'Botnetbestrijding zorgt voor wapenwedloop'

Vrees bestaat dat botherders authenticatie gaan gebruiken

10-05-2011 08:33 | Door Jolein de Rooij | Lees meer artikelen over: Authenticatie, Botnets | Er is 1 reactie op dit artikel | Permalink

De huidige geavanceerde bestrijding van botnets zal voor een wapenwedloop zorgen tussen opsporingsdiensten en botherders. Dat zegt senior beveiligingsonderzoeker Roel Schouwenberg van Kaspersky. 'Hoe meer botnets er neergehaald worden, hoe meer botherders aan het denken worden gezet', zegt de 26-jarige Nederlander, die vanuit Boston onderdeel uitmaakt van het wereldwijde onderzoeks- en analyseteam van het antivirusbedrijf.

'De bestrijding van botnets kan de evolutie ervan versnellen, net zoals antibiotica', zegt Schouwenberg. Bij botnetbestrijdingsacties blijft vaak een deel van het botnet intact, bijvoorbeeld omdat opsporingsdiensten alleen in hun eigen land commando- en controleservers mogen neerhalen en/of bots opschonen.

Dat laatste was bijvoorbeeld het geval bij Coreflood. Zo'n situatie is niet ongevaarlijk, volgens de onderzoeker, omdat de botherder er vervolgens voor kan zorgen dat het resterende gedeelte van het botnet resistentie ontwikkelt tegen de toegepaste bestrijdingstechnieken. Een botherder is de 'baas' van een botnet. Hij stuurt het botnet aan, via de commando- en controleinfrastructuur van het netwerk van geïnfecteerde computers.

Authenticatie

Er is één verdedigingsstrategie die Schouwenberg vooral zorgen baart: authenticatie. Het enige botnet waarvan bekend is dat het deze techniek toepaste is Conficker, dat in 2008 opdook. 'Conficker was zijn tijd ver vooruit. Het botnet is geneutraliseerd, doordat opsporingsdiensten erin geslaagd zijn de controle over het botnet over te nemen. Probleem is alleen dat opschoning van de geïnfecteerde machines onmogelijk is gemaakt doordat bots alleen commando's accepteren van een persoon die via authenticatie kan bewijzen dat hij de botherder is. Ik vrees dat toekomstige botnets vaker van deze zelfde techniek gebruik zullen gaan maken.'

mm, 10-05-2011 17:15

Zolang het wegnemen van de oorzaken (vooral besturingssystemen en applicaties die onveilig zijn) ondergeschikt is (qua tijd/geld/energie/aandacht die er in wordt gestoken) aan symptoonbestrijding (virus/malwarescanner, antispam-software, botnetbestrijding) valt ook niet te verwachten dat er een oplossing komt voor deze wedloop.

Laat er eerst maar eens kwaliteitscontrole- en eisen komen op besturingssystemen. Laat hackers eerst maar eens los op een (nieuwe versie van) OS of wijdgebruikte applicatie voordat het publiek mag worden. Het punt is natuurlijk dat het toch introduceren van een onveilig OS of applicatie gewoon meer geld opbrengt dan eerst goed testen en aan kwaliteitseisen voldoen. Het is kortom dus gewoon weer een kwestie van teveel geld dat naar bedrijven gaat ten koste van het publiek (dat middels de belasting toch wel betaald aan 't bestrijden van botnets, digitale fraude, etc).

Bedrijven worden gewoon te vrij gelaten in het releasen van slechte software. (Nauwelijks eisen, nauwelijks controle en nauwelijks straffen als 't toch mis gaat.) Dat is het hele eier-eten.

Dit zie je trouwens niet alleen bij software, maar ook bij legio andere zaken zoals bijv. bij boorplatforms. BP is bijv. wèl zo nu en dan gecontroleerd (net als andere platforms), maar elke keer bleven sancties uit bij geconstateerde veiligheidsgebreken. Het zou dan juist verwonderlijk zijn als er NIET ooit een grote milieuramp zou gebeuren met zo'n platform.
Deze vergelijking ter analogie.

	Aantal reacties met 3+ sterren		Gemiddelde waardering
1	Maarten Oberman	752	6.1
2	Henri Koppen	655	6.3
3	Reza Sarshar	618	6.4
4	Ewout Dekkinga	588	6.3
5	Pa Va Va Ke	537	6.3
6	Ruud Mulder	516	6.2
7	NumoQuest	276	6.2
8	Willem Oorschot	236	6.2
9	mauwerd	157	6.1
10	Jurgen Prins	122	6.0

Nieuws / Security

'Botnetbestrijding zorgt voor wapenwedloop'

Vrees bestaat dat botherders authenticatie gaan gebruiken

Authenticatie

23-05 Prevent-IT neemt NetEyes over

23-05 XA neemt Xerox-tak over van BührmannUbbens

23-05 PON kent subsidie toe aan onderzoeken CGI en UvA

23-05 Evinova Datacenter opent deuren in Meppel

23-05 Nederland houdt voorsprong in UCC-technologie

23-05 Computable zoekt testers voor HP ElitePad

23-05 Adviseur Peakvalue treedt uit The Future Group

22-05 Norman Shark ontdekt Indiase cyberspionage

22-05 ITPH organiseert regionale IT-branchedag...

22-05 CUGNL hakt vanavond knoop door over toekomst

23-05 Evinova Datacenter opent deuren in Meppel

23-05 Quick Heal beveiliging nu ook in de Benelux

22-05 Norman Shark ontdekt Indiase cyberspionage

22-05 Documenten dubbel zien in de cloud

22-05 IntraData biedt CTB Flex handtekening via cloud

22-05 Eaton 5P UPS ondersteunt virtuele omgevingen

22-05 Vasco Data Security neemt Cronto over

21-05 Beveilig je site tegen DDoS-aanval

21-05 McAfee en Intel in digitale beveiliging

21-05 SpicyLemon

12-05-11 'Applicatie-integratie vormt beveiligingsrisico'

03-05-11 Ook Mac OS X heeft zijn eigen botnetkit

15-04-11 Non-profit organisatie sust botnet in slaap

23-03-11 'Botnetaanpak Microsoft is vernieuwend'

23-03-11 'Kans is groot dat Rustock-botnet echt weg is'

18-03-11 KLPD haalt servers Rustock-botnet neer

08-11-10 Botnet is als de veelkoppige slang Hydra

02-11-10 'Bredolab-botnet is nooit opgerold'

07-07-10 'Verplicht provider niet tot botnetbestrijding'

06-07-10 'Bestrijding botnet is te duur voor provider'

05-07-10 EZ gaat botnetbesmetting per provider meten

08-06-10 'Provider pakt slechts fractie botnets aan'