Dat de Conficker worm op 1 april niet het einde van het internet betekende is inmiddels duidelijk, maar wat gebeurt er met de miljoenen nog besmette machines? Dat is volgens Rik Ferguson, beveiligingsexpert bij Trend Micro, een taak van de internetproviders, zo laat hij aan Security.nl weten. In het geval van Conficker zijn er echter meer partijen die eens eerlijk naar zichzelf moeten kijken, zo gaat de “Solutions Architect” verder. Hij noemt de opbouw van de Conficker-hype vervelend. Zo kreeg de worm veel media aandacht, met name in de nationale pers, maar werd de dreiging niet goed uitgelegd.

Veel gebruikers dachten daardoor dat ze op 1 april besmet zouden raken. Op Twitter lieten mensen zelfs weten dat ze hun computer op die dag niet zouden aanzetten. “Een fundamentele misvatting over wat de worm op 1 april zou gaan doen. Mensen dachten dat het allemaal op 1 april zou gebeuren en het probleem daarna voorbij zou zijn.” In werkelijkheid werd alleen de domeinnaam generator actief en maken de bots nu elke dag met 500 potentiële update-servers verbinding.

Contraproductief
Alle aandacht noemt Ferguson dan ook contraproductief. “Het creëert een valse indruk dat het een eendaagse gebeurtenis is. Dat op 2 april iedereen weer veilig zou zijn.” Verder dachten veel mensen dat niemand op 31 maart besmet was en iedereen op 1 april besmet zou raken, terwijl dat niet het geval was. “Het verhogen van het bewustzijn is goed, zolang het maar verantwoord gebeurt, en dat is nu niet het geval.” Ferguson vindt niet dat de anti-virusbedrijven voor de hype verantwoordelijk zijn, aangezien vendors allemaal netjes vertelden dat er niets zou gebeuren. "Misinterpretatie door de pers," zo gaat Ferguson verder. Hij vindt dat de pers niet echt behulpzaam is geweest. Zeker als je naar sommige koppen kijkt en wat de anti-virus experts zelf in het artikel zeggen.

Blokkeren websites
Conficker gebruikt local DNS caching om bepaalde websites te blokkeren. zo stopt het bezoeken van websites. Er is een manier om de worm te slim af te zijn en toch die geblokkeerde sites te bezoeken. In dat geval moeten gebruikers de local dns service stoppen, zoals Ferguson op zijn eigen blog uitlegt.

Het bestrijden van Conficker ging in eerste instantie door het blokkeren van de domeinen waar de worm verbinding mee wilde maken. Succesvol, maar niet succesvol genoeg. Toch houdt Ferguson de mogelijkheid open dat de worm die domeinen niet via een externe DNS hoeft te resolven, omdat het al de lokale DNS client kan gebruiken. Als het een Command en Control server probeert te contacten, gebruikt het een IP-adres, geen domeinnaam.

Het kan dus zijn dat het de lokale DNS client aanpast, zodat die naar een IP kan resolven dat het al kent en die al aan de cache is toegevoegd. “Alles wat je op de publieke DNS infrastructuur doet maakt dan niet meer uit.” Het gaat hier om een theorie waar Ferguson nog geen bewijzen voor heeft, maar Conficker heeft al voldoende trucs voor de onderzoekers in petto gehad. “We weten wat het blokkeert, maar niet wat het resolved.”

Ferguson merkt op dat de makers van Conficker zich al veel rustiger gedragen dan met andere botnets het geval is. Ze waren in eerste instantie aan het bouwen, zoals de A, B en B++ varianten lieten zien. Met de C-variant hebben ze de vorm en functie veranderd, en ligt nu de nadruk op het beschermen van het botnet. “Ze hebben genoeg besmette machines en infecteren geen nieuwe computers meer.” Daarnaast is het gevreesde 1 april algoritme helemaal niet nodig om alle besmette machines te updaten, aangezien dit ook via de P2P-functionaliteit kan. “Het is in ieder geval zeer gedurfd dat ze gestopt zijn met het infecteren van nieuwe machines.”

Doel Conficker
De vraag blijft wat de makers van Conficker met hun botnet gaan doen. Ferguson acht het mogelijk dat het misschien de mensen zijn die ook achter de “search engine optimization “ (SEO) zijn. Door het aanjagen van een hype hebben de makers de publieke opinie beïnvloed. Mensen zijn massaal aan het Googlen geslagen om informatie over Conficker te vinden. In veel gevallen wijzen de zoekresultaten naar kwaadaardige websites die nep-virusscanners proberen te installeren. Toen bekend werd dat Nmap ook de Conficker worm zou detecteren deed Ferguson een zoekopdracht op Nmap en Conficker. De eerste drie resultaten leidde naar een nep-virusscanner.

Verantwoordelijkheid ISPs
Conficker is via de standaard tools van bijna alle anti-virusbedrijven te verwijderen, maar de kans dat gebruikers die niet updaten en de machines lieten infecteren actief naar een ontsmettingsmiddel gaan zoeken. Volgens Ferguson is het te doen om het Conficker botnet te ontsmetten, maar roept het een interessante vraag op, die ook voor andere malware geldt. De internetproviders kunnen hierin een belangrijke spelen, die ze op dit moment niet vervullen.

