aanpakken door via het botnet verwijdersoftware of counter-infecties te laten distribueren. Dat laatste, een droom van sommige beveiligingsexperts, is een onzalig plan om allerlei redenen en bovendien illegaal.'
Van Eeten: 'Dit experiment laat echter de software ongemoeid en stuurt alleen een soort slaapinstructie. Ondertussen worden de IP-adressen gebruikt om de betreffende ISP's te waarschuwen. Die kunnen contact opnemen met de gebruiker en hem of haar een gratis een verwijdertool aanbieden. Gebruikers nemen echter zelf verantwoordelijkheid voor het draaien van de tool, dat wordt niet opgelegd.'
Zwakke punt
De uitschakeling van Coreflood door ISC kent echter één zwak punt, volgens van Eeten. 'Hoeveel mondiale ISP's gaan daadwerkelijk actie ondernemen op basis van deze informatie en hoeveel gebruikers volgen het advies van de ISP daadwerkelijk op?' Uit eerder onderzoek van Van Eeten bleek dat slechts bij één op de tien machine-infecties actie wordt ondernomen door Nederlandse internetproviders, door bijvoorbeeld de klant te informeren of deze in quarantaine te plaatsen.
'Ook bij Bredolab heeft men de IP-adressen aan de ISP's in allerlei landen doorgespeeld, maar de meeste ISP's deden niets met die informatie', aldus Van Eeten. Ook bij het neerhalen van het Bredolab-botnet brachten Nederlandse autoriteiten eigen commando- en controleservers in de lucht. Deze leidde elke met Bredolab geïnfecteerde machine die contact zocht, naar een website met informatie over het opschonen van hun pc.
Opnieuw controle
Botnets worden echter tot nu toe voornamelijk aangepakt via het uitschakelen van de commando- en controleservers. Hoewel zo'n actie 'botherders' het wapens uit de handen slaat, blijven met malware geïnfecteerde computers in de lucht, in afwachting van nieuwe instructies. Dat geeft kwaadwillenden de mogelijkheid om vanaf een nieuwe commando- en controlestructuur opnieuw de controle over het botnet over te nemen.
'Je kunt het vergelijken met Hercules die de de veelkoppige slang Hydra bestrijdt: je kunt een botnet niet uitschakelen door de koppen er af te slaan. Sla er één hoofd af en er zullen twee nieuwe groeien. Dat is het probleem met botnets. Je moet dus een andere manier vinden', vertelde beveiligingsadviseur Rik Ferguson van Trend Micro eerder aan Computable.
Voor een succesvolle aanpak van botnets moeten volgens Ferguson een aantal ingrediënten samenkomen: 'handhaving, een proactieve opstelling van internet service providers en internationale harmonisering van wetgeving.'
bron: computable.nl
ISC verwijdert de Coreflood-malware niet van geïnfecteerde pc's, want dat mag juridisch niet, maar vertelt de pc bij elke reboot om de Coreflood-software af te sluiten. Daardoor kan de malware geen schade aanrichten.
Wat vinden jullie hier eigenlijk van? Zou het niet goed zijn dat dit wel gewoon zou mogen? Dus dat het botnet als het ware tegen zichzelf gebruikt word en zo alle infected computers worden gedesinfecteerd? Ik snap het juridische aspect hier niet echt van maar goed, het is net zoals in het echte leven. Je weet wie de dader is en waar die zich bevind maar juridisch gezien kun je hem niets maken dus gaat hij vrijuit.
Wat mij betreft zouden trojans ed wanneer het mogelijk is op afstand disabled mogen worden.
Internet Systems Consortium (ISC) oogst bewondering met de innovatieve uitschakeling van botnet Coreflood. De non-profit internetorganisatie kreeg van een Amerikaanse rechter toestemming om zijn eigen commando- en controleservers in de lucht te brengen, nadat de kwaadaardige controle-infrastructuur van CorefIood op 12 april door de FBI was uitgeschakeld.
ISC verwijdert de Coreflood-malware niet van geïnfecteerde pc's, want dat mag juridisch niet, maar vertelt de pc bij elke reboot om de Coreflood-software af te sluiten. Daardoor kan de malware geen schade aanrichten.
