Artikel top billede

DK-CERT: Sådan får vi bugt med botnet

Klumme: Shehzad Ahmad fra DK-CERT foreslår her en opskrift til at få renset pc'er, der er inficeret med botnet-programmer.

Et ukendt antal danske pc'er er inficeret med programmer, der lader bagmænd fjernstyre dem. De indgår i såkaldte botnet.

I sikkerhedsbranchen diskuterer vi løbende, hvad vi kan gøre ved problemet.

Ofte kan vi ud fra kommunikationen mellem en pc og internettet se, at den må være inficeret.

Men det hjælper bare ikke særlig meget. For der er langt fra at kende IP-adressen på en inficeret pc og til at advare dens ejer.

Her er mit forslag til, hvad vi kan gøre.

Det er ikke helt gennemarbejdet, og jeg kan selv se nogle problemer med det, men jeg tror, at det er muligt at gennemføre.

Sikkerhedsfirma overvåger

Internetudbyderne hyrer et specialiseret sikkerhedsfirma til at holde øje med, om deres kunders pc'er begynder at opføre sig mistænkeligt.

Når jeg foreslår, at opgaven skal lægges ud til et sikkerhedsfirma, skyldes det dels, at sikkerhedsfirmaerne har specialviden om it-sikkerhed, dels at lovgivningen begrænser, hvordan udbyderne må overvåge deres kunder.

Sikkerhedsfirmaet får selvfølgelig ikke adgang til at se ind i kundernes pc'er.

Det overvåger trafikken på nettet og kan på den måde opdage mønstre, der tyder på infektioner.

Når sikkerhedsfirmaet opdager en IP-adresse, der ser ud til at være inficeret, sender det IP-adressen til udbyderen.

Udbyderen omdirigerer HTTP-opkald fra den pågældende IP-adresse til en særlig webside.

Her informeres brugeren om, at der er risiko for, at pc'en er inficeret.

Sådan får du renset din computer

Brugeren får valget mellem selv at rense sin pc eller lade sikkerhedsfirmaet (på vegne af udbyderen) gøre det.

Hvis brugeren vælger selv at rense, giver siden links til anvisninger på, hvordan det gøres.

Hvis brugeren ignorerer advarslen, kan man som et sidste skridt lukke for adgangen.

Inden da skal der være forsøgt advaret ad andre kanaler, for eksempel via mail eller SMS.

Jeg tror, at metoden kan virke. Men der er nogle udfordringer.

For det første gør vi meget ud af at lære brugere, at de ikke skal tro på falske virusadvarsler.

Så hvordan overbeviser vi dem om, at denne her advarsel altså er god nok?

For det andet er der nogle tekniske komplikationer. En IP-adresse er ikke identisk med en pc.

Ofte vil der være flere pc'er bag en IP-adresse, der deles via NAT.

Eller en adresse har skiftet ejer, fordi udbyderen kører med dynamisk tildelte adresser.

Det er muligt at finde frem til ejeren, men det kræver mere arbejde for internetudbyderen.

Så den bruger, der omdirigeres til advarselssiden, har måske slet ikke noget sikkerhedsproblem. Det skal der tages højde for - men hvordan?

Jeg har vendt ideen med udbydere og sikkerhedsfolk, og de er ikke afvisende over for den.

Men som det fremgår, er der nogle spørgsmål, der skal afklares.

Se derfor dette som et oplæg til debat i branchen om, hvordan vi kan komme dette alvorlige problem til livs.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.

DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




IT-JOB
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere