"Internetproviders moeten Conficker worm opruimen"
Dat de Conficker worm op 1 april niet het einde van het internet betekende is inmiddels duidelijk, maar wat gebeurt er met de miljoenen nog besmette machines? Dat is volgens Rik Ferguson, beveiligingsexpert bij Trend Micro, een taak van de internetproviders, zo laat hij aan Security.nl weten. In het geval van Conficker zijn er echter meer partijen die eens eerlijk naar zichzelf moeten kijken, zo gaat de “Solutions Architect” verder. Hij noemt de opbouw van de Conficker-hype vervelend. Zo kreeg de worm veel media aandacht, met name in de nationale pers, maar werd de dreiging niet goed uitgelegd.
Veel gebruikers dachten daardoor dat ze op 1 april besmet zouden raken. Op Twitter lieten mensen zelfs weten dat ze hun computer op die dag niet zouden aanzetten. “Een fundamentele misvatting over wat de worm op 1 april zou gaan doen. Mensen dachten dat het allemaal op 1 april zou gebeuren en het probleem daarna voorbij zou zijn.” In werkelijkheid werd alleen de domeinnaam generator actief en maken de bots nu elke dag met 500 potentiële update-servers verbinding.
Contraproductief
Alle aandacht noemt Ferguson dan ook contraproductief. “Het creëert een valse indruk dat het een eendaagse gebeurtenis is. Dat op 2 april iedereen weer veilig zou zijn.” Verder dachten veel mensen dat niemand op 31 maart besmet was en iedereen op 1 april besmet zou raken, terwijl dat niet het geval was. “Het verhogen van het bewustzijn is goed, zolang het maar verantwoord gebeurt, en dat is nu niet het geval.” Ferguson vindt niet dat de anti-virusbedrijven voor de hype verantwoordelijk zijn, aangezien vendors allemaal netjes vertelden dat er niets zou gebeuren. "Misinterpretatie door de pers," zo gaat Ferguson verder. Hij vindt dat de pers niet echt behulpzaam is geweest. Zeker als je naar sommige koppen kijkt en wat de anti-virus experts zelf in het artikel zeggen.
Blokkeren websites
Conficker gebruikt local DNS caching om bepaalde websites te blokkeren. zo stopt het bezoeken van websites. Er is een manier om de worm te slim af te zijn en toch die geblokkeerde sites te bezoeken. In dat geval moeten gebruikers de local dns service stoppen, zoals Ferguson op zijn eigen blog uitlegt.
Het bestrijden van Conficker ging in eerste instantie door het blokkeren van de domeinen waar de worm verbinding mee wilde maken. Succesvol, maar niet succesvol genoeg. Toch houdt Ferguson de mogelijkheid open dat de worm die domeinen niet via een externe DNS hoeft te resolven, omdat het al de lokale DNS client kan gebruiken. Als het een Command en Control server probeert te contacten, gebruikt het een IP-adres, geen domeinnaam.
Het kan dus zijn dat het de lokale DNS client aanpast, zodat die naar een IP kan resolven dat het al kent en die al aan de cache is toegevoegd. “Alles wat je op de publieke DNS infrastructuur doet maakt dan niet meer uit.” Het gaat hier om een theorie waar Ferguson nog geen bewijzen voor heeft, maar Conficker heeft al voldoende trucs voor de onderzoekers in petto gehad. “We weten wat het blokkeert, maar niet wat het resolved.”
Ferguson merkt op dat de makers van Conficker zich al veel rustiger gedragen dan met andere botnets het geval is. Ze waren in eerste instantie aan het bouwen, zoals de A, B en B++ varianten lieten zien. Met de C-variant hebben ze de vorm en functie veranderd, en ligt nu de nadruk op het beschermen van het botnet. “Ze hebben genoeg besmette machines en infecteren geen nieuwe computers meer.” Daarnaast is het gevreesde 1 april algoritme helemaal niet nodig om alle besmette machines te updaten, aangezien dit ook via de P2P-functionaliteit kan. “Het is in ieder geval zeer gedurfd dat ze gestopt zijn met het infecteren van nieuwe machines.”
