Som ComON tiligere har skrevet er der dagligt danskere, der får kappet internetforbindelsen, fordi internetudbyderen skal forhindre spredning af virus og malware. Nu bliver blokeringen af inficerede pc’er sat i system.
Et samarbejde mellem de offentlige CERT's (Computer Emergency Response Team) og teleselskaberne fører nu til, at man hurtigere vil kunne lukke for botnet-servere eller inficerede klienter – såkaldte zombie-pc’er.
Thomas Kristmar, der er områdeleder for det nyligt lancerede GovCERT (en statslig pendant til DK-CERT der skal overvåge og beskytte statslige institutioner mod cyberangreb) siger til ComON, at parterne nu har et redskab, som kan give hurtigere reaktioner mod botnet-angreb i fremtiden.
Værktøjet er en formel samarbejdsaftale, som definerer, hvilke kriterier, der skal være opfyldt for blokering af en computers internetadgang.
Hidtil har parterne diskuteret kriterierne for blokering fra sag til sag. Nu hvor spillereglerne er fastlagt, vil de kunne arbejde hurtigere, fremfører Thomas Kristmar.
”Nu er vi på forhånd enige om processerne, når der skal blokeres for botnets,” siger han.
Forløbet i en blokering af en dansk pc med botnet-malware kan for eksempel være, at CERT’erne bliver opmærksom på et botnet og starter en analyse.
Hvad der videre skal ske, afhænger af, om der er tale om en CC-server, en zombi-pc, en drop-server eller en payload-server (hvor ofrene lokkes hen med henblik på inficering, red). Analysen skal kortlægge og validere, hvor alvorlig truslen er.
Hvis botnettet bekræftes som trussel efter de foruddefinerede kriterier, sender CERT sin anbefaling til teleselskabers samarbejdsorganisation ISP-sikkerhedsforum og beder om blokering af den relevante IP-adresse.
Anbefalingen rummer nærmere detaljer om, hvad der skal stoppes. Måden, blokeringen foregår på, er det op til den pågældende internetudbyder at afgøre.
Hvis botnetserveren står i udlandet, retter CERT’en henvendelser til deres kolleger dér og beder om at få de relevante IP-adresser blokeret.
Sidstnævnte sker faktisk jævnligt, fortæller Thomas Kristmar. Blandt de mere kendte sager var lukningen i september sidste år af det hollandsk botnet Bredolab. Dette botnet havde på daværende tidspunkt inficeret omkring 30 millioner pc’er verden over.
Adspurgt om man ikke kan få CERT’erne i aktion på falsk grundlag, hvis man for eksempel vil få en konkurrent lukket ned eller lukke munden på en kritiker, svarer Thomas Kristmar tvivlende.
”Det er jo ikke nok, at nogen siger, at en computer er inficeret. Vi skal ind og undersøge, om den nu også er det, og konstatere, hvad den gør i et botnet. Har den ikke botnet-malware, er der ingen sag. Hvis man vil få en server blokeret på falsk grundlag, så skal man altså først ind og installere botnet-software på konkurrentens server, - og så er vi over i en anden og alvorlig kriminel boldgade,” forklarer han.
De formelle retningslinjer for lukning af botnet kan ses her.
ComON har tidligere beskrevet hvad de forskellige telselskaber har af politik for blokering af inficerede kunde-computere.
(Opdateret 21:13 med link til samarbejdsaftalen.)
