Seurataan Botnet-uhkia Virustorjuntasi ei näy

Vaikka perinteiset tietoturvaohjelmistot yleensä vain tarkastavat saapuvat viestinnät ja lataukset haittaohjelmille, ilmainen suojaustyökalu. BotHunter korreloi sen sijaan kaksisuuntaisen viestinnän haavoittuvien tietokoneiden ja hakkereiden välillä. BotHunter "kääntää turvallisuuden paradigman" keskittymällä lähtöön, sanoo Phillip Porras, tietoturva-asiantuntija SRI Internationalissa ja yksi sen luojista.

Botnetit ovat haavoittuneiden tietokoneiden hämäräverkkoja. Tyypillisesti tietokone saa tartunnan haittaohjelmilta sähköpostitse tai vierailemalla vaarantuneessa Web-sivustossa. Infektio voi viipyä jonkin aikaa ennen kuin se kehottaa komento- ja ohjauspalvelinta, joka voi ladata haittaohjelmia tai ottaa tietokoneen roskapostikampanjaan tai palvelunestohyökkäykseen.

BotHunterin avulla verkonvalvoja voi selvittää, mikä järjestelmä on verkko kommunikoi tuntemattoman ulkoisen palvelimen kanssa ja toimii nopeasti estääkseen sen. BotHunter laatii raportin, jossa luetellaan kaikki asiaankuuluvat tapahtumat ja tapahtumalähteet, jotka johtavat sen infektioon.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

BotHunter-sovellus, joka kasvoi SRI Internationalin Cyber-Threat Analytics -projektista - eroaa perinteisestä Tunkeutumisen havainnointijärjestelmiä pitämällä kirjaa tietojen vaihdosta, joka tyypillisesti tapahtuu, kun tietokone on tartunnan haittaohjelma. Määritä verkko, jota haluat seurata, ja BotHunter kuuntelee passiivisesti, kirjautuu anonyymiin liikenteeseen ja lähettää satunnaisesti lähteviä viestejä SRI Internationalin ylläpitämälle mainosohjelmalle, vakoiluohjelmille, viruksille ja matoille. Tällä hetkellä projekti kerää päivittäin 10 000 uutta haittaohjelmatiedonvaihtoa Porrasin mukaan. Hän totesi, että BotHunter alkoi tunnustaa Conflickerin tietojenvaihtojärjestelmät takaisin marraskuussa 2008, hyvin ennen kuin muut tietoturvayritykset suosittelivat uhkaa.

Porras kertoo, että sekä uhka-tietokanta että BotHunter-analyysimoottorit tarkistetaan tarkasti.

BotHunter, joka on ilmainen mutta ei avoin lähdekoodi, toimii yhdessä Unixin, Linuxin, Max OS: n ja Windows XP: n kanssa (jopa erillisessä työpöydällä PC). Windows Vistan versio odotetaan pian. BotHunter ei ole tarkoitettu korvaamaan perinteistä suojausta (palomuuri ja virustorjunta), kertoo Porras, mutta täydentää sitä. Hän sanoo, että sen julkaisun jälkeen on ollut 110 000 latausta maailmanlaajuisesti.

Porras myöntää, että on olemassa muutamia Musta Hatut, jopa valkoiset hatut, keskustelemalla verkossa eri tavoista kiertää BotHunteria.

Robert Vamosi on freelance-tietoturva-kirjailija, joka on erikoistunut rikollisten hakkereiden ja haittaohjelmien uhkaamiseen.