Met een bataljon ‘honey monkeys’ gaat Microsoft actief het internet op om bronnen van besmetting met malware op te sporen. Dat vertelde David Aucsmith, senior director van Microsofts Institute for Advanced Technology in Governments, tijdens de Govcert.nl-conferentie van 14 en 15 september.
Bij het afzoeken van het web voor de MSN-zoekmachine vinden spiders van Microsoft niet alleen bonafide content. Ze stuiten ook op misbruik van merknamen (belangrijk in verband met mogelijke phishing-aanvallen) en met malware geïnfecteerde pagina’s. Die laatste kun je detecteren, maar dan weet je nog niet wat ze precies doen.
Zie daar het doel van de honey monkeys, een grote hoeveelheid Windows-machines met verschillende patches erop. Zij gaan bewust het web op met het doel zich te laten besmetten. De technici en advocaten van Microsoft letten goed op wat er daarna gebeurt en verzamelen net zo veel informatie tot ze de spammer (want daar gaat het meestal om) getraceerd hebben. Aucsmith: “De gevaarlijkste sites wat malware betreft blijken video game cheats te zijn; daarna porno, beroemdheden en liedteksten. De aanvallen zijn overduidelijk gericht op computers van tieners.”
De belangrijkste bron van informatie voor aanvallen op Microsoft software is het bedrijf zelf, erkent Aucsmith: “Wij zijn zelf de beste instructeur van hackers. Er zijn drie groepen die zich hiermee bezig houden. De eerste zijn degenen die de bug vinden. Dat zijn meestal experts die zo netjes zijn ons in te lichten. Alleen, zodra we een patch uitbrengen, zijn er groepen die er aardigheid in hebben die te reverse engineeren en de code te publiceren. Die hoeven niet eens kwade bedoelingen te hebben, al zal er best overlap zijn met de derde groep, die er malware van maakt.”
Niet alleen lakse gebruikers die niet regelmatig patchen worden het slachtoffer. Ook bedrijven die vinden dat een patch grondig getest moet worden voor de definitieve installatie, kunnen de klos zijn. De malwaremakers doen niet aan testen. Dus zijn ze sneller. De gemiddelde tijd voor reverse engineering is momenteel zes dagen. “Wij kunnen nu met een marge van zes uur nauwkeurig voorspellen wanneer de eerste aanval op basis van een bepaalde zwakheid komt”, aldus Aucsmith. “Onze patches proberen we iedere keer anders op te zetten, om het reverse engineers zo moeilijk mogelijk te maken.”
Aucsmith ging ook in op de vraag waarom Microsoft niet gewoon betere software aflevert. “Het is een inherent probleem van complex systeemontwerp”, verdedigde hij zijn bedrijf. “Het gebouwde systeem wijkt altijd af van de specificaties. Maar met testen op input/output vind je alleen ontbrekende functionaliteit. De meeste dreigingen zitten echter in extra functionaliteit die niet gespecificeerd was, zoals buffer overruns.”
Het doorzoeken van die ruimte van mogelijke extra functionaliteit is echter een zogeheten NP-compleet probleem. Dat betekent dat dit soort bugs niet systematisch op te sporen is. Aucsmith: “Een programmeur moet zich eigenlijk bij iedere regel code afvragen: hoe zou je deze kunnen aanvallen? Maar op die manier wordt programmeren nog niet onderwezen.”