Det amerikanske forbundspoliti FBI har gennemført en aktion mod det internationale botnet Coreflood. Der skulle være tale om en af de største politiaktioner nogensinde mod et internationalt botnet. Det menes at Coreflood består af mere end to millioner inficerede computere.
Men ikke nok med, at FBI har fået ram på botnettets command-and-control servere. FBI foretager også et aktivt indgreb på de inficerede computere og det er et meget usædvanligt og kontroversielt skridt.
Hvis en af de bot-inficerede computere forsøger at forbinde sig med kontrolserveren, så bliver den videreledt til en FBI-server, der sender en terminerings-kommando til computeren. Dermed skulle botnet-softwaren været deaktiveret på computeren indtil næste genstart og de ukendte bagmænd kan således ikke opdatere softwaren.
Det er ikke første gang, at politiet har fået lukket command-and-control-servere, og flere gange har sikkerhedseksperter skaffet sig kontrollen over store botnet. Men det er normalt tabu at gribe ind på de inficerede maskiner, også for at fjerne den skadelige software – for man kan risikere at forvolde yderligere skade med sit indgreb.
Desuden bliver det dermed svært at skelne mellem et ”venligt” indgreb og en fjendtlig hacker, der trænger ind fra nettet.
Hvis man f.eks. kommer til at slette vigtige filer under afinstallationen af malwaren kan man risikere, at computeren slet ikke kan starte mere – og ansvaret ligger så hos dem, der har forsøgt at ”hjælpe”.
FBI fortæller dog, at man har gennemført en omfattende analyse af Coreflood, og derfor mener man at være sikker på, at det er uskadeligt at sende terminerings-kommandoen.
Det juridiske grundlag er dog mere end tvivlsomt. I en lignende sag sidste år fik det hollandske politi ram på botnettet Bredolab og man sendte herefter en fil til de inficerede computere, som pegede videre til en side med tips til at få renset computeren.
Det menes at Coreflood har eksisteret i 10 år og det er især brugt til at sprede keyloggere for at samle adgangsdata, f.eks. til netbanking. Én enkelt Coreflood-ramt virksomhed i USA har angiveligt fået stjålet mere end 1,3 mio. kr.
