Globaalin ponnistelun myötä uusi mato on hidastunut

Ennen on ollut suuria tietokoneen matoja, mutta ei aivan kuten Conficker.

Ensimmäinen havaittu marraskuussa, mato oli saanut viime aikoina infektoida enemmän tietokoneita kuin mikään mato. Joidenkin arvioiden mukaan se on nyt asennettu yli 10 miljoonaan tietokoneeseen. Mutta sen ensimmäisestä esiintymisestä lähtien se on ollut outoa hiljaista. Conficker tarttuu tietokoneisiin ja levittyy verkkojen ympärille, mutta se ei tee mitään muuta. Sitä voitaisiin käyttää käynnistämään massiivinen tietoverkko, joka lamauttaisi käytännöllisesti katsoen mitä tahansa palvelinta Internetissä, tai se voitaisiin vuokrata roskapostittajiin, jotta voidaan pumpata miljardeja miljardeja roskapostiviestejä. Sen sijaan se istuu siellä, massiivinen tuhoamisen moottori odottaa joku kääntää avaimen.

Viime aikoihin asti monet tietoturva-tutkijat eivät yksinkertaisesti tienneet mitä Conficker-verkko odotti. Torstaina kuitenkin kansainvälinen koalitio paljasti, että ne olivat toteuttaneet ennennäkemättömiä toimia, jotta mato voitaisiin erottaa komentojen ja valvonnan palvelimista, jotka voisivat hallita sitä. Ryhmä koostuu tietoturva-alan tutkijoista, teknologiayrityksistä, verkkotunnusten rekisterinpitäjistä, jotka ovat liittyneet Internetin verkkotunnuksen järjestelmää valvovaan Internet-toimistoon (Assigned Names and Numbers, ICANN).

[Lue lisää: Haittaohjelmien poisto Windows-tietokoneelta]

Tutkijat olivat otta- neet pois Confickerin koodin ja huomannut, että se käyttää uuden tekniikan tapaa soittaa kotiin uusille ohjeille. Joka päivä, mato tuottaa tuoreen luettelon noin 250 satunnaisesta verkkotunnuksesta, kuten aklkanpbq.info. Se tarkistaa sitten kyseiset verkkotunnukset uusista ohjeista ja tarkistaa niiden salauksen allekirjoituksen varmistaakseen, että Confickerin tekijä on luonut ne.

Kun Confickerin koodi halkeiltiin ensimmäisen kerran, tietoturva-asiantuntijat nappasivat joitain näistä satunnaisesti luotuista verkkotunnuksista luomalla ns. palvelimet vastaanottamaan tietoja hakkeroiduista koneista ja tarkkailemaan kuinka mato toimi. Mutta kun infektio tuli yleistyneemmiksi, he alkoivat rekisteröidä kaikki verkkotunnukset - lähes 2000 viikossa - ottaakseen ne pois liikkeestä ennen kuin rikollisilla oli tilaisuus. Jos rohkeat yrittävät rekisteröidä jotain näistä komento-ja-valvonta-alueista, he olisivat huomanneet, että heidät on jo otettu, kuvitteellinen ryhmä nimeltä "Conficker Cabal". Sen osoite? 1 Microsoft Way, Redmond Washington

Tämä on uusi kissa- ja hiiripeli tutkijoille, mutta se on testattu muutaman kerran viime kuukausina. Esimerkiksi marraskuussa toinen ryhmä käytti tekniikkaa hallitsemaan verkkotunnuksia, joita käyttää yksi maailman suurimmista botriiniverkostoista, nimeltään Srizbi, joka katkaisee sen komentojen ja valvonnan palvelimista.

Tuhansilla verkkotunnuksilla, kuitenkin tämä taktiikka voi olla aikaa vievää ja kallista. Joten Confickerin kanssa ryhmä on tunnistanut ja lukinnut nimet uudella tekniikalla, jota kutsutaan verkkotunnuksen esirekisteröinniksi ja lukitukseksi.

Jakamalla työn Conficker-verkkotunnusten tunnistamiseen ja lukitsemiseen, ryhmä on säilyttänyt madon vain tarkistamalla, ei käsitellyt sitä kohtalokkaasti, sanoi Andrew DiMino, The Shadowserver -säätiön perustaja, verkkorikollisuutta valvovasta ryhmästä. "Tämä on tosiaankin ensimmäinen tärkeä ponnistus tällä tasolla, jolla voi olla huomattava ero", hän sanoi. "Haluamme ajatella, että meillä on ollut jonkin verran vaikutusta heikentää sitä."

Tämä on ICANNille, joka on vastuussa Internetin osoitetietojen hallinnasta. Aiemmin ICANNia on kritisoitu siitä, että se käytti hitaasti valtuuksiaan peruuttaa akkreditointi verkkotunnusten rekisteröijiltä, ​​joita rikolliset ovat käyttäneet laajalti. Mutta tällä kertaa on kiitosta rentouttavista säännöistä, joiden vuoksi on vaikea sulkea verkkotunnuksia ja yhdistää ryhmän osanottajia.

"Tässä nimenomaisessa tapauksessa ne rasvattivat pyörät niin, että asiat liikkuvat nopeasti", perustelee David Ulevitch OpenDNS: stä. "Luulen, että heille olisi syytä kiittää … Se on yksi ensimmäisistä kertaa, että ICANN on todella tehnyt jotain myönteistä."

Se, että tällainen monipuolinen organisaatioiden ryhmä työskentelee yhdessä, on huomattava, sanoo RIC Wesson, verkkoturvallisuusalan konsulttitoimiston tukiresurssijohtaja. "Se, että Kiina ja Amerikka ovat tehneet yhteistyötä voittaakseen haitallisen toiminnan maailmanlaajuisesti … se on vakavaa, se ei ole koskaan tapahtunut", hän sanoi.

ICANN ei palauttanut puheluita, jotka etsivät kommenttia tästä tarinasta ja monista Conficker- mukaan lukien Microsoft, Verisign ja Kiina Internet Network Information Center (CNNIC) kieltäytyivät haastateltaviksi tästä artikkelista.

Yksityisesti, jotkut osallistujat sanovat, että he eivät halua kiinnittää huomiota heidän henkilökohtaisiin pyrkimyksiinsä torjumaan sitä, mikä voi olla järjestäytynyt tietoverkkorikollisuutta. Toiset sanovat, että koska ponnistelu on niin uutta, on ennenaikaista keskustella taktiikoista.

Riippumatta koko tarinasta, panokset ovat selvästi korkeita. Conficker on jo havaittavissa hallituksen ja sotilasverkostoissa, ja se on ollut erityisen virulentti yritysverkoissa. Yksi lipsahdus, ja Confickerin tekijät voisivat ohjelmoida verkonsa uudelleen, antaen tietokoneille uuden algoritmin, joka olisi haljeta ja antaa heille mahdollisuuden käyttää näitä tietokoneita haavoittuviin tarkoituksiin. "Meidän on oltava 100-prosenttisesti tarkkoja", Wesson sanoi. "Ja taistelu on päivittäinen taistelu."

(Sumner Lemon Singaporessa osallistui tähän mietintöön.)