211service.com
De botnets die niet zullen sterven
Vorige week haalde de FBI het Coreflood-botnet neer - een groot netwerk van zombiecomputers die waren gebruikt om persoonlijke informatie ter waarde van honderdduizenden dollars te stelen. Maar de mislukking berustte op een belangrijke zwakte van conventionele botnets: ze worden bestuurd door een paar centrale computers. Schakel die centrale machines uit en u schakelt het hele netwerk van maar liefst honderdduizenden gecompromitteerde pc's uit. Onderzoekers waarschuwen dat deze zwakte niet bestaat in botnets die peer-to-peer communicatieprotocollen gebruiken, waarbij berichten van machine naar machine worden doorgegeven in plaats van van een centraal commando te komen.
Peer-to-peer-botnets kunnen vaker voorkomen als gecoördineerde aanvallen op conventionele botnets doorgaan. Als ze het gevoel hebben dat gecentraliseerde botnets meer de neiging hebben om door de autoriteiten te worden stilgelegd, zullen ze overgaan op peer-to-peer-botnets, zegt Cliff Zou , een onderzoeker op het gebied van netwerkbeveiliging aan de University of Central Florida.
Een botnet is een netwerk van computers die, onbekend bij hun eigenaren, zijn aangetast door virussen of wormen en op afstand kunnen worden bestuurd. Spammers en criminele organisaties gebruiken ze om te trollen naar creditcard- en bankrekeninggegevens.
Sommige botnets die al zijn geïmplementeerd, hebben peer-to-peer-communicatie gebruikt. Computers in zo'n netwerk houden een lijst bij van peers - andere computers in het netwerk - en geven informatie aan hen door. Wanneer de controller een commando aan het botnet wil geven, voegt hij het in een of meer van de peers in en verspreidt het zich geleidelijk over het netwerk.
Maar dit ontwerp is ingewikkeld om te implementeren, en autoriteiten zijn in staat geweest om deze netwerken te infiltreren en valse commando's, bestanden en peer-informatie te verspreiden, waarbij communicatie werd onderschept en verstoord.
Stephan Eidenbenz van Los Alamos National Laboratory en collega's ontwierpen en simuleerden een botnet dat veel veerkrachtiger zou kunnen zijn. Ze beschrijven het in een aankomende krant in Computer netwerken .
Hun hypothetische botnet zou zichzelf willekeurig in een hiërarchie configureren, waarbij peers alleen opdrachten accepteren van computers hoger in de hiërarchie. Elke computer die door een buitenstaander wordt overgenomen, zou het netwerk dus minder snel kunnen verstoren. Het botnet zou zijn hiërarchie elke dag opnieuw configureren, zodat buitenstaanders weinig tijd zouden hebben om de computers op het hoogste niveau op te sporen die de meeste schade zouden kunnen aanrichten.
De techniek, samen met sterke encryptie, zou dergelijke botnets moeilijk te analyseren en aan te vallen maken. We denken dat het behoorlijk effectief kan zijn, waarschuwt Eidenbenz.
Zou verwacht dat sterkere peer-to-peer botnets slechts een kwestie van tijd zijn. Zodra iemand manieren schrijft om de beveiliging van een botnet te versterken in eenvoudig te implementeren code, zal dit type botnet zich snel verspreiden, zegt hij.
Maar Brett Stone-Gross , een computerbeveiligingsonderzoeker bij UC Santa Barbara, denkt dat zelfs met verbeteringen, peer-to-peer-botnets te gecompliceerd en kwetsbaar zullen blijven om te worden overgenomen. Bovendien, zegt hij, blijven conventionele botnets erg moeilijk te bestrijden. [Conventionele] botnets zijn nog steeds het meest effectief, zegt hij. Ze zijn eenvoudig in te stellen. Het komt echt neer op eenvoud versus complexiteit. Zelfs als je een webserver uitschakelt, verschijnen ze ergens anders weer. Je zult het zien met Coreflood. Over een paar weken komt hij weer online.