Badacze z firmy 3com, a konkretniej ci od Tipping Pointa, opublikowali analizę dobrze znanego publiczności botnetu – Krakena (czy też Bobaxa jak kto woli) oraz przypuścili atak na jego serwer zarządzający.
Do sprawy zabrali się od strony klienta, tj. wykonali analizę wsteczną binarki bota, następnie – już znając protokół – podszyli się pod serwer C&C botnetu. Było to możliwe, ponieważ Kraken ma zakodowane w kliencie domeny zapasowych serwerów sterujących. Udając C&C przez tydzień, odnotowali ponad 1.8 miliona połączeń z około 65 tysięcy unikalnych adresów IP. Po wyeliminowaniu dynamicznych zakresów IP oraz uwzględnieniu innych wyników analizy np. unikalnych kluczy generowanych przez boty, liczba systemów, które podłączyły się do fałszywego C&C została oszacowana na 25 tysięcy.
Badacze oszacowali, że są w stanie przechwycić od 4 do 14% całkowitej liczby zainfekowanych systemów, kierując się szacunkową liczbą botów podawanych przez Symanteca czy Damballę.
Tutaj pojawił się jednak problem etyczny: wyczyścić przechwycone systemy czy nie? Panowie chcieli systemy naprawić, jednak zdecydowanie zabronił im tego ich szef. Niestety, mimo szczytnego celu, takie działanie byłoby sprzeczne z prawem. Uprzedzając ewentualne teorie, że to przecież boty połączyły się do fałszywego C&C, a nie odwrotnie, z punktu widzenia prawa nie ma to znaczenia. Oczywiście z punktu widzenia prawa amerykańskiego ;-). Jak to jest z punktu widzenia polskiego prawa powinien się wypowiedzieć specjalista.
Pod koniec posta zostało zadane czytelnikom pytanie, czy uważają, że boty powinny zostać wyłączone, czy nie. Wnioski są raczej oczywiste, większość komentujących była za usunięciem botów, a przytaczane argumenty przeciwko były najczęściej natury prawnej.
AKTUALIZACJA: 2008/05/05 11:23
A co Wy myślicie ? Powinni naprawiać? Czy nie?
4 komentarze do
15 czerwca, 2008 o godzinie 15:44
Ja bym nie tylko przeczyścił systemy ale również zabezpieczył je przed kolejnymi infekcjami a na pulpicie użytkowników zostawił notkę wyjaśniającą.
15 czerwca, 2008 o godzinie 21:43
Problem jest dalece bardziej skomplikowany. Gdyby w realnym swiecie ktos przyszedl do Twojego domu, otwierajac zamek, ktorego aktualnie uzywasz – niech to bedzie zwykly najpopularniejszy zamek yeti – i zamontowal Ci w drzwiach zamek nowej generacji i nalepil kartke na drzwiach od wewnatrz, ze teraz bedziesz bezpieczniejszy – mimo, ze byloby milo ;] to jednak byloby to przestepstwo… Tego typu problemy sa generalnie trudne w ocenie. Czy mozna lamiac prawo – pomagac? :}
6 sierpnia, 2008 o godzinie 12:22
Borys ma rację,z problemem powinno się walczyć innymi sposobami.Wysłanie nawet jakiejkolwiek informacji mija się z celem .Primo ,większość użytkowników nie ma pojęcia o tym co nazywamy „polityką bezpieczeństwa”.Secondo , moim zdaniem istnieje coś w rodzaju efektu psychologicznego.Wywołanie iluzji ,że ktoś przeanalizował zasoby komputera i jeśli nawet zrobił to w dobrej wierze ,ma takie możliwości i nie mamy gwarancji ,że zrobi to drugi raz.
18 kwietnia, 2009 o godzinie 21:46
„mimo szczytnego celu, takie działanie byłoby sprzeczne z prawem”
Wydaje mi się że chodzi tu o ustawę która zabrania ingerowania w czyjeś dane, bez zgody właściciela. Ale mogę się mylić :)