Vraagtekens over effectiviteit botnet-aanpak
Recentelijk kwamen verschillende operaties in het nieuws waarbij opsporingsinstanties claimden verschillende botnets uit de lucht te hebben gehaald, maar sommige experts vragen zich af hoe effectief dit soort acties zijn. Zo lieten Europol en de FBI begin juli weten het Shylock-botnet grotendeels te hebben uitgeschakeld.
Beveiligingsbedrijf Seculert meldt echter dat het dagelijks nog zo'n 10.000 Shylock-bots verbinding met een server van het bedrijf ziet maken. "Nu kunnen we dit niet vergelijken met het aantal van voor de operatie, maar het roept de vraag op wanneer een takedown van een botnet succesvol is?", zegt Aviv Raff. Hetzelfde geldt voor de operatie die de FBI tegen het GameOver Zeus-botnet uitvoerde.
Na de operatie verscheen er een nieuwe variant die zeer succesvol lijkt te zijn. Raff verwacht dat het slechts een kwestie van tijd is voordat de schade die het uitschakelen van het oude botnet veroorzaakte door de nieuwe variant ongedaan is gemaakt. Raff is niet de enige met vragen. Ook Thomas George van beveiligingsbedrijf Cyscon vraagt zich af wat het effect is geweest van de operatie tegen het Shylock-botnet, aangezien er in de berichtgeving al werd aangegeven dat een deel van de infrastructuur niet was uitgeschakeld.
Nuttig
Toch helpen de acties wel degelijk, stelt Carla Barata van Annubis Networks. "Het is verleidelijk om te denken dat het uitschakelen van botnets zinloos is. Tenslotte wordt het verhaal van een uitgeschakeld botnet vaak opgevolgd door één waarin wordt gesteld dat het botnet gedeeltelijk of weer volledig actief is." Volgens Barata is het vrij normaal dat botnetbeheerders hun botnet weer in handen weten te krijgen.
"Dit maakt pogingen om de botnets uit te schakelen geen verspilde moeite. Alles dat wordt gedaan om te voorkomen dat criminelen het botnet kunnen gebruiken, ook al is het tijdelijk, is een goed iets." Ze waarschuwt dat de uitschakeling van een botnet meestal niet het einde is. Bedrijven waarvan computers onderdeel van een uitgeschakeld botnet zijn moet zich dan ook nog steeds zorgen maken, aangezien het botnet zomaar weer actief kan worden.
Dat hangt er heel erg vanaf of je je alleen richt op het ontmantelen van de botnet infrastructuur, of ook op het opsporen en vervolgen van betrokken cybercriminelen. Zolang je het laatste niet doet, schrikt het weinig af, en dan is de kans dat ze het botnet weer weten op te bouwen of te vervangen vrij groot.
"Volgens Barata is het vrij normaal dat botnetbeheerders hun botnet weer in handen weten te krijgen."
Indien de botnetbeheerders worden opgepakt, en opgesloten, dan is die kans een stuk kleiner.
Het aanvallen van het business model van de criminelen, waardoor ze weer geld, tijd en moeite moeten steken in het herstellen van hun infrastructuur ? Zolang je de crimineel niet in handen weet te krijgen, lijkt die aanpak mij zinnig.
Wat wel helpt is criminelen opsporen en achter tralies zetten in plaats van symptoombestrijding die leidt tot een kanker van nog meer malware.
Het is heel simpel: botnet neerhalen -> veel meer malware -> veel meer besmettingen.
De vigilante neigingen moeten worden bedwongen voor meer intelligente wel werkende oplossingen.
Je valt hun businessmodel niet aan. Je zet ze wel aan tot innovatie en dieper wegkruipen. En het zorgt voor veel meer besmettingen met bots, en dat zorgt weer voor gigantische blacklists die niet meer alles detecteren. Het zorgt ook voor veel meer malware en veel tijd verloren door onschuldige slachtoffers.
Het is overigens niet hun infrastructuur, het is misbruik van de infrastructuur van slachtoffers.
Wat wel helpt is criminelen opsporen en achter tralies zetten in plaats van symptoombestrijding die leidt tot een kanker van nog meer malware.
Het is heel simpel: botnet neerhalen -> veel meer malware -> veel meer besmettingen.
De vigilante neigingen moeten worden bedwongen voor meer intelligente wel werkende oplossingen.
Maar we leven in een connected world met veel plekken waar criminelen zich overal kunnen verbergen. Als we ze al kunnen identificeren, kunnen we ze nog niet arresteren.
Botnets zijn onderdeel van de wereld die we met zijn allen gemaakt hebben. Met het overhoop halen van een aantal van de grotere botnets is een enorme stap gemaakt in het terugdringen van spam. Niet voor altijd nee, het is een wapenwedloop.
Er is overigens geen relatie tussen het neerhalen van een botnet en de hoeveelheid malware. We zijn al lang in een toestand waarin de malware-bouwers full-time 'strijden' met de anti-malware-bouwers, Zie de analyses op onder andere de Virus Bulletin conferenties: malware maken is een zeer professionele industrie. Malware wordt voor veel geld verkocht en de malware bouwers produceren voor dat geld *dagelijks* vele nieuwe versies om de detectie weer een paar uur te omzeilen.
Er is een directe relatie tussen de hoeveelheid pogingen nieuwe botnets te bouwen en de hoeveelheid breed verspreidde malware. Iedere keer als er een botnet wordt neergehaald volgen malware spam runs.
Waar jij het over hebt is het herinfecteren van al geinfecteerde computers om zo anti-virus updates te omzeilen. Daar hebben weinig mensen behalve de reeds geinfecteerde computers last van.
Feit is en blijft dat botnets neerhalen niets goeds oplevert. Het vinden van de criminelen is niet zo moeilijk, er is veel intelligence beschikbaar. Het moet wel worden gebruikt en er moet internationaal politieonderzoek worden uitgevoerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