Doel Conficker
De vraag blijft wat de makers van Conficker met hun botnet gaan doen. Ferguson acht het mogelijk dat het misschien de mensen zijn die ook achter de “search engine optimization “ (SEO) zijn. Door het aanjagen van een hype hebben de makers de publieke opinie beïnvloed. Mensen zijn massaal aan het Googlen geslagen om informatie over Conficker te vinden. In veel gevallen wijzen de zoekresultaten naar kwaadaardige websites die nep-virusscanners proberen te installeren. Toen bekend werd dat Nmap ook de Conficker worm zou detecteren deed Ferguson een zoekopdracht op Nmap en Conficker. De eerste drie resultaten leidde naar een nep-virusscanner.
Verantwoordelijkheid ISPs
Conficker is via de standaard tools van bijna alle anti-virusbedrijven te verwijderen, maar de kans dat gebruikers die niet updaten en de machines lieten infecteren actief naar een ontsmettingsmiddel gaan zoeken. Volgens Ferguson is het te doen om het Conficker botnet te ontsmetten, maar roept het een interessante vraag op, die ook voor andere malware geldt. De internetproviders kunnen hierin een belangrijke spelen, die ze op dit moment niet vervullen.
Als je denkt aan het verkeer dat Conficker genereert en het soort partijen die hierbij betrokken zijn, zoals ICANN, dan heb je het over grote instanties. "Het is heel eenvoudig voor een ISP om te zien waar de besmette machines zich precies bevinden en die mensen zijn hun klanten. Dus ze zouden alleen al een morele taak hebben om hen te waarschuwen en te zeggen dat ze geïnfecteerd zijn.” Aanvullend kan men dan links naar verwijdertools geven. Dat zou al enorm helpen, aangezien heel veel mensen niet eens weten dat ze geïnfecteerd zijn. En dat geldt ook voor veel andere botnet en spam activiteiten, waarbij ISPs een veel grotere rol kunnen spelen dan dat ze nu doen.
Ferguson is het niet eens met het verweer van sommige ISPs dat ze alleen de verbinding leveren. "Dat werkt ook niet voor het waterbedrijf als er opeens bruine smurrie uit je leiding komt. Dan ga je als consument ook klagen. Misschien moeten we dezelfde logica op internetproviders toepassen."
Goedkoop internet
De werkelijke oorzaak ligt veel dieper, omdat we met z’n alleen het idee hebben aangewakkerd dat internettoegang gratis en vrij toegankelijk voor iedereen moet zijn, zo merkt de Solutions Architect op. “Er is geen enkele dienst op aarde die gratis is, zelfs niet water. Je betaalt overal voor. We moeten naar het huidige breedbandmodel kijken, waar mensen denken dat ze recht op een supersnelle verbinding voor bijna niets hebben.” Dat dwingt providers om de kosten te verlagen en in die vraag mee te gaan. Maar daardoor zijn ze bang om technologieën te introduceren die een "clean feed" kunnen leveren, aangezien dat de kosten van de verbinding laat stijgen. "We hebben onszelf in dit moeilijke parket gebracht."
Het belangrijkste volgens Ferguson is om een "clean feed" dienst aantrekkelijk voor consumenten te maken. Clean draait dan niet om de inhoud, maar of het verkeer kwaadaardig is of niet. "Wat mensen op het internet doen is helemaal hun eigen zaak." We moeten ervoor zorgen dat consumenten het voordeel kennen van een clean feed, zodat er een vraag ontstaat. Providers zouden een deel van de kosten voor een schone verbinding bij de consumenten moeten neerleggen.
Privacy
Clean feed mag dan mooi zijn, maar veel gebruikers zullen er niet blij mee zijn dat providers hun verkeer bekijken. "Daarom is het zo belangrijk om te benadrukken dat het niet om de inhoud gaat, maar of het kwaadaardig is of niet. Mensen maken zich ook geen zorgen als hun virusscanner die beslissing maakt en dezelfde technologie zou dan bij de ISP worden toegepast. Het draait gewoon om educatie, zodat mensen beseffen dat dit niet om afluisteren gaat, dit is geen Phorm.” Hij vergelijkt het dan ook met een waterfilter. Alleen de rotzooi blijft achter terwijl het water er gewoon doorheen gaat.
Het belangrijkste onderdeel als het om security gaat, wat dan ook, is educatie. Zonder educatie zal elk security initiatief falen, of het nu gaat om het bestrijden van malware of het stoppen van het lekken van gegevens. “Mensen zullen er altijd een weg omheen vinden. Providers, overheden en bedrijven moeten daarom het bewustzijn vergroten.” Ferguson vergelijkt het met de keuze uit energieleveranciers. Je kunt voor groene stroom kiezen, dat iets duurder is, maar wel groen of voor normale stroom. Het probleem is natuurlijk dat mensen die niet security bewust zijn ook niet voor een clean feed zullen kiezen. "Daarom is educatie ook zo belangrijk."
