Computerworld News Service: Under hacker-konferencen Defcon blev det demonstreret, at folkene bag et botnet kan snakke via opkald til den samme VoIP-telekonference og dele data ved hjælp af såkaldte 'touch tones'
Det giver botmastere - for hvem anonymitet har meget høj prioritet - mulighed for at udstede ordrer til botnettet fra en telefonboks eller fra tilfældige mobiltelefoner, fortæller de to researchere Itzik Kotler og Iftach Ian Amit fra sikkerhedsfirmaet Security Art.
Ved at anvende telefoner og offentlige telenetværk kan man imødekomme et af de vigtigste våben, som bot-bekæmpere har til rådighed - nemlig at fjerne domænet bag botnettets command and control-server, forklarer researcherne. Hvis botmasteren ikke bruger en command and control-server, så kan det heller ikke fjernes.
Faktisk kan botmasteren kommunikere med zombie-maskinerne i botnettet uden overhovedet at anvende internettet, i hvert fald hvis alle zombierne findes inden for det samme virksomhedsnetværk. Så selv hvis virksomhedens VoIP-netværk er adskilt fra data-netværket, så kan der stadig skabes forbindelse til verden udenfor.
Derudover anvender man i VoIP-taktikken teknologier, der nemt kan trænge igennem virksomheders firewalls, og som kun bruger trafik, der er svært at gennemskue for software til forebyggelse af datatab.
Trafikken er streamet audio, og derfor kan scanneren ikke genkende de datamønstre som det er meningen, at den skal filtrere, fortæller researcherne.
Det negative ved at anvende VoIP som kommandokanal er, at det i betydelig grad begrænser antallet af zombie-computere, der kan kontaktes på samme tid, og at de stjålne data kun kan føres ud af virksomhedsnetværket med en hastighed, der er begrænset af telefonsystemet. Men Itzik Kotler og Iftach Ian Amit fortæller, at forbindelserne er rigeligt store til at sende kommandoer ind i systemet.
Hurtigere end voicemail
Demonstrationen ved konferencen brugte parret en Asterisk open source-baseret IP PBX som virksomheds-PBX ('telefonanlæg'). En virtuel maskine repræsenterede en zombiecomputer på virksomhedens netværk, der kunne kaldes op via TCP/IP gennem PBX og viderestilles til et konferenceopkald.
En BlackBerry der repræsenterede botmasteren kunne derefter bruge det offentlige netværk til at opnå forbindelse med det samme konferenceopkald.
Derefter brugte researcherne det open source-baserede software Moshi Moshi til at kommunikere mellem botmaster-telefonen og zombiemaskinerne.
Moshi Moshi indeholder en oversætter, der kan konvertere kommandoer til DTMF-touch tones som input og ændre stjålne data fra tekst til tale til output. Den efterfølgende voice-trafik bliver lagt i en voice mailbox, hvorfra botmasteren kan hente den ved lejlighed.
Det svære er at konfigurere telefonanlægget, så det tillader DTMF-toner at komme igennem til konferencen. Et andet problem er, at botmasteren bliver nødt til at skabe et DTMF-baseret sprog, som maskinerne skal være programmeret til at forstå.
Researcherne siger, at demonstrationen udelukkende skal ses som proof of concept, og at det måske kan fungere endnu bedre med små ændringer.
Ved hjælp af moderne teknologi vil man for eksempel muligvis kunne føre data ud af netværket endnu hurtigere end ved hjælp af de stemme-generede voicemails.
Oversat af Marie Dyekjær Eriksen
