Len nedávno ohlásili výskumníci z projektu The Honeynet úspešnú infiltráciu priekopníka moderných botnetov, Stormu, a pred niekoľkými dňami sa tak podarilo výskumníkom zo spoločnosti TippingPoint Technologies infiltrovať ďalší botnet, Kraken. Ich zistenia však vyvolali mnoho etických otázok.
Výskumníci zo spoločnosti TippingPoint Technologies’ Digital Vaccine Laboratories úspešne infiltrovali botnet Kraken, ktorý už nejaký čas pôsobil na scéne a zahlcoval svet spamom, či vytváral masívne DDoS útoky. To im umožnilo nielen presne vyčísliť počty infikovaných počítačov vo svete, ale aj možnosť z nich odstrániť škodlivý kód, čo však vyvolalo “zúrivú” etickú debatu.
Výskumníci Cody Pierca a Pedram Amini, úspešne rozkódovali Trojan, ktorý “poháňal” botnet známy ako Kraken. Jeho aktuálna sila je približne 400,000 infikovaných počítačov. Aj Kraken patril medzi botnety so zakódovanou komunikáciou, tú sa však výskumníkom podarilo rozkódovať a vďaka tomu mohli preniknúť do tajov fungovania tohoto botnetu a spoznať celú jeho štruktúru, spôsob “myslenia” a prideľovania príkazov jednotlivým robotom. Keď úplne porozumeli funkčnosti kódu zistili, že roboty sa pripájajú ku kontrolnému stredisku cez neustále vytvárané subdomény, ktoré sú vytvárané z rôznych dynamických DNS služieb. To umožnilo výskumníkom nájsť algoritmus, podľa ktorého boli subdomény vytvárané a vďaka tomu predpovedať, kam bude smerovať najbližšia komunikácia robotov. “My sme v podstate vytvorili falošné kontrolné stredisko Krakena schopné prebrať robotov skutočným majiteľom,” povedal Pierce v interview.
“Vďaka zoznamu generovaných mien a úspešnej registrácií niekoľkých subdomén, na ktoré sa roboti pokúsili pripojiť, sme dokázali simulovať kontrolné stredisko Krakena a infiltrovať celú sieť, zombie za zombiem. Jednotlivé infikované počítače sa potom postupne pripájali na nami vytvorený falošný server, čo nám umožnilo prebrať úplnú kontrolu nad botnetom,” povedal Amini v dokumente objasňujúcom proces reverzného inžinierstva, ktorým získali publikované informácie.
Tím TippingPoint DVLabs monitoroval pripojenia robotov po sedem dní a za ten čas bolo na falošný server vykonaných viac ako 1.8 milióna požiadaviek z rôznych infikovaných systémov z celého sveta, najviac však z pripojení bežných užívateľov zo Spojených Štátov Amerických, Anglicka, Španielska a Strednej Ameriky.
Práve novonadobudnutá kontrola nad botnetom Kraken uvrhla spoločnosť do etickej dilemy, ktorá vyvolala diskusiu o tom, či je správne infikované počítače “očistiť” od trojanu bez upovedomia majiteľa počítača. “Po technickej stránke sme dokázali, že je možné jednoduchým “kliknutím” odstaviť komunikáciu medzi robotom a botnetom nadobro, čo znamená, že ani my, ani skutočný majitelia botnetu by už neboli schopní robota “oživiť”,” povedal Pierce. Každý infikovaný počítač by sa pri pokuse o komunikáciu s kontrolným centrom pripojil na falošný server, kde by prijal kód, ktorý by ho nadobro vyradil.
“Ak na ulici vidíte divoko jazdiaceho vodiča, ktorý ohrozuje všetkých navôkol, neotočíte sa a nepôjdete inou cestou,” povedal Pierce, na margo odstavenia infikovaných počítačov. David Endler, director of security research v TippingPoint, má však iný názor. “V skutočnosti neviete, koho počítač sa snažíte “očistiť” a ani aký to bude mať skutočný dopad. Čo ak je infikovaný počítač kritický pre riadenie dôležitých systémov, čo ak práve ten počítač riadi niekoho životné funkcie? Kto môže povedať, čo je viac prospešné? Je to skutočne morálna a právna dilema”.
