. Bustos Botnet mais para acrobacias de segurança, diz especialista - Tudo Sobre Tecnologia

Microsoft e Symantec fez manchetes em setembro e no verão por derrubar grandes botnets. Agora, um especialista chama suas ações ineficazes, e se pergunta se a única razão que aconteceu foi para angariar boa imprensa.
Trabalhando para trás, a Symantec anunciou em setembro que eles usaram uma vulnerabilidade no código do botnet ZeroAccess para derrubar uma parte significativa do mesmo. Suas ações ganhou manchetes, porque ZeroAccess existe desde 2010, e tinha um ponto de apoio em milhões de sistemas no mundo todo.
Em uma situação semelhante, a Microsoft tirou 88 por cento de o botnet Citadel neste verão, vai ao ponto de enviar arquivos de configuração para os sistemas infectados que os obrigou a se conectar a buracos, removendo-os de controle criminal. Na época, a Microsoft disse que 40 por cento dos computadores que faziam parte da operação foram limpos de infecção.
No entanto, houve aqueles que disseram que as ações da Microsoft não eram nada mais do que um PR dublê inteligente , e que não teve qualquer impacto real sobre o cenário de ameaças.
Em um post recente, de Damballa CTO, Brian Foster, diz que quedas botnet muitas vezes não cumprem suas metas declaradas de reduzir o risco de infecção online. Na verdade, diz ele, é algo completamente diferente.
"Faz-me pergunto se esses esforços são para o único propósito de angariar imprensa, porque eles certamente não têm qualquer impacto duradouro sobre a segurança do usuário final", escreveu Foster.

Carências verificadas

Apoiando suas teorias, Foster listou três razões que botnet quedas são ineficazes. Para começar, ele observou, a maioria das quedas são feitas ao acaso. Na maioria dos casos, apenas uma pequena porcentagem dos servidores de comando e controle de uma determinada mercadoria botnet agarrou pelos benfeitores. Assim, ao mesmo tempo que faz uma boa cobertura para mostrar que 24 por cento de uma botnet foi tirado do ar, "[ele] ainda deixa 76 por cento do que ativa. O atacante ainda tem uma posição forte e pode facilmente se recuperar."
Além disso, as quedas não são responsáveis ​​por métodos de comunicação secundárias, tais como canais de P2P, ou algoritmos de geração de domínio (DGA) que podem ser utilizados por malware.
botnet
"Olhamos para 43 peças de malware e descobriu que três deles tinham métodos de retorno secundário. Isso significa que, pelo menos, três das botnets, pesquisadores de segurança precisa tomar medidas adicionais para garantir que a botnet está desativado", disse Foster.
Por fim, ele observou, os próprios takedowns não resultar na detenção da pessoa (s) atrás da própria botnet. A menos que o atacante foi detido, não impedi-los de começar de novo e construir uma botnet diferente.
"Conclusão: Se os pesquisadores de segurança e suas organizações estão fazendo takedowns por razões de marketing, então não importa como eles poderiam fazer isto Mas se eles estão fazendo takedowns para limitar verdadeiramente abuso Internet e proteger os usuários finais, então é preciso que haja um mais. abordagem séria do que o que tem sido normalmente utilizado pela indústria. Caso contrário, os bots mais uma vez virar suas cabeças feias ", Foster concluiu.
Autor: Steve Ragan 


0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo