Шпионски софтуер, ФБР и провалът на доставчиците на услуги за интернет




Шпионски софтуер, ФБР и провалът на доставчиците на услуги за интернет

PCMagazine, Брой 7
Категория: Информационна Сигурност , Мнение
Етикети: информационна сигурност , ботнет , ФБР
Саша Сиган
25.7.2011


Тази операция носеше името Adeona. В нея вземаше участие и ФБР. Шпионски софтуер. Интрига. Спорове. ФБР се зае със задачата да атакува един от клетите ботнети, който залива със спам интернет, за да намери начин да прихваща неговата функция „обаждане вкъщи“. И в края на краищата му придаде нови и по-малко разрушителни инструкции. Позволете ми да обясня.

Ботнетите (botnets, мрежи от ботове), общо взето, се състоят от хиляди заразени компютри, на които е инсталиран определен зловреден софтуер. Вашият домашен компютър може да е един от тях. Зловредният код обикновено е под формата на троянски кон, внедрен от уебсайт, или е някакъв код, върху който вие сте щракнали с мишката по погрешка. Веднъж инсталиран на вашия компютър, той по същество не прави нищо, докато не бъде призован да влезе в действие.

Днес идеята е вашата машина да бъде заразена със софтуер с нечестиви цели – в това число изпращане на спам от вашия акаунт, изпращане на ping-ове към компютъра жертва с цел да се тормози някой или с цел да се извършват странни маркетингови проучвания. В повечето случаи тези заразени машини вършат мръсната си работа след работно време или нощем и рядко през деня, когато наблюдателният собственик може да забележи някаква съмнителна дейност.

Това представлява обществена опасност. Едва ли мога да намеря достатъчно силни думи, за да подчертая, че хората трябва да използват добри сканиращи програми, за да ограничават такива програми. Заразени са милиони машини.

Поради тези причини ФБР реши да контраатакува една от основните мрежи от ботове, наречена Coreflood, която се използва за плячкосване на банкови сметки. ФБР трябваше да смени сървърите, общуващи със заразените машини от Coreflood, със свои собствени сървъри, както и да деактивира зловредния софтуер на Coreflood на заразените компютри. Изглеждаше, че този процес върви добре, и мрежите от ботове замлъкнаха една по една. Заразените компютри нямаха начин да разпространяват повече зарази, което ги правеше безполезни. Но това сега се оказа рисковано.

Дали ФБР не отиде твърде далеч?
ФБР иска да предприеме още няколко стъпки в тази посока и да позволи на кода да телефонира у дома, за да получи инструкция да се премахне сам от машините. С други думи, ФБР иска да накара всеки персонален компютър да изтрие кода, без разрешение на собственика му. Така възникна един нов спор, който се разгорещява.

Защитниците на личната информация виждат в това начало на края, доколкото намесата на правителството в частни персонални компютри продължава. На ФБР няма да му струва никакви усилия да надниква в персонални системи и вероятно да намира там незаконно притежавани MP3 файлове, хакнати копия на Windows и какво ли още не. След това правителството би могло да изтрие тези копия и да ви арестува или да блокира напълно компютъра ви, за да го направи неизползваем. Това са напълно оправдани страхове, но не виждам описаните по-горе процеси да водят до това.

В този случай ФБР демонстрира, че подхожда много внимателно към всичко и не показва признаци да има поведението на българската Държавна сигурност от социалистическо време – по-възрастните читатели вероятно си спомнят, че нейните агенти обикаляха домовете на хората и проверяваха видеокасетите им за порнографски и секс записи на тях и ако откриеха такива, следваше конфискация на видеокасетофона. Аз бих се радвал ФБР да успее да деинсталира всичките троянски коне от всеки компютър, който приеме кода за деинсталация. Съществува и страх, че при тази деинсталация операционната система на компютъра може да пострада. Например деинсталацията може да се случи, когато машината се използва, и достъпът до твърдия диск да бъде засегнат от кода за деинсталация, което би довело до загуба на важни данни. Съществуват много вероятности и повечето са лоши.
Но ФБР събира ping информация от машините, а някои хора се надяват, че бюрото би работилосъвместно с доставчиците на услуги за интернет и да уведомява определени потребители, че машините им са заразени и трябва да предприемат мерки. Тази идея е като че ли най-разумният подход, поне според мен.

Ролята на доставчиците на услуги за интернет
Но в цялата картинка липсва един елемент: всичко това просто не е необходимо. Доставчиците на услуги за интернет би трябвало да следят мрежите си сами и да търсят мрежи от ботове навсякъде.

Навремето имах един заразен компютър, който изпращаше милиони ping-ове, докато провеждах чат със специалистите от техническата поддръжка. След като извърших проверка за вируси, открих някои троянски коне; изтрих ги и след това машината работеше чудесно.

Момчето от техническата поддръжка видя, че компютърът ми разпространява ping-ове, и ме информира за това. Защо доставчиците на услуги за интернет да не могат редовно да проверяват дейността в мрежата и да използват задълбочена проверка на пакети (deep-packet sniffing), за да откриват тези заразени машини и да уведомяват първо собствениците им? Много трудно ли е това? Ако е вярно, че те могат да проверяват задълбочено един разговор по Skype, защо да не могат да откриват такива ботове? В крайна сметка, така ще пестят пропускателен капацитет, а това ще е от полза за всички.

Нямам нищо против ФБР да се опита да реши този проблем, но той едва ли би бил толкова наболял, ако доставчиците на услуги за интернет полагаха малко повече грижи за своите клиенти, вместо само да събират пари от тях.


Съдържание: