image

Botnetjager wil legaal botnets hacken

vrijdag 15 april 2011, 10:48 door Redactie, 13 reacties

De manier waarop de FBI het Coreflood botnet uitschakelde opent mogelijk de deur voor het legaal hacken van botnets. De opsporingsdienst kreeg niet alleen toestemming om de domeinnamen die het botnet gebruikte tijdelijk in beslag te nemen, het mocht ook een "stop signaal" naar de besmette computers sturen. Daarbij deed de FBI zich als de command & control servers van het botnet voor. Volgens Gunter Ollmann van botnetjager Damballa, schept dit een precedent.

Bijna elk botnet heeft de mogelijkheid om zichzelf op afstand uit te schakelen of de botnet-agent op de besmette computer te verwijderen. Ollmann merkt op dat Coreflood een ouder type botnet was, dat veel van de moderne beveiligingsmaatregelen mist. Moderne botnets passen authenticatie toe om te voorkomen dat concurrerende cybercriminelen ongeautoriseerde opdrachten naar de bots sturen.

Groen licht
"Nu het uitschakelen van botnets weer in de mode is, is er een precedent geschapen om "stop" opdrachten naar zombie machines te sturen, denk ik dat dit de deur opent naar actieve tegenmaatregelen tegen deze criminele geldmachines." De door de FBI toegepaste techniek zou mogelijk alleen op oudere botnets werken. Toch zijn er ook manieren om moderne botnets uit te schakelen.

Volgens Ollmann worden er regelmatig logische en programmeerfouten in de botnetsoftware aangetroffen. Deze software bevat vaak meer lekken dan de commerciële producten die de meeste gebruikers gebruiken. "Ik hoop dat we nu groen licht krijgen om het hart van het cybercrime keizerrijk aan te pakken, en de controle over hun command & control systemen van binnenuit omver te werpen."

Reacties (13)
15-04-2011, 11:00 door Anoniem
Ik ben wel eens aanwezig geweest bij discussies over dit probleem. Je wilt natuurlijk voorkomen dat het de nog active bots overgenomen worden door een andere beheerder. Maar aan de andere kant wil je natuurlijk ook voorkomen dat er iets mis gaat op de besmette machine.

Misschien was Stuxnet wel van afstand uit te schakelen, maar als je de bot van een PC verwijdert terwijl hij net met een cruciale instelling van een centrifuge bezig is, weet je niet wat er kan gebeuren.

In sommige gevallen had justitie niet de beschikking over alle C&C servers. Je weet dus niet wat de crimineel ondertussen via de andere C&C servers doet. Misschien update hij de bots wel met code die de hele PC onklaar maakt als er een stop-commando komt van de servers die de crimineel niet meer zelf in beheer heeft.

Een C&C server beheert soms diverse versies van een bepaalde bot. Of hij laat verschillende backdoors, sniffers e.d. installeren op verschillende machines. Een onderzoek van een deel van de bots wil niets zeggen over de wijze waarop diezelfde bots op andere machines zijn geinstalleerd. Vooral bots die zich richten op gerichte aanvallen verschillen vaak in de hen opgedragen taken en werkwijzen.

Veel botnets worden verhuurd. Soms krijgen de huurders toegang tot een C&C server. De verhuurder heeft dan echter nog steeds een master-C&C. Die C&C servers die door de huurders worden gebruikt zijn vaak wel te detecteren. Daar maar de bot verbinding mee als hij zijn taken uitvoert (of vlak ervoor). De master C&C wordt minder vaak benaderd. Of misschien zelfs op een geheel andere wijze.

Je moet als justitie heel zeker van je zaak zijn, wil je de bots in een botnet onschadelijk willen maken.

En dan heb ik het nog niet eens over de situaties waarbij een (deel van een) botnet actief gemonitord wordt in het kader van een ander justitieel onderzoek, misschien zelfs in een ander land.

Peter
15-04-2011, 11:51 door Mysterio
De titel kan ik zo niet terugvinden in het artikel.

Detail
15-04-2011, 12:00 door N4ppy
Als we in de echte wereld een crimineel netwerk oprollen dan worden ook de (naieve) katvangers etc opgepakt/gestopt.

Probleem is alleen dat de omvang een (paar) orde(s) hoger is, even 1.000.000 adressen bezoeken gaat een beetje lastig en dan heb je het probleem dat je in vele landen aan de slag moet.
Dus een physieke totaaloplossing is er niet.

De C&C servers zijn soms fysiek aan te pakken maar zullen waarschijnlijk steeds vaker ook geografisch gespreid worden.

Dus de oplossing zal digitaal gezocht moeten worden. Waarschuwen van de gebruikers is al een probleem, wat is een echte botnet waarschuwing en wat is FUD en in hoeveel talen moet je het schrijven?

Dus ik denk dat de oplossing, hoe bruut ook, moet zijn stoppen die hap bij voorkeur zo dat de machine nagekeken moet worden en het niet meer doet totdat de botnet software weg is. Dit is heel vervelend voor de eindgebruiker maar die heeft al aangetoond niet in staat te zijn de boel veilig te houden en veroorzaakt daardoor overlast.

Maar ook niet ideaal......
15-04-2011, 14:42 door Anoniem
Wat als de clients ieder een eigen encryptie sleutel heeft?
15-04-2011, 15:02 door Anoniem
Door N4ppy:
...

Dus ik denk dat de oplossing, hoe bruut ook, moet zijn stoppen die hap bij voorkeur zo dat de machine nagekeken moet worden en het niet meer doet totdat de botnet software weg is. Dit is heel vervelend voor de eindgebruiker maar die heeft al aangetoond niet in staat te zijn de boel veilig te houden en veroorzaakt daardoor overlast.

Maar ook niet ideaal......

Zo jammer weer dit, je geeft aan dat de gebruiker niet in staat is zijn systeem afdoende te beschermen. Je vergeet echter dat er legio redenen te benoemen zijn waarom bepaalde systemen niet beschermd worden. Ik zal je even een klein stukje op weg helpen hierin; "Een organisatie is afhankelijk van een stuk maatwerksoftware welke niet kan werken na installatie van een bepaalde patch of systeemupdate; een organisatie is om juridische redenen niet bevoegd om het OS op apparatuur up 2 date te houden omdat de leverancier van die mooie aansprakelijkheidsclausules in het contract heeft opgenomen." spijtig en ongetwijfeld slecht enzo, maar wel de realiteit. beveiliging is net zo makkelijk als het om je eigen PC'tje thuis gaat (en dan laten velen het al misgaan) maar naarmate de omgeving groter en groter word zal je merken dat de beveiliging als maar complexer wordt.

Draai ik je redenerig even om, mijns insziens ook legitiemer, de onderzoeker kan niet creatiever zijn als een STOP signaal te zenden naar het botnet, en accepteerd voor het gemak dan dus maar dat medische systemen, productiesystemen en heel veel werkstations wereldwijd "het maar gewoon even niet meer doen".

En overlast veroorzaken doe je in mijn visie moedwillig, anderen tot last zijn is ook vervelend maar niet met kwade bedoelingen.
15-04-2011, 16:20 door Mysterio
Door Anoniem:
Door N4ppy:
...

Dus ik denk dat de oplossing, hoe bruut ook, moet zijn stoppen die hap bij voorkeur zo dat de machine nagekeken moet worden en het niet meer doet totdat de botnet software weg is. Dit is heel vervelend voor de eindgebruiker maar die heeft al aangetoond niet in staat te zijn de boel veilig te houden en veroorzaakt daardoor overlast.

Maar ook niet ideaal......

Zo jammer weer dit, je geeft aan dat de gebruiker niet in staat is zijn systeem afdoende te beschermen. Je vergeet echter dat er legio redenen te benoemen zijn waarom bepaalde systemen niet beschermd worden. Ik zal je even een klein stukje op weg helpen hierin; "Een organisatie is afhankelijk van een stuk maatwerksoftware welke niet kan werken na installatie van een bepaalde patch of systeemupdate; een organisatie is om juridische redenen niet bevoegd om het OS op apparatuur up 2 date te houden omdat de leverancier van die mooie aansprakelijkheidsclausules in het contract heeft opgenomen." spijtig en ongetwijfeld slecht enzo, maar wel de realiteit. beveiliging is net zo makkelijk als het om je eigen PC'tje thuis gaat (en dan laten velen het al misgaan) maar naarmate de omgeving groter en groter word zal je merken dat de beveiliging als maar complexer wordt.

Draai ik je redenerig even om, mijns insziens ook legitiemer, de onderzoeker kan niet creatiever zijn als een STOP signaal te zenden naar het botnet, en accepteerd voor het gemak dan dus maar dat medische systemen, productiesystemen en heel veel werkstations wereldwijd "het maar gewoon even niet meer doen".

En overlast veroorzaken doe je in mijn visie moedwillig, anderen tot last zijn is ook vervelend maar niet met kwade bedoelingen.
Leuk voorbeeld, maar in de praktijk is dit een zeer zeldzame uitzondering. Dat je een bepaalde patch niet kan installeren neemt niet weg dat je naast patchen legio maatregelen kan nemen om je systemen uit een botnet te houden. Zeker in een professionele omgeving waar bewust patches niet uitgerold worden.

De praktijk is dat beheerders (terecht) de kat uit de boom kijken met het up to date houden van machines. Voor je het weet zijn ze een zaterdag bezig omdat je nooit zeker weet wat er gebeurd. Daar heeft men geen zin/tijd voor en dus wordt het maar gegooid op de gevoelige software van derden.

Punt is dat als jouw machines in een botnet zitten je een groter probleem hebt dan wanneer je af en toe een zaterdagje door moet of moet investeren in oplossingen naast patches.
15-04-2011, 16:55 door Anoniem
@Mysterio

Zoals je zelf aangeeft, het is een zeer zeldzame uitzondering (afhankelijk van je werkterrein :-)). maar het is wel een legitieme uitzondering.

In niche markten zul je relatief veel doelgerichte en brakke software tegenkomen in het arbeids-/ productieproces.

Natuurlijk neem je in deze situatie aangepaste maatregelen om te voorkomen dat je bewust ongepatchte systemen zo min mogelijk risico lopen. Hiervoor zijn legio mogelijkheden die we grotendeels vast allemaal in meer of mindere mate kunnen oprakelen.
Feit is dat uiteindelijk deze systemen gebruikt worden door mensen, als gereedschap voor de uitoefening van hun werkzaamheden. De grootste vijand van computersystemen is nog steeds de gebruiker, deze is doorgaans niet geïnteresseerd in het systeem maar in de uitvoering van zijn werkzaamheden en dan het liefst zo klantvriendelijk mogelijk. Dus hoppa, daar gaat een USB stick van de klant in het ECG systeem omdat deze klant graag zijn eigen EPD'tje bijhoud.

Het onderscheid tussen theorie (dat mag natuurlijk nooit, moet je voorkomen middels.... vul wat in) en praktijk (het gebeurt ... punt) kunnen we uren over discussiëren maar lijkt mij hier weinig zinvol omdat dit m.i. te ver off topic gaat.

Mijn punt was dus, er bestaan legitieme redenen waarom een systeem niet volledig gepatcht is, terecht geef je aan dat voor (bijna) alles een oplossing is (zaterdagen, zondagen, doordeweekse nachten...). Maar hoe reeël is het om deze systemen moedwillig buiten dienst te stellen?
15-04-2011, 21:03 door [Account Verwijderd]
[Verwijderd]
16-04-2011, 15:03 door konijntje
Zo dat was even zoeken naar mijn account, anoniem duurt het weekeinds zo lang anders...

@Cyrler
Ik ben niet tegen het opschonen van botnets, in tegendeel ik vind het juist goed dat er organisaties zijn die zich hier op richten.

Ik wil het eigenlijk beschouwen als security patches (fixes in dit geval), maar dan moet de insteek wel zijn dat de gebruiker hier zo min mogelijk hinder van ondervind. net als bij de patchrondes. De fixes zullen dus ook goed getest moeten worden. dat er uiteindelijk een percentage machines wel uitvalt is in dat kader ook overeenkomstig aan patchrondes. bijna elke machine heeft al dan niet bedoeld ergens in de inmense set configuratie vinkjes wel ergens iets afwijkends staan.

Ik ben tegen de insteek, zet ze allemaal maar uit en de gebruikers zoeken het daarna zelf maar uit, dit lost niks op en de productieve impact die dit wereldwijd heeft kan ik mij niet beginnen voor te stellen.

Hoe om te gaan met aansprakelijkheid, mischien een leuke voor Arnoud :-). ik kan mij voorstellen dat er sowieso wel meer juridische haken en ogen aanzitten. Mag een derde partij (fbi, microsoft, govcert, politie, ...) op eigen initiatief wel goed bedoelde wijzigingen aanbrengen op systemen? Is het wel wenselijk dat dit toegestaan zou zijn, wat is de volgende stap? preventief wereldwijd alle computersystemen maar scannen op kinderporno? daar zullen vast veel voorstanders voor te vinden zijn omdat dat een verwerpelijke bezigheid is. maar als je dan verder en verder gaat dan gaat onze belastingdienst straks alle nederlandse computers scannen op kentekenplaten, kunnen ze mooi aantonen dat jij met je leasebak op die en die datum in de Ardennen zat.

Inmiddels ben ik wel een heel eind off topic afgedwaald, dus even resumerend.
Ik ben voor het centraal opruimen van botnets, ook als dit buiten kennisgeving van de gebruikers gaat, mits dit doelgericht gebeurt overeenkomstig automatische updates.
16-04-2011, 19:59 door [Account Verwijderd]
[Verwijderd]
17-04-2011, 09:49 door konijntje
Het verhaal begint behoorlijk breed te worden inmiddels, het is nog vroeg op de zondag en de kater is nog een kitten op dit moment. laat ik eerst even een aantal bijzaken beantwoorden zodat we die daarna uit het verhaal kunnen wegstrepen.

Ten eerste; de Anoniem waarnaar je verwijst is dezelfde als het konijntje welke nu aan het typen is.
Ten tweede; "brakke software" software ontwikkeling kost veel tijd, en tijd kost geld en geld moet ergens vandaan komen. uitendelijk betaald de klant. wanneer de afzetmarkt groot is dan is een investering lonend. is de afzetmarkt beperkt tot enkele honderden klanten maximaal dan wordt het product onbetaalbaar. (ga office maar eens kopen als er maar 100 pakketten van verkocht zouden worden). Ergens in het productie proces zullen dus afwegingen gemaakt worden en die zullen doorgaans niet in de functionaliteit van het pakket zitten. Met brakke software wil ik dus aangeven dat de software niet per definitie slecht is, maar dat er eenvoudiger ontwikkelmethoden gebruikt worden.

Goed, terug naar het verhaal dan maar ik moet tenslotte mijn huis ook nog poetsen vanmorgen.

Inderdaad is de onderzoeker niet verantwoordelijk te houden voor een destructieve actie door de botnetbeheerder, we laten criminelen hopelijk ook niet lopen omdat ze anders wel eens iets gevaarlijks zouden kunnen doen. De afweging wordt wel gemaakt overigens maar dan is dat meer gerelateerd aan tijdstip van actie (druk verkeer, niet achtervolgen).

Het inbeslagnemen van goederen zal inderdaad altijd langs een rechter moeten, ook hier geen discussie. (saai eigenlijk)

Het infiltreren van botnetwerken, en proberen controle over te nemen over dit botnet teneinde deze zichzelf te laten vernietigen zie ik als een goede mogelijkheid. Zeker als de grote softwarehuizen (inclusief de linux communities) aan deze effort meewerken middels removal tools in hun update/patch processen.

Botnets zijn een groot probleem op verschillende gebieden, malware in de breedste zin van het woord ondermijnt de betrouwbaarheid van datgene waar we meer en meer afhankelijk van worden. computersystemen. en zal dus ook in de breedte moeten worden aangepakt.

pfffft, wat een verhaal weer. ik ga poetsen, fijne zondag.

"The internet: worlds greatest resource for collective stupidity"
18-04-2011, 12:24 door Mysterio
@Konijntje: Eenvoudige software is in de meeste gevallen niet de brakke software. Juist de complexe alleskunners leveren de grootste problemen op. Daarnaast is de vergelijking met gereedschap, die je eerder aanhaalde, een prachtige vergelijking. In een bedrijfssituatie waarbij een gereedschap een kritisch en 'gevaarlijk' onderdeel is van het proces, mag je aannemen dat het personeel opgeleid wordt in hanteren van dit gereedschap.

Een lasser wordt geleerd zijn apparaat niet te gebruiken om de peuk van zijn buurman aan te steken. Dat het kan betekent niet dat het goed is. En als dit lasapparaat een kritisch onderdeel is van het bedrijf zal onjuist hanteren van dit apparaat zeker ongewenst zijn en dusdanig gecommuniceerd worden.

Als jouw computersysteem maatwerk is en niet up to date gehouden kan worden, dan moet het besef er zijn bij de medewerkers dat ze een gevoelig geval in handen hebben. USB sticks kun je uit je bedrijf bannen. Je kan communicatie protocollen hanteren en meer van dien, om het bewustzijn van de gebruiker te verhogen. "Ik wist het niet" mag geen legitiem excuus meer zijn. Laat je medewerkers documenten ondertekenen zodat ze bewust zijn van de regels en bewust van de consequenties.

Hoe dan ook, als jouw bedrijfscomputers in een botnet zitten, is het goed mis. Zo goed mis dat je aantoont dat je niet over de middelen of kennis bezit om verantwoordelijk je systemen te kunnen beheren. Een botnet is niet alleen voor jou vervelend, maar ook voor de rest van de wereld vormt het een risico. Dat risico is groter dan jouw delicate systemen, want die zijn al gecomprimeerd. Als jouw computers tegen wil en dank worden opgeschoont of de nek om worden gedraaid door de FBI en Microsoft, is dat je eigen dikke schuld. Voor hetzelfde geld sluit de provider je af.

Het is inderdaad nogal zuur als je bedrijfssysteem onderuit gaat omdat je opgeschoont bent. Nu kun je nog iemand aanwijzen om tegen te klagen en met een beetje geluk krijg je nog ondersteuning ook. Als je systemen onderuit gaan omdat je een fikse infectie hebt opgelopen kun je niemand aanwijzen.
18-04-2011, 15:07 door Anoniem
Dan mogen we ook microsoft servers hacken, ze hebben het aller grootste botnet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.