De manier waarop Microsoft en Symantec recentelijk verschillende botnets probeerden uit te schakelen is niet effectief en lijkt vooral als publiciteitsstunt bedoeld te zijn, zo beweert beveiligingsbedrijf Damballa. Symantec kwam onlangs nog in het nieuws met de aanpak van het ZeroAccess-botnet.

Het anti-virusbedrijf wist een kwart van het botnet uit te schakelen, maar de resterende 75% van het netwerk bleef ongeschonden. In juni van dit jaar was het Microsoft dat 1400 Citadel-botnets uitschakelde. Volgens Brian Foster, CTO van Damballa, hebben deze acties nauwelijks iets opgeleverd. "En ik vraag me dan ook af of deze acties niet alleen als publiciteitsstunt zijn bedoeld."

Kritiek

Foster hekelt als eerste de werkwijze van Microsoft, Symantec en andere partijen die botnets aanpakken. Zo wordt vaak alleen een klein deel van de domeinen in beslag genomen waarmee de botnets worden aangestuurd. Hierdoor hebben de aanvallers nog steeds een groot deel van het botnet in handen en kunnen ze zich uiteindelijk weer herstellen. Ook kunnen dit soort acties het werk van andere onderzoekers in de wielen rijden.

Het tweede punt dat wordt gemist is dat veel botnets secondaire communicatiemethodes gebruiken, zoals peer-to-peer of domeingeneratiealgoritmes (DGA). Foster stelt dat als meer botnets worden aangepakt, meer cybercriminelen secondaire communicatiemethodes zullen toevoegen.

Als laatste laat de CTO weten dat er uiteindelijk geen mensen zijn aangehouden. "Aan het einde van de dag maakt het niet uit hoeveel domeinen er uit de lucht zijn gehaald of sinkholes zijn aangemaakt. Tenzij de aanvaller niet is gearresteerd, kan hij of zij gewoon weer een nieuw botnet beginnen."

Aanpak

Foster stelt dat als beveiligingsonderzoekers en organisaties botnets alleen voor marketingredenen uitschakelen het niet uitmaakt hoe ze het doen. "Maar als ze het werkelijk doen om misbruik tegen te gaan en gebruikers te beschermen, dan moet er in de industrie een beter doordachte aanpak worden gehanteerd dan nu vaak het geval is."

Update

Symantec laat tegenover Security.NL weten dat de bestrijding van botnets geen eenvoudige taak is en dat ze steeds beter bestand tegen 'takedowns' zijn. Daar komt bij dat niet alle acties om bijvoorbeeld botnets te sinkholen openbaar worden gemaakt. Wat betreft de aanpak van ZeroAccess stelt Symantec dat informatie over de beheerders of auteurs met opsporingsdiensten is gedeeld.

"Aangezien Symantec niet de politie is, kunnen we niemand arresteren. Zelfs als een takedown-operatie het botnet niet geheel verwijdert, maakt het het wel lastiger voor cybercriminelen omdat ze het opnieuw moeten opbouwen." Volgens het anti-virusbedrijf helpen dan ook alle kleine beetjes om het internet veiliger te maken.