Názory na legálnosť takéhoto kroku sa rôznia a taktiež aj etický aspekt takéhoto konania nie je zanedbateľný. Na jednej strane stoja milióny užívateľov, ktorí sú denne bombardovaný stovkami miliárd emailov, na druhej strane infikovaní užívatelia, ktorých počítače môžu zohrávať dôležitú úlohu v systéme, pričom ich trojan pri ich práci prakticky nijako neobmedzuje. Nech ste už na ktorejkoľvek strane, rozhodnutie je pravdepodobne len na zákonodarcoch.
Zdroj: eWeek
“či je správne infikované počítače “očistiť” od trojanu bez upovedomia majiteľa počítača.”
Kokos. Mam konecne ucinny nastroj ako zamedzit kriminalnemu konaniu a do cesty ti vybehne nejaky etiktivista, ktory ta zacne presviedcat, aby si nechal stav aky je, pretoze mozes nieco ohrozit. A kua. A to nikoho nenapadlo, ze prave funkcny botnet moze rovnako ohrozovat tie “zivoty”?
A kua, kam sa to zenieme. Mat nastroj, ktory v priebehu par dni uplne znici botnet, tak to urobim a NIKOHO SA NEPYTAM NA NAZOR presne tak, ako sa nikto nepytal na NAZOR, ked sa botnet rozvijal.
Nevidim tam ziadnu eticku dilemu.
nuz, to je rozdiel. oni nemozu fungovat oko za oko, zub za zub. oni musia hladiet aj na pravne hladisko, co im minimalne v usa podobne konanie zakazuje. je to velmi na hrane a preto aj nazory su dost rozdielne. tazko sa rozhodnut, obe strany maju dost silne argumenty
To je v poriadku, znefunkcnit botnet predsa mozem aj tak, ze prerusim spojenie.
A ak je ten, co chce odpojit botnet mimo legislativu USA, tak nemusi riesit tieto nezmysly.
Pokial budeme neustale “korektni” “ohladuplni”, proste vzdy to niekto bude zneuzivat a my budeme len taki chrobaci otoceni na chrbat mavat rucickami a nozickami.
Ono to vlastne teraz prave robime.
Toto nie je “budme k sebe dobri”, toto je obycajna vojna a minimalne vec, na ktorej ma participovat FBI resp. porovnatelne zlozky statov mimo USA. A potom je to aj pravne v inom svetle.
Ak mi niekto vlezie do bytu (pocitaca) a niekto ho pri tom odbachne, tak v prave som ja a nie utocnik a to bez ohladu na to, ci som ho odbachol ja alebo policajt.
Ja chapem tvoj postoj a tak trochu s nim suhlasim, no chapem aj opacnu stranu. Jednoducho nemozes vojst do pocitaca niekoho ineho a odstranit mu trojan, aj ked to urobi trojan sam. Je to jednoducho dost na dlhe lakte. Som vsak za odstavenie tychto sieti raz a navzdy, ale nemyslim si, ze ich infiltracia je ta spravna cesta. Spravna cesta je jednoducho nariadeny upgradne systemov, DKIM na mailoch, PKI pri komunikacii, atd. vtedy je jedno, ci niekto chce urobit botnet, pretoze jeho skutocny ucel, ktory byva najcastejsie v tom, ze posiela spam, by skoncil. potom by sa dalo uz trosku inak bojovat proti tejto havedi
No, pisal si, ze infiltracia je robena tak, ze “predbehnes” pri registracii domeny stroja, na ktory sa obracaju “klienti”. Tym padom komunikuju s niekym inym ako majitelom botnetu. Takze proste mu nezadam ziadny prikaz alebo AK klient ma prikaz na “uspatie”, tak toto bude jediny prikaz. Ziadny zasah do klientov nebude.