Bruce Schneier liet onlangs weten dat eindgebruikers niet in staat zijn om zichzelf te beveiligen en dat dit te taak van technologie en beveiligingsbedrijven is. "Ik had onlangs een gesprek met iemand van het Cabinet Office, die mij vroeg hoe het kan dat eindgebruikers hun virusscanner kunnen uitschakelen. Waarom zit die functionaliteit eigenlijk in het product vroeg hij mij?" Iets waar ook Ferguson geen antwoord op weet.
Opvoeden
Al jaren proberen instanties en overheden gebruikers op te voeden, klaarblijkelijk zonder succes. Daar is Ferguson het niet helemaal mee eens. "Op een zekere hoogte werkt het wel. Het probleem is dat de aard van de dreiging is veranderd, maar de educatie niet." Mensen zouden inmiddels wel weten dat ze geen vreemde bijlagen moeten openen. Dat heeft allemaal met educatie te maken. "Als je het e-mail gedrag met tien jaar geleden vergelijkt, dan vind je een groot verschil. Mensen zullen minder snel in een ‘I Love You’ e-mail trappen."
Nu sturen de cybercriminelen kortingsbonnen van McDonalds. Het zijn geen slecht gespelde e-mails met een link, maar goed bedachte social engineering aanvallen. “Normale mensen hebben geen idee dat het aanvallers tegenwoordig allemaal om het geld te doen is of hoe criminelen met hun activiteiten geld verdienen.” Ferguson merkt op dat "Security mensen" in het algemeen de fout maken dat ze zichzelf als referentie nemen. "Wij begrijpen teveel om als goed referentiepunt te dienen voor mensen die niet in de beveiligingsindustrie werken."
Je kunt moeilijk netwerken met duizenden computers afsluiten vanwege enige geinfecteerde systemen - en daarnaast hebben providers door beveiligingsmaatregelen vaak niet eens de mogelijkheid om besmettingen op klantnetwerken te kunnen detecteren.
Een waterleiding maatschappij verkoopt water én verzorgt het transport. (content en transport)
Een ISP levert geen content (heeft daar ook geen invloed op) maar doet alleen het transport (en dan ook nog alleen het stuk over het eigen netwerk).
Ik geloof dat men hier de zaken een beetje door elkaar haalt.
Hooguit: wanneer een machine wordt aangetroffen waarvanuit Conficker zich verspreidt: een mailtje naar het abuse@ adres van de betrokken ISP en hem de zaak door laten geven aan de eigenaar van de machine.
Die blokkeren de 50.000 domeinen elke dag.
maar een ISP moet wel ballen tonen om een klant af te sluiten als deze zijn systeem kan, of WIL pieten vrij te maken.
De ISP kan nooit verantwoordelijk zijn om de rommel op te ruimen; daar hebben ze de mogelijkheid ook niet toe. Maar zou er iets op tegen zijn wanneer zo'n machine in quarantaine wordt gezet, waarbij deze wel toegang heeft tot Windows Update e.d., en pas weer volledig toegang krijgt wanneer het probleem verholpen is (en evt wanneer de klant besluit dat hij het toch verantwoord vindt om besmet op internet te gaan, en er zelf voor kiest de quarantaine op te heffen via een speciale website) ?
Mensen doen, eenmaal een cleanfeed hebbende, dan helemaal niets meer aan de beveiliging van hun eigen pc. De provider filtert toch alle rotzooi? Als een provider dan ook maar één keer de mist in gaat is het leed niet te overzien.
Het creëert een vals gevoel van veiligheid en dat kan nooit goed zijn naar mijn mening.
Een waterleiding maatschappij verkoopt water én verzorgt het transport. (content en transport)
Zolang ISP's de anonimiteit van hun klanten (per IP-adres) waarborgen, is zo'n ISP meer dan een transportbedrijf, en is de enige die voor slecht onderhouden PC's van hun klanten aanspreekbaar is. Op hun beurt zullen ISP's dat met hun klanten, die derden schade berokkenen, moeten afhandelen. En dus is voorkomen beter dan genezen... Zie ook mijn bijdragen in [url=http://www.security.nl/artikel/28239/1/Online_scanner_detecteert_Conficker_worm.html]deze[/url] thread.
