211service.com
Een plan om de Conficker-worm te vangen
Op 1 april zal een computerworm genaamd Conficker, die al miljoenen machines wereldwijd heeft geïnfecteerd, iets slechts doen, hoewel niemand precies weet wat. Sommige experts vrezen dat een leger geïnfecteerde machines de opdracht zou kunnen krijgen om een gecoördineerde aanval uit te voeren of een spervuur van spam uit te zenden. Maar een tool vandaag uitgebracht zou kunnen helpen de impact te verminderen door grote bedrijven en instellingen in staat te stellen geïnfecteerde machines snel uit te roeien door hele netwerken te scannen op tekenen van infectie.
Analyse van de Conficker-worm heeft eerder aangetoond dat geïnfecteerde computers op 1 april naar huis bellen om een nieuwe reeks instructies te ontvangen. Het is al mogelijk om de worm te detecteren door machines afzonderlijk te scannen, maar dit is een relatief tijdrovend proces. Het is ook mogelijk om de bug te detecteren door te kijken naar uitgaande communicatie die via een netwerk wordt verzonden, maar de nieuwste versie van Conficker is ontworpen om tot 1 april stil te blijven.
Dan Kaminsky , directeur penetratietesten voor het in Seattle gevestigde beveiligingsbedrijf IOActive , hielp bij het maken van de nieuwe scantool en zegt dat het een geïnfecteerde machine kan identificeren door de manier te herkennen waarop het zich presenteert aan het bredere netwerk. Dit maakt het snel en gemakkelijk om op afstand naar de worm te scannen en vereist geen speciale toegang tot machines. Het is alsof je door een wijk rijdt op zoek naar huizen met grote borden op hun deuren, zegt Kaminsky.
De tool is gemaakt naar aanleiding van Tillmann Werner en Felix Leder, leden van een onafhankelijke onderzoeksorganisatie genaamd the Honeynet-project , vroeg Kaminsky om hun onderzoek naar Conficker te herzien. Het paar had ontdekt dat de worm de manier verandert waarop een machine op een netwerk verschijnt. Kaminsky greep dit en suggereerde dat de onderzoekers een tool maken die deze informatie gebruikt om geïnfecteerde machines te vinden. De onderzoekers bouwden zo'n tool en werkten het hele weekend door om het klaar te maken voor brede distributie naar leveranciers van andere beveiligingssoftware. Welke kwetsbaarheidsscanner een bedrijf ook gebruikt, het zou hier aan het eind van de dag ondersteuning voor moeten hebben, zegt Kaminsky.
Bruce Schneier , Chief Security Technology Officer bij BT tegenruit , zegt dat het vermogen van de nieuwe tool om het virus op afstand op te sporen nuttig zou moeten zijn, omdat het mensen in staat zal stellen zeer snel een groot aantal machines te scannen. Dat is belangrijk, zegt Schneier, omdat de worm zo'n vervelende plaag is. Conficker is een extreem goed geschreven, extreem goed ontworpen, extreem goed uitgevoerde worm, zegt Schneier. Het is echt een indrukwekkend stuk werk, en er zit iemand heel slim achter. Maar Schneier voegt eraan toe dat het belangrijk is voor computergebruikers en beheerders om hun machines te beschermen tegen een verscheidenheid aan malware, niet slechts tegen één enkele bedreiging.
Als je een goede omgeving hebt gehad, hoef je je hier geen zorgen over te maken, zegt Rijke Mogull , oprichter van het beveiligingsadviesbureau Securose , die in het weekend de Honeynet-onderzoekers en Kaminsky hielp in contact te komen met leveranciers van netwerkbeveiliging. Mogull merkt op dat Microsoft al verschillende patches heeft uitgebracht die de kwetsbaarheid blokkeren die Conficker gebruikt om een machine te infecteren. Hij zegt echter dat bedrijven die zich zorgen maken over Conficker er meteen naar moeten gaan scannen, nadat ze hebben gecontroleerd of hun netwerkbeveiligingstools zijn bijgewerkt.
Kurt Rohloff , een wetenschapper die internetwormen bestudeert bij het onderzoeks- en ontwikkelingsbedrijf BBN Technologies , zegt dat de tool nuttig zou kunnen zijn, hoewel hij betwijfelt of er tijd is om elke computer die met de worm is geïnfecteerd te vinden en te neutraliseren. Rohloff zegt dat de nieuwe scanner kan worden gebruikt om preventieve actie te ondernemen door geïnfecteerde hosts te identificeren en ze van het netwerk te verwijderen, hoewel hij toegeeft dat deze aanpak drastisch is, omdat je de connectiviteit verwijdert.
Kaminsky merkt op dat de tool bedoeld is voor organisaties met grote netwerken. Voor individuen, zegt hij, is de beste aanpak om ervoor te zorgen dat de nieuwste beveiligingsupdates zijn geïnstalleerd en dat up-to-date antivirussoftware draait. Omdat Conficker een computer blokkeert om toegang te krijgen tot bepaalde beveiligingswebsites, kunnen gebruikers de worm testen door te proberen die sites te bezoeken, zegt Kaminsky. Werner en Leder zijn van plan om de volgende dag een paper uit te brengen waarin de technische details van hun ontdekking worden beschreven.