A este si neuvazoval, ze taketo rozbitie botnetu nemusi robit ziadna oficialna spolocnost, aj ked sa mi to zrovna nepaci, ale mozem zverejnit svoju analyzu botnetu a nechat na neznamych “hrdinov”, ktori botnety znefunkcnia - mozno iba preto, ze v analyze bude prezieravo zverejneny iba postup znefunkcnenia :-)
Samozrejme mozeme uvazovat dalej: ak ma teda zacne niekto predbiehat a vkladat svoje stroje do botnetu, tak proste s este funkcnou castou botnetu urobim na taketo stroje utok, to je pochopitelna reakcia.
Ja som za rychle a ucinne opatrenie. Akonahle by to bolo pod hlavickou policajnych zloziek, odpadaju VSETKY dilemy. Tu nejde o hratky v oblasti “nejake decka nevedia, co robia” ale ide o uplne beznu kriminalitu voci ktorej nikto vyznamne nenamieta. Naviac ak policia pri policajnom zasahu obmedzuje obcana, deje sa tak v ramci zakona. Priklad: ak policia uzavrie nejaku oblast, pochopitelne sa to dotyka aj tych, co s predmetom jej zaujmu nemaju nic spolocne a musia uposluchnut pokyny a prikazy policie.
Samozrejme prevencia je nieco ine ale omnoho tazsie realizovatelne - neexistuje ziadna autorita, voci ktorej by komercne orientovani ucastnici ovplyvnujuci technologie nenamietali. Takze tadial cesta vedie ale nevidno koniec :-) Ibazeby bol zamer nechat botnety prekvasit, aby v istom momente doslo vsetkym, ze dalej sa ist neda. Ale to je problem, ze takyto bod sa neda exaktne urcit - ak ti preteka mail usami, tak posilnis HW a frcis dalej aj keby z 10 tisic mailov bol len 1 skutocny, tak okolnosti ta kvoli tomu 1 nutia prijimat tisice spamov.
nuz, stalec chapem aj tvoju frustraciu z botnetov, aj nazory, ktore prezentujes. lenze stale je to o tom, ze ten bot sa neda len “uspat”, je ho potrebne znicit, aspon tak, ze sa uz pri opatovnom reboote nezinicializuje. ano, je mozne obchadzat zakon aj inymi cestami, ale ako som napisal, nie je to koser. som za komplexne riesenie, jednoducho treba zatlacit na prislusne spolocnosti. nech sa spoja velke spolocnosti, ako google, yahoo, ms a nasadia dkim, pki, etc. vsade, kde sa to len da. vytvoria skupinu, zacnu o tom hovorit a tym zatlacia. potom skupina povie, ze sa pridalo uz 75% sveta a tak prestavaju akceptovat traffic z beznych mailov a ostatne spolocnosti uz nebudu mat na vyber. ono nie je mozne neustale bojovat proti tym istym tvorcom botnetu, pretoze 99% botnetov robia ti isti ludia, napriklad tym, ze robia komercny malware, ktory je potom distribuovany. tam je aj velmi zlozite dokazat umysel, oni mozu povedat, ze to robia na testovacie ucely, plus ti ludia ziju v rusku, cine a pod. krajinach, kde na nich prakticky nik nema dosah. preto je treba riesit problem tam, kde vznika, a nie tam, kde to hori
jasne, ja to chapem, toto je biela cesta :-)
lenze ja hovorim o tom, ze ak takuto aktivitu (o akej pisem) by bola sucastou policajnej prace, tak je to omnoho jednoduchsie. Aj preto, ze ide o prejavy kriminalnej cinnosti. V tom nevidim ziadny pravny ani eticky problem.
