阻止僵尸網絡能力受限——法律限制
Kaspersky日本實驗室的一名研究人員稱,由于法律的限制,那些監控世界上一些大規模僵尸網絡(botnet)的危害程度與活動的安全研究團隊幾乎無法采取有效措施來阻止僵尸網絡。
在上周三舉行的2010事件響應以及安全團隊(FIRST)會議上,Kaspersky的首席安全專家Vitaly Kamluk向數百位事件響應團隊成員指出,由于安全研究人員無法采取有效的辦法來關閉僵尸網絡,整個僵尸網絡生態系統正在蓬勃發展。Kamluk表示:僵尸網絡的技術水平越來越高,而地下商業環境更是起到了火上澆油的作用。
“我們必須在技術方面下更多的功夫,”Kamluk 指出,“我們必須引進更多的技術解決方案,來打破這個循環,并且撤掉那些讓惡意軟件有用武之地的基礎設施。”
Kamluk解釋了網絡罪犯如何采取措施來監督僵尸網絡擁有者和租用僵尸網絡的用戶之間的交易。一位擔保人或者中間人(這個人通常是進行犯罪活動的web論壇版主)監督著交易,并從中獲益。Kamluk指出,他們這樣做的目的是在兩者之間建立起某種程度的信用等級,并驅逐欺騙者,也就是那些沒有為僵尸網絡服務付錢的人。
“擔保人必須有聲望和地位,”Kamluk表示,“在論壇上他們比新注冊的人更加可信,而且他們能夠保證交易的可靠性。”
Kamluk指出,在僵尸網絡發展到失去控制之前,一定要破壞僵尸網絡的基本技術以及地下市場系統。現在有這樣的技術,可以切斷僵尸網絡命令和控制能力,并審查那些受到感染的機器(即組成僵尸網絡的電腦)。但是,有專家質疑這種行為的道德性。從法律的角度看,法官們想知道,如果出現差錯誰將為此負責。而且,由于這種行為與網絡罪犯感染機器類似,很難區分整個過程到底是犯罪活動還是安全團隊采取的行動。人們努力通過法律途徑揪出無賴ISP主導的僵尸網絡病毒以及其他的邪惡活動,但是成效有限。
在Gumblar案件中,當沒有人為干預時,一個像僵尸網絡那樣傳播的FTP密碼偷盜木馬感染了多達12000臺Web服務器,研究人員已經發現了一個后門程序,可以從根本上幫助清理受Gumblar感染的服務器,使病毒無法工作。
“可能我們只需要五分鐘就能清理好這12000臺web服務器,但在沒有經授權時這是違法的,所以我們不能這樣做,”Kamluk說道。
Arbor Networks公司的僵尸網絡專家Jose Nazario也描繪了類似的黯淡前景:攜帶拒絕服務(DoS)攻擊的僵尸網絡(botnet)很難控制。Jose Nazario表示,僵尸網絡被三個或者四個不同團體所控制,阻止和調查他們的成本會持續增加。
“挑戰非常大,我們還沒有做好應對措施,”Nazario在對第一批與會者的演講中這樣說,“當攻擊者想進行攻擊的時候,網絡安全的門是大開的。”
人們認為Conficker這個眾所周知的可以快速傳播的蠕蟲已經感染了超過七百萬臺機器。研究團隊還在繼續阻擊它的命令和控制鏈。Torpig 或者Sinowal,一種偷竊銀行認證碼的僵尸網絡(botnet),具備一種精心設計的算法,這種算法使用查詢傾向(search trend)和其他方法來確定一個路過式(drive-by-download)下載域。因此,它只能通過試圖找到它使用的域名來間歇性對其進行阻擊。
Nazario指出,“現在我們防御者的責任是在域名空間中試著通過逆向工程去進行管理。”
【編輯推薦】
