Cu eforturi globale, un nou tip de vierme este încetinit

Mai devreme au apărut focare de vierme pe computer, dar nimic asemănător cu Conficker.

Început în noiembrie, viermele a infectat curând mai mulți computere decât viermele în ultimii ani. Prin unele estimări este acum instalat pe mai mult de 10 milioane de PC-uri. Dar, încă de la prima sa apariție, a fost ciudat liniștită. Conficker infectează PC-urile și se răspândește în jurul rețelelor, dar nu face nimic altceva. Ar putea fi folosit pentru a lansa o masă cyberattack, crippling practic orice server de pe Internet, sau ar putea fi închiriate la spammers pentru a pompa miliarde de miliarde de mesaje spam. În schimb, se află acolo, un motor masiv de distrugere care așteaptă ca cineva să întoarcă cheia.

Până de curând, mulți cercetători în domeniul securității pur și simplu nu știau ce aștepta rețeaua Conficker. Joi, însă, o coaliție internațională a arătat că au făcut pași fără precedent pentru a menține viermele separat de serverele de comandă și control care ar putea controla acest lucru. Grupul este format din cercetători în domeniul securității, companii de tehnologie, registri de nume de domeniu care și-au unit forțele cu Internet Corporation for Assigned Names and Numbers (ICANN), care supraveghează sistemul de nume de domeniu al Internetului.

[Citire suplimentară: de pe PC-ul Windows]

Cercetătorii au distrus codul lui Conficker și au descoperit că folosesc o tehnică nouă pentru a-și telefona acasă pentru noi instrucțiuni. În fiecare zi, viermele generează o listă nouă de 250 nume de domenii aleatorii, cum ar fi aklkanpbq.info. Apoi verifică acele domenii pentru instrucțiuni noi, verificând semnătura lor criptografică pentru a se asigura că au fost create de autorul Conficker.

Când codul lui Conficker a fost mai întâi spart, experții în securitate au prins câteva dintre aceste domenii generate aleator, servere pentru a primi date de la mașini hacked și să observe cum funcționează vierme. Dar, pe măsură ce infecția a devenit mai răspândită, au început să înregistreze toate domeniile - aproape de 2.000 pe săptămână - scoțându-le din circulație înainte ca infractorii să aibă un chanc. Dacă vreodată băieții răi ar încerca să înregistreze unul din aceste domenii de comandă și control, ar fi descoperit că au fost deja luați de un grup fictiv numindu-se "Conficker Cabal". Adresa lui? 1 Microsoft Way, Redmond Washington.

Acesta este un nou tip de joc cu pisici și mouse-uri pentru cercetători, dar a fost testat de câteva ori în ultimele luni. În noiembrie, de exemplu, un alt grup a folosit tehnica pentru a prelua controlul asupra domeniilor utilizate de una dintre cele mai mari rețele de botnet din lume, cunoscută sub numele de Srizbi, care o desființează de serverele sale de comandă și control.

Cu mii de domenii, cu toate acestea, această tactică poate deveni consumatoare de timp și costisitoare. Deci, cu Conficker, grupul a identificat și blocat numele folosind o tehnică nouă, numită preînregistrare și blocare de domeniu.

Prin împărțirea activității de identificare și blocare a domeniilor Conficker, grupul a ținut doar viermele, nu a avut o lovitură fatală, a declarat Andre DiMino, co-fondator al Fundației Shadowserver, un grup de supraveghere a criminalității informatice. "Acesta este cu adevărat primul efort-cheie la acest nivel care are potențialul de a face o diferență substanțială", a spus el. "Ne-ar plăcea să credem că am avut un efect în privința asta."

Acesta este un teritoriu neexplorat pentru ICANN, grupul responsabil pentru gestionarea sistemului de adrese al Internetului. În trecut, ICANN a fost criticat pentru faptul că a folosit lent puterea de a revoca acreditarea de la registrele de nume de domeniu care au fost utilizate pe scară largă de criminali. Dar de data aceasta este laudă pentru regulile de relaxare care au făcut dificilă blocarea domeniilor și pentru reunirea participanților din grup.

"În acest caz, au grăsit roțile astfel încât lucrurile să se miște rapid", a spus David Ulevitch, fondator de OpenDNS. "Cred că ar trebui să fie lăudați pentru asta … Este una din primele momente în care ICANN a făcut într-adevăr ceva pozitiv."

Faptul ca un astfel de grup divers de organizatii lucreaza impreuna este remarcabil, a declarat Rick Wesson, CEO al consultantei pentru securitatea retelei, Support Intelligence. "Că China și America au cooperat pentru a învinge o activitate răutăcioasă la scară globală … asta este serios …" Asta nu sa întâmplat niciodată ", a spus el.

ICANN nu a returnat apeluri care să solicite comentarii pentru această poveste și mulți dintre participanții la efortul Conficker, inclusiv Microsoft, Verisign și Centrul de Informare al Rețelei de Internet din China (CNNIC) au refuzat să fie intervievați pentru acest articol.

În mod privat, unii participanți spun că nu doresc să atragă atenția asupra eforturilor lor individuale de a combate ceea ce poate fi bine organizat criminalitatea informatică. Alții spun că, deoarece efortul este atât de nou, este încă prematur să discutăm tactici.

Indiferent de povestea completă, mizele sunt în mod evident ridicate. Conficker a fost deja reperat pe rețele guvernamentale și militare și a fost deosebit de virulent în cadrul rețelelor corporative. O alunecare și creatorii Conficker ar putea reprograma rețeaua lor, oferind computerelor un nou algoritm care ar fi trebuit să fie crăpat și oferindu-le posibilitatea de a folosi aceste computere în scopuri nefaste. "Trebuie să fim 100 la sută corecte", a spus Wesson. "Și lupta este o luptă zilnică."

(Sumner Lemon din Singapore a contribuit la acest raport.)