Cize ak by sme to rozviedli: presunieme dilemu na policiu aj tym, ze dajme tomu existuje Interpol, neviem ake ma presne vykonne postavenie avsak existuju medzinarodne akcie policii roznych statov, jediny formalny akt je oznamenie o trestnom cine. A zvysok su uz aktivity policie smerujuce k zamedzeniu pachania trestnej cinnosti. Skor by som teda uvazoval nad tym ako sa da koordinovat zasah na strojov vsemozne na svete (preto ten Interpol). Fakt, ze pachatelia su mimo dosah policie nie je moc dolezity.
Nejde o to “vypatrat pachatelov” ale obmedzit im pole posobnosti akutnym zasahom.
Veci, ktore spominas ty su nad ramec toho, nieco v zmysle ako ked si obcan kupi strelnu zbran na svoju obranu.
“V skutočnosti neviete, koho počítač sa snažíte “očistiť” a ani aký to bude mať skutočný dopad. Čo ak je infikovaný počítač kritický pre riadenie dôležitých systémov, čo ak práve ten počítač riadi niekoho životné funkcie? Kto môže povedať, čo je viac prospešné? Je to skutočne morálna a právna dilema”.
Viacmenej suhlasim s Ronym, kazdopadne nechapem o com hocori. Nech je kriticky pre riadenie dolezitych systemov, nech je dolezity pre cokolvek, botnet ako taky napacha viacej skody ako vyradenie nejakeho pocitaca (nechapem aj tak co mysli, ze ked mu botovi poviem - skap, tak skape cely pocitac, alebo co?)
Podla mna by EU mala dat MS pokutu, ze ma deravy system ako reseto a ze niektori uzivatelia nemozu stahovat zaplaty a potom MS system robi zlobu na nete.
hm, zaujimave nazory. ano, suhlasim, botnety su problem. nie, nesuhlasim, ze riesenie je ich proste dookola odstavovat, tiez hladate pyromana, ktory pozriar zalozil a nielen hasite poziar. ked sa nedaju tvorcovia najst, je potrebne ich odstrihnut od zdrojov. to ze im bude vypnuty botnet znamena, ze nabuduce pouziju silnejsiu sifru, ze botnet upravia do este lepsej podoby, ked uz vyskumnici nebudu mat sancu cokolvek urobit a potom sa len zacne “mechechce”. je to proste dost velka dilema a nemyslim si, ze je to mozne vyriesit len tak lahko. co sa tyka interpolu, ten stoji za prt. jedina organizacia, ktora ako tak zvlada boj s cybercrime je FBI (paradoxne). bohuzia, ta na nas z vysoka kasle a stara sa len o svoju domovinu, takze u nas, ak by aj bol tvorca botnetu, policia asi len velmi tazko dokaze skutocne zakrocit.
a co sa tyka ms, ano, myslim ze aj tam je pes zakopany. spolocnost by nemala limitovat updaty na legalne kopie systemu, mozno by mala ludi motivovat, aby si system aktivovali za vyhodnych podmienok. dufam, ze sa nejaka legislativna slucka opatovne uviaze na krk tejto spolocnosti (ja viem, ze je to nefer voci nim, ale kto je leader, musi trpiet).
Len poznamka - tie zivotne funkcie, predstav si pocitace v nemocniciach, v ktorych bezi tento malware. Nikto ti nezaruci, ze pri eliminovani krakena nedojde k nahodnemu respektive vynutenemu restartu a dosledky mozu byt doslova smrtelne. (ci uz maju tieto institucie zalozne systemi alebo nie tak moze byt nakazeny kazdy pc v sieti aj ked by len jeden mal pristup k netu).
asti: velmi dobra pripomienka, takto to myslel aj David Endler, ktory presne na toto poukazoval. Je prakticky nemozne urcit, komu pocitac patri a ci nevykonava dolezitu ulohu, tak ako je nemozne urcit, ci pc “nerachne”, ak bude u neho bot “zabity”