W końcu doczekałem się chwili kiedy mogę głośno i wyraźnie wydać z siebie odgłos pełnego respektu zdziwienia: WOW! Sam fakt, że firma Microsoft wykłada dużą kwotę pieniędzy (ćwierć miliona dolarów !), którą przeznacza na nagrodę dla tego kto pomoże w ujęciu cyberprzestępców odpowiedzialnych za działanie robaka, nie jest niczym co może mnie zaskoczyć. Po pierwsze: sama kwota dla mnie dość przepastna tak dla firmy Microsoft specjalnym wydatkiem nie jest. Po drugie: po tylu wpadkach związanych z bezpieczeństwem systemów Windows (dodatkowo w obliczu zbliżających się nowych wersji tegoż) walka o utraconą reputację jest czymś zupełnie oczywistym i na miejscu. Po trzecie: tego typu zagrywki Microsoft stosował już wcześniej i jak widać sukcesy poprzednich akcji wskazują, że taktyka jest prawidłowa. Ale ja się zupełnie nie tym tak naprawdę zachwyciłem. Ujęło mnie coś zupełnie innego…
Microsoft dostrzegł problem, ale też wymyślił (czytaj: zaangażował się) jak proaktywnie zwalczyć botnet, który w swoje władanie posiadł już 10 milionów komputerów! W swoim oświadczeniu orzekli, że we współpracy z największymi rejestratorami domen internetowych oraz firmami zajmującymi się bezpieczeństwem, postarają się całkowicie uniemożliwić komunikację przestępców z zainfekowanymi maszynami, a co za tym idzie globalnie unieszkodliwić robaka i obsługujący go botnet. Moim skromnym zdaniem jest to konkretny krok naprzód w stronę bezpieczniejszych bezkresów sieci internetowych. I nie mam zamiaru zastanawiać się czy takie działanie powinno należeć do standardowych obowiązków firmy Microsoft, bo w końcu w tym akurat przypadku wina leży po ich stronie. Doceniam takie działanie i jestem ciekaw czy wyniknie z niego coś więcej niż tylko medialny szum.
Od strony technicznej całość ma wyglądać podobnie do promowanej przez nas techniki dns-blackholingu, z zaznaczeniem, że blokady domen będą nakładane jak najwyżej hierarchii serwerów DNS (często już u samego rejestratora). Dzięki temu, zmieniające się każdego dnia domeny (generowane na podstawie specjalnego algorytmu, z częstotliwością nawiązywania połączenia co 3 godziny) serwerów zarządzających i aktualizujących (których obecnie jest ponad 250) robaka staną się niedostępne dla zarażonych złośliwym oprogramowaniem systemów. Im większa ilość rejestratorów i globalnych dostawców usług zaangażuje się w cały proces, tym większe jest powodzenie całej anty-Confickerowej akcji.
Jestem także ciekaw czy ta pierwsza de fakto dziewicza akcja wpłynie pozytywnie na tego typu metody walki z sieciami botnet (blokowanie adresów DNS), co na pewno mocno utrudni cyberprzestępcom życie.
Jako ciekawostkę dodam, że aktualnie sprawdziłem ponad 200 domen z listy (luty 2009) domen służących do aktualizacji robaka i wszystkie są zarejestrowane w dokładnie ten sam sposób:
Domain Name: IHSGU.COM
Registrar: ALICES REGISTRY, INC.
Whois Server: whois.alices-registry.com
Referral URL: http://www.alices-registry.com
Name Server: No nameserver
Status: ok
Updated Date: 11-feb-2009
Creation Date: 11-feb-2009
Expiration Date: 11-feb-2010
a 8 z nich jest zarejestrowanych przez organizację ShadowServer zaangażowaną w walkę z sieciami botnet. Czyli czekają i będa obserwować i być może przejmować zainfekowane maszyny. Jeszcze kilka interesujących przykładów:
Registrant ID:FR-11f5c85979d5
Registrant Name:Conficker Cabal
Registrant Organization:Microsoft
Registrant Street1:One Microsoft Way
Registrant Street2:
Registrant Street3:
Registrant City:Redmond
Registrant State/Province:WA
Registrant Postal Code:98052
Registrant Country:US
Registrant Phone:+1.2023243000
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:cflicker@live.com
Zaangażowane firmy to: ICANN, NeuStar, VeriSign, CNNIC, Afilias, Public Internet Registry, Global Domains International, M1D Global, AOL, Symantec, F-Secure, ISC, badacze z Georgia Tech, The Shadowserver Foundation, Arbor Networks oraz Support Intelligence.
Źródło: http://www.microsoft.com/Presspass/press/2009/feb09/02-12ConfickerPR.mspx
Lista domen wykorzystywanych do komunikacji przez robaka: http://blogs.technet.com/msrc/archive/2009/02/12/conficker-domain-information.aspx
Jeden komentarz do
19 lipca, 2011 o godzinie 11:04
[…] o konkretnych sumach za pomoc w ujęciu właścicieli sieci botnet. Ponad 2 lata temu w roku 2009 zaoferowali 250 000$ za pomoc w rozwiązaniu zagadki botnetu Conficker. Ponownie jest i tym razem, z tą […]