O tym, że ludzie zajmujący się obroną systemów stoją zazwyczaj krok za tymi, którzy te systemy atakują przekonywać chyba nie muszę. Wielokrotnie na łamach naszego bloga fakty przemawiały (mimo formy pisanej :) same za siebie. Podobnie było i tym razem. Firma Microsoft dodała do swojej aplikacji wykrywającej złośliwe oprogramowanie (Malicious Software Removal Tool – MSRT) sygnatury klienta sieci botnet Srizbi. W roku 2008 był to botnet odpowiedzialny za połowę spamu rozsyłanego na całym świecie. Aktualnie botnet ten jest w statystykach w rubryce „inne” gdzie znajdują się wszystkie inne źródła spamu nie pochodzące z najbardziej spamujących botnetów czyli Rustock (35.3%), Mega-D (23.6%), Donbot (6.5%), Xarvester(4.8%), Pushdo(3.5%), Gheg(3.2%), Grum(1.6%) (marshal.com). Po czasowej blokadzie dostawcy ISP McColo, który dość mocno zasilał botnet Srizbi, z powodu błędów w klienckim oprogramowaniu botnetu, nie udało się skutecznie i szybko odzyskać całego botnetu, a przez to Srizbi bardzo szybko stracił pozycję lidera.
W roku 2007 gdy do aplikacji MSRT dodana została sygnatura trojana Storm, dzięki takiemu zagraniu Microsoft oczyszczał około 91 tysięcy zainfekowanych maszyn dziennie. Jak się okazało to było bardzo skuteczne zagranie gdyż po niecałym roku botnet Storm na dobre zszedł z pola walki. Jak bardzo przyczyniła się do tego efektu polityka firmy Microsoft, a jak bardzo polityka właścicieli sieci botnet, którzy (być może) zmigrowali botnet Storm w stronę innej sieci – tego niestety nie wiem. Oczywiście cieszę się, że ktoś kto naprawdę może znacząco przyczynić się do zmniejszenia ilości wysyłanego spamu, zaangażował się i działa. Ale dlaczego działa tak ślamazarnie i nieskutecznie. Dlaczego nie można było zaangażować inżynierów i pójść o krok na przód i wyczyścić klientów z oprogramowania, które odpowiada za 1/3 całego spamu na świecie? Oczywiście gdybym uwielbiał teorie spiskowe to wymyśliłbym, że szefostwo botnetowe zapłaciło (wręcz dogadało się) Microsoftowi, aby Ci mogli marketingowo zagrać, że działają na dobrą kanwę bezpieczeństwa, a tak naprawdę nie wpływają na tych, na których powinni. Oczywiście wierzę, że taka teoria pozostanie jedynie teorią i to w głowach mam nadzieję niewielu czytelników naszego bloga :]
Najfajniejsze jest w tym wszystkim to, że badacze z firmy FireEye bardzo szybko odkryli, że zarażone końcówki botami Srizbi zaczęły aktualizować się w stronę nowego botnetu jakim jest Xarvester. Na tę chwilę nie potwierdzili w 100% swojej teorii, jednak uwzględniając to, że już wcześniej odkryli powiązania pomiędzy tymi dwoma sieciami botnet oraz to, że aktualizację zbiegają się czasowo z dodaniem przez Microsoft do ich narzędzi, sygnatur botów Srizbi – warto poważnie zastanowić się czy nie mają racji :]
Kończąc wywód jest mi szalenie przykro, że moim skromnym zdaniem Microsoft się postarał, ale za słabo, zdecydowanie za słabo… Poczekamy do następnego razu…