Daarnaast verzamelen de commando- en controleservers van ISC de IP-adressen van geïnfecteerde machines. Deze informatie geven ze door aan de betrokken providers, die hierdoor in staat worden gesteld hun klanten te informeren. In tandem hiermee verwijdert Microsoft via de Malicious Software Removal Tool de malware van geïnfecteerde Windows-machines.
'Best mogelijke aanpak'
'Ik verwacht dat dit de komende jaren de dominante aanpak gaat worden', vertelt Michel van Eeten, hoogleraar bestuurskunde aan de faculteit Techniek, Bestuur & Management van de Technische Universiteit (TU) Delft. 'Dit is momenteel de best mogelijke aanpak.'
Het is volgens Van Eeten 'een interessant experiment dat een balans weet te vinden tussen twee extremen: alleen de commando- en controleservers aanpakken, en daarmee de bots ongemoeid laten, of de bots ook aanpakken door via het botnet verwijdersoftware of counter-infecties te laten distribueren. Dat laatste, een droom van sommige beveiligingsexperts, is een onzalig plan om allerlei redenen en bovendien illegaal.'
Van Eeten: 'Dit experiment laat echter de software ongemoeid en stuurt alleen een soort slaapinstructie. Ondertussen worden de IP-adressen gebruikt om de betreffende ISP's te waarschuwen. Die kunnen contact opnemen met de gebruiker en hem of haar een gratis een verwijdertool aanbieden. Gebruikers nemen echter zelf verantwoordelijkheid voor het draaien van de tool, dat wordt niet opgelegd.'
Zwakke punt
De uitschakeling van Coreflood door ISC kent echter één zwak punt, volgens van Eeten. 'Hoeveel mondiale ISP's gaan daadwerkelijk actie ondernemen op basis van deze informatie en hoeveel gebruikers volgen het advies van de ISP daadwerkelijk op?' Uit eerder onderzoek van Van Eeten bleek dat slechts bij één op de tien machine-infecties actie wordt ondernomen door Nederlandse internetproviders, door bijvoorbeeld de klant te informeren of deze in quarantaine te plaatsen.
'Ook bij Bredolab heeft men de IP-adressen aan de ISP's in allerlei landen doorgespeeld, maar de meeste ISP's deden niets met die informatie', aldus Van Eeten. Ook bij het neerhalen van het Bredolab-botnet brachten Nederlandse autoriteiten eigen commando- en controleservers in de lucht. Deze leidde elke met Bredolab geïnfecteerde machine die contact zocht, naar een website met informatie over het opschonen van hun pc.
Opnieuw controle
Botnets worden echter tot nu toe voornamelijk aangepakt via het uitschakelen van de commando- en controleservers. Hoewel zo'n actie 'botherders' het wapens uit de handen slaat, blijven met malware geïnfecteerde computers in de lucht, in afwachting van nieuwe instructies. Dat geeft kwaadwillenden de mogelijkheid om vanaf een nieuwe commando- en controlestructuur opnieuw de controle over het botnet over te nemen.
'Je kunt het vergelijken met Hercules die de de veelkoppige slang Hydra bestrijdt: je kunt een botnet niet uitschakelen door de koppen er af te slaan. Sla er één hoofd af en er zullen twee nieuwe groeien. Dat is het probleem met botnets. Je moet dus een andere manier vinden', vertelde beveiligingsadviseur Rik Ferguson van Trend Micro eerder aan Computable.
Voor een succesvolle aanpak van botnets moeten volgens Ferguson een aantal ingrediënten samenkomen: 'handhaving, een proactieve opstelling van internet service providers en internationale harmonisering van wetgeving.'
bron: computable.nl
ISC verwijdert de Coreflood-malware niet van geïnfecteerde pc's, want dat mag juridisch niet, maar vertelt de pc bij elke reboot om de Coreflood-software af te sluiten. Daardoor kan de malware geen schade aanrichten.
Wat vinden jullie hier eigenlijk van? Zou het niet goed zijn dat dit wel gewoon zou mogen? Dus dat het botnet als het ware tegen zichzelf gebruikt word en zo alle infected computers worden gedesinfecteerd? Ik snap het juridische aspect hier niet echt van maar goed, het is net zoals in het echte leven. Je weet wie de dader is en waar die zich bevind maar juridisch gezien kun je hem niets maken dus gaat hij vrijuit.
Wat mij betreft zouden trojans ed wanneer het mogelijk is op afstand disabled mogen worden.