Man behøver ikke hacke sig ind på en server for at tjekke, om den er del af et botnet.
Sådan lyder svaret fra GovCERT på et spørgsmål rejst i ComONs debatforum. Her ville en kommentator gerne vide, om den nye samarbejdsaftale mellem CERT og ISP’erne betyder, at myndighederne nu får lov at hacke sig ind uden dommerkendelse, hvis de har mistanke om at en bestemt server er del af et botnet.
”Memorandummets formål er at bekæmpe botnet-servere, der typisk er placeret hos hostingprovidere. Memorandummet sigter *ikke* på at lukke den enkelte borgers pc,” skriver Thomas Kristmar, områdechef i GovCERT i et svar til ComON.
Han forklarer, at CERT'erne kan verificere, at en server er inficeret på følgende vis:
1. Fra et testnet kan en mistænkelig hjemmeside besøges, og det observeres, om besøget på hjemmesiden resulterer i et "drive-by attack". Eventuel angrebskode analyseres med henblik på at fastslå, om der er tale om botnet. Det kan eksempelvis ske ved at undersøge, hvilke andre ip-adresser eller hjemmesider angrebskoden forsøger at kommunikere med.
2. Er der tale om andre former for botnet-servere, der ikke selv spreder malware, kan hjemmesiden eller ip-adressen slås op på forskellige åbne lister over botnet, eksempelvis shadowserver eller malware domain list, som CERT'erne har adgang til.
3. Endeligt kan en ip-adresse eller hjemmeside undersøges ved at spørge andre landes CERT'er, om de har viden om botnetaktivitet fra adressen.
”Ovennævnte verifikationsproces kræver ikke særlig lovhjemmel,” skriver Thomas Kristmar.
Han pointerer, at det formaliserede samarbejde, som ComON omtalte i går blot giver klare retningslinjer for en eventuel blokering:
”Anbefaling om blokering kan kun foretages ud fra et objektivt konstaterbart grundlag. Ved samme lejlighed anmoder CERT'erne om fjernelse af botnetkomponten hos ejeren af det pågældende domæne eller ip-adresse, hvis der er tale om et dansk domæne, eller sender anmodningen til den relevante nationale CERT i tilfælde af et udenlandsk domæne.”
”Det er herefter alene op til de enkelte medlemmer af ISP-sikkerhedsforum at vælge, om de vil efterkomme anbefalingen på baggrund af den foreliggende dokumentation. ISP'erne skal dog informere ISP-sikkerhedsforum og CERT’erne om deres beslutning og grundlaget for denne beslutning,” lyder meldingen fra GovCERTs områdeleder.
