ΗΠΑ: Προστασία anti-botnet από ISP

**ipo** · 01-10-10, 15:47

Ο μεγαλύτερος ISP οικιακών ευρυζωνικών συνδέσεων, Comcast, ανακοίνωσε ότι θα παρέχει στους πελάτες της δωρεάν υπηρεσία ενημέρωσης, για την περίπτωση που οι υπολογιστές τους είναι μολυσμένοι με malware που τους καθιστά μέρος botnet.

Η υπηρεσία ξεκίνησε δοκιμαστικά στο Denver πριν από ένα χρόνο, ενώ τους επόμενους μήνες θα προσφερθεί στα υπόλοιπα 16 εκατομμύρια πελάτες της στις ΗΠΑ. Οι πελάτες θα λαμβάνουν ενημερωτικά e-mail σχετικά με τη λειτουργία του συστήματος ανιχνεύσης botnet και ειδοποίησης των χρηστών. Επίσης θα ενημερώνονται για τον τρόπο με τον οποίο εξαπλώνονται τα botnet με τα κακόβουλα attachment και link, εξελισσόμενα σε δίκτυα χιλιάδων μολυσμένων υπολογιστών, τα οποία κατόπιν ελέγχονται από τους εγκληματίες με στόχο την αποστολή spam και τις επιθέσεις DDoS σε συγκεκριμένες ιστοσελίδες.

Οι μολυσμένοι υπολογιστές αποκαλούνται zombies και λαμβάνουν οδηγίες από τους εγκληματίες μέσω κεντρικών υπολογιστών ελέγχου. Ο διευθυντής ασφάλειας και προστασίας ιδιωτικότητας της Comcast, Jay Opperman είπε ότι η εταιρεία θα χρησιμοποιήσει το σύστημα ανίχνευσης botnet της εταιρείας Damballa, ώστε να αναγνωρίζει τα κέντρα ελέγχου των botnet και να ειδοποιεί τους κατόχους υπολογιστών που επικοινωνούν με αυτά. Η Comcast θα παρακολουθεί μόνο την κίνηση προς τα κέντρα ελέγχου των botnet, ενώ δεν απαιτείται η εγκατάσταση λογισμικού στους υπολογιστές των πελατών.

Η εταιρεία θα ενημερώνει τους πελάτες της που πιθανώς έχουν μολυσμένο υπολογιστή αρχικά μέσω e-mail και εν συνεχεία μέσω ειδοποίησης στον browser. Οι πελάτες κατόπιν θα οδηγούνται στην ιστοσελίδα Constant Guard Web Site της εταιρείας, όπου μπορούν να λάβουν οδηγίες για τον καθαρισμό του υπολογιστή τους ή την εγκατάσταση εμπορικής εφαρμογής προστασίας δωρεάν.

Η συγκεκριμένη μέθοδος προστασίας εφαρμόζεται ήδη από την εταιρεία Qwest μέσω του Customer Internet Protection Program που εμφανίζει προειδοποίηση στον browser, προτείνοντας τρόπο για τον καθαρισμό της μόλυνσης.

Πηγή: CNET

DSLaManiaC · 01-10-10, 15:50

Θα το αγνοούν όλοι.

Πρέπει να οδηγούνται απευθείας στη σελίδα χωρίς να έχουν πρόσβαση στο internet μέχρι να το καθαρίσουν.

**ipo** · 01-10-10, 15:53

Αρχικό μήνυμα από DSLaManiaC

Θα το αγνοούν όλοι.

Πρέπει να οδηγούνται απευθείας στη σελίδα χωρίς να έχουν πρόσβαση στο internet μέχρι να το καθαρίσουν.

Μάλλον έτσι το υλοποίησε η Qwest.

Qwest is another ISP that is alerting customers to possible malware infections. Its Customer Internet Protection Program displays a Web page with a warning to customers and offers a way to remove the infection for free before the customer can continue surfing the Web.

DSLaManiaC · 01-10-10, 15:54

Άντε ένας ένας παιδιά μπας και καθαρίσει ποτέ ο καρκίνος των botnet.

**Tony_Ts** · 01-10-10, 16:32

Καλή πρακτική κι εύχομαι να αποδώσει. Υποθέτω όμως πως το επόμενο social engineering θα είναι ιστοσελίδες τύπου "προειδοποίησης Botnet" που θα σε προτρέπουν να εγκαταστήσεις το τάδε πρόγραμμα για να "καθαρίσεις", εγκαθιστώντας με αυτό τον τρόπο το ίδιο το κακόβουλο πρόγραμμα. Εκτός κι αν στην αυθεντική σελίδα αναφέρεται το ονοματεπώνυμο του χρήστη (με βάση την ΙΡ διεύθυνση κι αντιστοίχηση ISP username με real name) οπότε είναι σχεδόν σίγουρος πως δεν πρόκειται για απάτη.

Αλήθεια, υπάρχει περίπτωση για λάθη τύπου False positives όπως στα AV ?

**ipo** · 01-10-10, 16:35

Αρχικό μήνυμα από Tony_Ts

.Υποθέτω όμως πως το επόμενο social engineering θα είναι ιστοσελίδες τύπου "προειδοποίησης Botnet" που θα σε προτρέπουν να εγκαταστήσεις το τάδε πρόγραμμα για να "καθαρίσεις", εγκαθιστώντας με αυτό τον τρόπο το ίδιο το κακόβουλο πρόγραμμα.

Θα το δούμε κι αυτό το scareware μόλις μάθει πολύς κόσμος τη νέα υπηρεσία των ISP.

