A globális erőfeszítéssel új féregfajta lassult

Korábban nagyszámú számítógépes féreg járvány volt, de nem olyan, mint a Conficker.

Először novemberben, a féreg hamarosan több számítógépet fertőzött meg, mint bármelyik féreg az elmúlt években. Egyes becslések szerint most több mint 10 millió számítógépre van telepítve. De az első megjelenése óta furcsán csendes. A Conficker a PC-ket fertőzi és a hálózatok köré terjed, de nem tesz semmit. Használható egy hatalmas internetes támadás elindításához, amely szinte minden internetes szervert leromlott, vagy bérbe adható a spammereknek, hogy több milliárd spam üzenetet küldjön. Ehelyett ott ül, tömeges pusztító motor vár arra, hogy valaki megfordítsa a kulcsot.

Egészen a közelmúltig sok biztonsági kutató egyszerűen nem tudta, mit vár a Conficker hálózat. Csütörtökön azonban egy nemzetközi koalíció kiderült, hogy példátlan lépéseket tettek annak érdekében, hogy a féreg különválasztva maradjon a vezérlő és irányító szervereitől, amelyek ellenőrizhetik azt. A csoport tagjai biztonsági kutatók, technológiai vállalatok, domain-név bejegyzők, akik az Internet Domain Name System felügyeletét végző Internet Corporation for Assigned Names and Numbers (ICANN) -hez csatlakoztak.

[További olvasmány: a Windows számítógépről]

A kutatók megszüntették a Conficker kódját, és felfedezték, hogy egy új technikát alkalmaz, hogy új utasításokat használjon. Naponta a féreg egy 250 listán szereplő véletlenszerű domain név, például az aklkanpbq.info friss listáját állítja elő. Ezután ellenőrzi ezeket a tartományokat az új utasításokhoz, ellenõrzi a kriptográfiai aláírásukat annak biztosítása érdekében, hogy a Conficker szerzője létrehozta õket.

Amikor a Conficker kódját elıször megrepedték, a biztonsági szakértõk felmentették ezeket a véletlenszerűen generált doméneket, létrehozva azokat, kiszolgálókat, hogy adatokat kapjanak a feltört gépekről, és megfigyeljék, hogyan működött a féreg. De ahogy a fertőzés egyre szélesebb körben elterjedt, regisztráltak minden területet - hetente közel 2000-nél -, hogy kivezessék őket a keringésből, mielőtt a bűnözők megbuktak volna. Ha valaha is a rosszfiúk megpróbálták feljegyezni az egyik parancs-vezérlő doménet, akkor azt találták volna, hogy már eleve egy "egy Conficker Cabal" nevű kitalált csoportot vettek fel. Címét? 1 Microsoft Way, Redmond Washington.

Ez egy új típusú kutya-egér játék, de az elmúlt hónapokban néhányszor tesztelték. Novemberben például egy másik csoport használta a technikát, hogy átvegye az irányítást a világ egyik legnagyobb botnet-hálózata által használt domainekről, Srizbi néven ismert, és elvágja a parancs-és vezérlő szervereitől.

Több ezer tartományban, ez a taktika időigényes és drága lehet. Tehát a Confickerrel a csoport azonosította és bezárta a neveket egy új technikával, amelyet domain-előregisztrálásnak és zárolásnak neveznek.

A Conficker domainjeinek azonosításával és bezárásával kapcsolatos munkák megosztásával a csoport csak a féreg ellenőrzését tartotta, nem jelentett végzetes csapást, mondta Andre DiMino, a Shadowserver Alapítvány társalapítója, egy számítógépes bűnözés elleni küzdelem csoportja. "Ez az első olyan kulcsfontosságú erőfeszítés ezen a szinten, amely jelentős különbségeket hozhat" - mondta. "Szeretnénk azt hinni, hogy volt valami hatása a leromlásra."

Ez egy ismeretlen terület az ICANN számára, amely az internet címrendszerének kezeléséért felelős. A múltban az ICANN-t kritizálták azért, mert lassan élt a bűnelkövetők által széles körben használt domain név-nyilvántartók akkreditációjának visszavonására irányuló hatáskörével. De ezúttal dicséretet kap a pihentető szabályok miatt, amelyek megnehezítették a domainek lezárását és a csoport résztvevői összefogását.

"Ebben a konkrét esetben megnövelték a kerekeket, hogy a dolgok gyorsan mozogjanak" - mondta David Ulevitch, az alapító az OpenDNS. "Azt hiszem, meg kell dicsérni, hogy … Ez az egyik első alkalom, hogy az ICANN tényleg valami pozitív."

Az a tény, hogy a szervezetek ilyen sokszínű csoportja együtt dolgozik, figyelemre méltó, mondta Rick Wesson, a Támogatási Intelligencia hálózatbiztonsági tanácsadója. "Az a tény, hogy Kína és Amerika együttműködtek egy rosszindulatú tevékenység globalizálódásában … ez komoly, soha nem történt meg" - mondta.

Az ICANN nem küldött visszajelzést erre a történetre és a Conficker erőfeszítéseinek több résztvevőjére, köztük a Microsoft, a Verisign és a Kínai Internetes Hálózati Információs Központ (CNNIC) elutasította, hogy megkérdezzék ezt a cikket.

Magántulajdonban egyes résztvevők azt mondják, hogy nem akarnak felhívni a figyelmet az egyéni erőfeszítéseikre, számítógépes bűnözéssel foglalkozó csoport. Mások azt mondják, hogy mivel az erőfeszítés olyan új, még korai a taktika megvitatása.

Bármi legyen is a teljes történet, a tétek egyértelműen magasak. A Conficker-t már észlelték a kormányzati és katonai hálózatokon, és különösen a vállalati hálózatokon belül virulens volt. Egy lecsúszás és a Conficker alkotói újraprogramozhatnák a hálózatukat, így a számítógépek új algoritmussal rendelkeznének, amelyet meg kell törni, és lehetőséget kell adni számukra, hogy ezeket a számítógépeket különös célokra használják. - 100 százalékos pontosnak kell lennünk - mondta Wesson. "És a csata napi küzdelem."

(Szingapúrban lévő Sumner Lemon hozzájárult ehhez a jelentéshez.)