Als je denkt aan het verkeer dat Conficker genereert en het soort partijen die hierbij betrokken zijn, zoals ICANN, dan heb je het over grote instanties. "Het is heel eenvoudig voor een ISP om te zien waar de besmette machines zich precies bevinden en die mensen zijn hun klanten. Dus ze zouden alleen al een morele taak hebben om hen te waarschuwen en te zeggen dat ze geïnfecteerd zijn.” Aanvullend kan men dan links naar verwijdertools geven. Dat zou al enorm helpen, aangezien heel veel mensen niet eens weten dat ze geïnfecteerd zijn. En dat geldt ook voor veel andere botnet en spam activiteiten, waarbij ISPs een veel grotere rol kunnen spelen dan dat ze nu doen.

Ferguson is het niet eens met het verweer van sommige ISPs dat ze alleen de verbinding leveren. "Dat werkt ook niet voor het waterbedrijf als er opeens bruine smurrie uit je leiding komt. Dan ga je als consument ook klagen. Misschien moeten we dezelfde logica op internetproviders toepassen."

Goedkoop internet
De werkelijke oorzaak ligt veel dieper, omdat we met z’n alleen het idee hebben aangewakkerd dat internettoegang gratis en vrij toegankelijk voor iedereen moet zijn, zo merkt de Solutions Architect op. “Er is geen enkele dienst op aarde die gratis is, zelfs niet water. Je betaalt overal voor. We moeten naar het huidige breedbandmodel kijken, waar mensen denken dat ze recht op een supersnelle verbinding voor bijna niets hebben.” Dat dwingt providers om de kosten te verlagen en in die vraag mee te gaan. Maar daardoor zijn ze bang om technologieën te introduceren die een "clean feed" kunnen leveren, aangezien dat de kosten van de verbinding laat stijgen. "We hebben onszelf in dit moeilijke parket gebracht."

Het belangrijkste volgens Ferguson is om een "clean feed" dienst aantrekkelijk voor consumenten te maken. Clean draait dan niet om de inhoud, maar of het verkeer kwaadaardig is of niet. "Wat mensen op het internet doen is helemaal hun eigen zaak." We moeten ervoor zorgen dat consumenten het voordeel kennen van een clean feed, zodat er een vraag ontstaat. Providers zouden een deel van de kosten voor een schone verbinding bij de consumenten moeten neerleggen.

Privacy
Clean feed mag dan mooi zijn, maar veel gebruikers zullen er niet blij mee zijn dat providers hun verkeer bekijken. "Daarom is het zo belangrijk om te benadrukken dat het niet om de inhoud gaat, maar of het kwaadaardig is of niet. Mensen maken zich ook geen zorgen als hun virusscanner die beslissing maakt en dezelfde technologie zou dan bij de ISP worden toegepast. Het draait gewoon om educatie, zodat mensen beseffen dat dit niet om afluisteren gaat, dit is geen Phorm.” Hij vergelijkt het dan ook met een waterfilter. Alleen de rotzooi blijft achter terwijl het water er gewoon doorheen gaat.

Educatie
Het belangrijkste onderdeel als het om security gaat, wat dan ook, is educatie. Zonder educatie zal elk security initiatief falen, of het nu gaat om het bestrijden van malware of het stoppen van het lekken van gegevens. “Mensen zullen er altijd een weg omheen vinden. Providers, overheden en bedrijven moeten daarom het bewustzijn vergroten.” Ferguson vergelijkt het met de keuze uit energieleveranciers. Je kunt voor groene stroom kiezen, dat iets duurder is, maar wel groen of voor normale stroom. Het probleem is natuurlijk dat mensen die niet security bewust zijn ook niet voor een clean feed zullen kiezen. "Daarom is educatie ook zo belangrijk."

Bruce Schneier liet onlangs weten dat eindgebruikers niet in staat zijn om zichzelf te beveiligen en dat dit te taak van technologie en beveiligingsbedrijven is. "Ik had onlangs een gesprek met iemand van het Cabinet Office, die mij vroeg hoe het kan dat eindgebruikers hun virusscanner kunnen uitschakelen. Waarom zit die functionaliteit eigenlijk in het product vroeg hij mij?" Iets waar ook Ferguson geen antwoord op weet.

Opvoeden
Al jaren proberen instanties en overheden gebruikers op te voeden, klaarblijkelijk zonder succes. Daar is Ferguson het niet helemaal mee eens. "Op een zekere hoogte werkt het wel. Het probleem is dat de aard van de dreiging is veranderd, maar de educatie niet." Mensen zouden inmiddels wel weten dat ze geen vreemde bijlagen moeten openen. Dat heeft allemaal met educatie te maken. "Als je het e-mail gedrag met tien jaar geleden vergelijkt, dan vind je een groot verschil. Mensen zullen minder snel in een ‘I Love You’ e-mail trappen."

Nu sturen de cybercriminelen kortingsbonnen van McDonalds. Het zijn geen slecht gespelde e-mails met een link, maar goed bedachte social engineering aanvallen. “Normale mensen hebben geen idee dat het aanvallers tegenwoordig allemaal om het geld te doen is of hoe criminelen met hun activiteiten geld verdienen.” Ferguson merkt op dat "Security mensen" in het algemeen de fout maken dat ze zichzelf als referentie nemen. "Wij begrijpen teveel om als goed referentiepunt te dienen voor mensen die niet in de beveiligingsindustrie werken."