Mijn probleem zit hem in de manier hoe ze dit soort mensen willen gaan aanpakken. Als je wilt kijken of iemand bijvoorbeeld geïnfecteerd is met Conficker, moet je gebruik maken van deep packet inspection! Het invoeren van zo'n maatregel zou de deuren wagenwijd open zetten voor gelijksoortige maatregelen die de privacy van de internetter zwaar aantasten.
Daarnaast hoef je geen deep packet inspection te doen, kijken naar source en destination adressen (iets wat de routers van de ISP impliciet al doen) en paketten tellen kan al voldoende patronen opleveren (DDoS attacks, spamruns) waar zombies mee te lokaliseren zijn.
Ik zie werkelijk niet hoe een andere partij dan de ISP efficiënt iets aan het zombie-probleem van thuisgebrukers zou kunnen doen - anders dan dat we van elk IP-adres een geldig e-mail adres kunnen opvragen, problemen kunnen rapporteren (abuse@eigenaar-van-ip-adres) en er daarbij van op aan kunnen dat de mails ook daadwerkelijk gelezen worden.
Hoezo dat, DPI wordt ook beetje gebruikt t.b.v. Quality of Service, het is wat dat betreft niets nieuws. En mag men ook geen Intrusion Detection / Intrusion Prevention gebruiken omdat IDS/IPS systemen pakketjes bekijken ?
Verder is DPI slechts een mogelijkheid om een worm als Conficker te traceren. Je kan ook traffic naar bepaalde malicious sites monitoren, of (in de A/B variant) bijvoorbeeld machines die non-stop verkeer genereren naar port 445/tcp (al is deze laatste methode natuurlijk geen bewijs voor een conficker besmetting, maar eerder een mogelijke indicatie, er kan ook sprake zijn van andere malware met soortgelijke symptomen).
Ik ben het met Bitwiper eens dat een ISP best wel een aantal honeypots kan neerzetten in de user-ip space, waarmee je geinfecteerde computers mogelijkerwijs kan detecteren op je eigen netwerk (op de honeypots alleen traffic van eigen netwerk accepten). Ook kan een ISP actief de DNSBL's in de gaten houden, waarmee ze weten of een user aan het spammen is. En na "meerdere" mogelijke detecties zou een ISP wat mij betreft, de user in een apart VLAN (quarantine) mogen plaatsen. In een quarantine setup moet de klant ALTIJD bij de volgende punten kunnen komen (wat mij betreft):
- Microsoft.com / Windows Update
- Grotere linux distro's
- Antivirus/Spyware/whatever aanbieders
- ISP website (ivm contact informatie), al dan niet gelimiteerd.
En het belangrijkste, als een klant in quarantine geplaatst is, en deze klant heeft een VoIP/VoDSL/whatever dienst bij de desbetreffende ISP, dat deze telefoniedienst BLIJFT werken!
KingOfDos
Ik ben het met Bitwiper eens dat een ISP best wel een aantal honeypots kan neerzetten in de user-ip space, waarmee je geinfecteerde computers mogelijkerwijs kan detecteren op je eigen netwerk (op de honeypots alleen traffic van eigen netwerk accepten). Ook kan een ISP actief de DNSBL's in de gaten houden, waarmee ze weten of een user aan het spammen is. En na "meerdere" mogelijke detecties zou een ISP wat mij betreft, de user in een apart VLAN (quarantine) mogen plaatsen. In een quarantine setup moet de klant ALTIJD bij de volgende punten kunnen komen (wat mij betreft):
- Microsoft.com / Windows Update
- Grotere linux distro's
- Antivirus/Spyware/whatever aanbieders
- ISP website (ivm contact informatie), al dan niet gelimiteerd.
En het belangrijkste, als een klant in quarantine geplaatst is, en deze klant heeft een VoIP/VoDSL/whatever dienst bij de desbetreffende ISP, dat deze telefoniedienst BLIJFT werken!
KingOfDos
Tuurlijk ISP's moeten de wereld redden en dan nog wat, niets nieuws onder de zon, maar heeft iemand hier al eens gedacht aan de marge die een ISP maakt op een accountje !?
Wij (Den Ollanders) zijn niet bereid een redelijk bedrag neer te leggen voor al deze activiteiten en tuurlijk een ISP kan van alles en nog wat doen, MAAR echt NIET voor € 19,95 p/mnd ! (o.i.d.)
God, hoe komen we toch aan die crisis !? ;)
Dream on brothers !
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.