**psyxakias** · 01-10-10, 16:47

Η ενημέρωση για malware, βάσει των IPs που συνδέονται σε c&c servers, δεν είναι κάτι το πρωτότυπο. Εδώ και χρόνια υπάρχουν οργανισμοί που ενημερώνουν τους παρόχους για τέτοιες δραστηριότητες και αυτοί με τη σειρά τους οφείλουν όχι μόνο να ενημερώνουν τους πελάτες τους αλλά και να προβαίνουν σε περαιτέρω ενέργειες (περιορισμό ή αποκλεισμό πρόσβασης) εάν ο πελάτης δεν επιλύσει το θέμα εντός ενός συγκεκριμένου χρονικού διαστήματος, όπως προβλέπει η σύμβασή τους. Δυστυχώς αρκετοί πάροχοι κωλοσιεργούν, είτε λόγω κακής οργάνωσης (έλλειψη αυτοματοποιημένης διαδικασίας), είτε λόγω ότι δε το θεωρούν σημαντικό.

Αν κατάλαβα καλά, το μόνο καινούριο που προσφέρει η εν λόγω εταιρεία στην Comcast είναι ότι αυτοματοποιεί την διαδικασία ενημέρωσης και ποινών (που κάποιοι πάροχοι έχουν ήδη υλοποιήσει μόνοι τους), αφού πρώτα ελέγξει την κίνηση των χρηστών (L3 sniffing

) και ταυτοποιήσει τυχόν συνδέσεις με c&c servers (ip/port). Θετική εξέλιξη λοιπόν, αλλά και πάλι είναι θέμα χρόνου να υλοποιηθούν μεθόδοι για να αποφεύγουν αυτούς τους ελέγχους, όπως για παράδειγμα μεταφέροντας τα botnets σε decentralized τοπολογία όπως είναι η p2p (δε δίνω ιδέες, ήδη υπάρχει στα σκαριά κάτι τέτοιο). Οπότε να πούμε ότι θα ξεμπλέξουμε από τα botnets και τις παράνομες δραστηριότητές τους έτσι απλά, είναι δυστυχώς ουτοπικό.

........Auto merged post: psyxakias πρόσθεσε 2 λεπτά και 37 δευτερόλεπτα αργότερα ........

Αρχικό μήνυμα από Tony_Ts

Αλήθεια, υπάρχει περίπτωση για λάθη τύπου False positives όπως στα AV ?

Με 2 οργανισμούς που έχω συνεργαστεί τα τελευταία χρόνια και παρέχουν τέτοιου είδους reports σε παρόχους παγκοσμίως, όχι δεν υπήρξε ποτέ false report. Υπάρχουν όμως και άλλοι που δε ξέρουν που παν τα 4, οπότε είναι καθαρά θέμα σωστής υλοποίησης του εντοπισμού.

Αν το σκεφτείς τεχνικά, δεν υπάρχει λόγος κάποιος non-infected να συνδεθεί σε ένα daemon σε συγκεκριμένο IP/Port (για να δεχτεί εντολές), ούτε να κάνει fetch συγκεκριμένο URL (πχ http://blablalbalblab.com/blablabla/...ba/blablab.dat) που δεν είναι πουθενά κοινοποιημένο.

**~~aiolos.01~~** · 02-10-10, 05:19

Αν η ανίχνευση γίνεται μόνο με βάση τις συνδέσεις σε γνωστές IP τότε δεν είναι και τόσο αποτελεσματική. Ενας καλός τρόπος θα ήταν να βλέπουν αν ξαφνικά ενα pc αρχίζει να στέλνει 10.000 email κάθε μέρα. Οχι οτι αυτό είναι το μόνο που κανουν τα botnet, αλλά συνήθως είναι βασικό μέρος του ρεπερτορίου τους.

**agos** · 03-10-10, 09:19

Off Topic

Σε επίπεδο χρήστη, τι μπορεί να κάνει κανείς για να διαγνώσει αν είναι μέρος botnet;

Φαντάζομαι ότι τα μηνύματα δεν θα περνάνε από το Outlook...

**vlsi** · 03-10-10, 11:06

Αρχικό μήνυμα από agos

Off Topic

Σε επίπεδο χρήστη, τι μπορεί να κάνει κανείς για να διαγνώσει αν είναι μέρος botnet;

Φαντάζομαι ότι τα μηνύματα δεν θα περνάνε από το Outlook...

Μερικές πληροφορίες εδώ.

DSLaManiaC · 06-10-10, 20:43

Αρχικό μήνυμα από psyxakias

Αν το σκεφτείς τεχνικά, δεν υπάρχει λόγος κάποιος non-infected να συνδεθεί σε ένα daemon σε συγκεκριμένο IP/Port (για να δεχτεί εντολές), ούτε να κάνει fetch συγκεκριμένο URL (πχ http://blablalbalblab.com/blablabla/...ba/blablab.dat) που δεν είναι πουθενά κοινοποιημένο.

Off Topic

1ος Φίλος σε 2ο φίλο στο MSN: Μπες στο http://blablalbalblab.com/blablabla/...ba/blablab.dat να δεις!
2ος φίλος σε 1ο φίλο στο τηλέφωνο: "Ρε, μ έβαλες να μπω εκεί και τώρα μου κόπηκε το internet

Θέμα: ΗΠΑ: Προστασία anti-botnet από ISP

Παρόμοια Θέματα

Νέο νομοσχέδιο στις ΗΠΑ για την προστασία της ιδιωτικής ζωής στις τηλεφωνικές επικοινωνίες

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές