Botnets zijn een ware goudmijn voor zowel inlichtingendiensten als bedrijven in de beveiligingsindustrie, wat een reden is dat er recentelijk nog maar weinig botnets uit de lucht worden gehaald. Dat stelt Gunter Ollmann, CTO van beveiligingsbedrijf IOActive.

Via het uitschakelen van botnets konden organisaties en bedrijven het publiek laten zien dat botnets werden aangepakt. Volgens Ollmann is de oorlog tegen bots minder zichtbaar, maar vindt die nog steeds plaats. Naast de vraag of deze oorlog wel gewonnen kan worden, vraagt Ollmann zich tegenwoordig ook af of bepaalde organisaties en overheidsinstanties de strijd wel willen winnen.

Informatie

Eén van de redenen om de botnets te gedogen is dat het uitschakelen van de ene aanvalsvector ervoor zorgt dat er een nieuwe komt en de dreiging zich verder ontwikkelt. "Een 80% bescherming tegen een dreiging die je begrijpt is beter dan 0% van een dreiging waar je geen technologie voor hebt", gaat Ollmann in een column op Dark Reading verder.

Een andere reden dat botnets vaak operationeel blijven is dat ze grote hoeveelheden data van hun slachtoffers verzamelen. Toegang tot deze data is lucratief en wordt zelfs in abonnementsvorm aan allerlei organisaties aangeboden.

Volgens Ollmann was de security-community altijd zeer open in het delen van informatie over botnets, maar nu die informatie geld waard is, gebeurt dit steeds minder en kiezen partijen er vaker voor om het te verkopen. De verkochte data is in de meeste gevallen niet de data van de slachtoffers, maar zaken als IP-adressen die met malware geïnfecteerd zijn.

IP-adressen

Zelfs een lijst met IP-adressen van slachtoffers kan waardevol zijn, bijvoorbeeld voor inlichtingendiensten als de CIA en NSA. Die kunnen zo in kaart brengen welke botnets succesvol waren in het binnendringen van organisaties en landen die ze zelf ook al volgen. Aan de hand van besmette computers kan worden vastgesteld wat voor besturingssystemen en applicaties er worden gebruikt en welke versie van de software.

Ook het binnendringen van het botnet zelf kan zeer waardevol voor inlichtingendiensten zijn. Die kunnen zo alle data van de slachtoffers in handen krijgen of op de besmette computers allerlei nieuwe opdrachten uitvoeren. Het vinden van beveiligingslekken in de Command & Control-servers en software van botnets is dan ook een lucratieve bezigheid merkt Ollmann op.

"In veel opzichten zijn botnets voor degenen die informatie over de bevolking van buitenlandse entiteiten moeten verzamelen een goudmijn. Het grootste deel van de slachtofferdata is handig voor het in kaart brengen van populaties, communicatieprofielen en dient als uitgangspunt voor contraspionage." De CTO van IOActive stelt dat de belangen voor bedrijven en overheidsinstanties te groot zijn om botnets al te hard aan te pakken.