De huidige geavanceerde bestrijding van botnets zal voor een wapenwedloop zorgen tussen opsporingsdiensten en botherders. Dat zegt senior beveiligingsonderzoeker Roel Schouwenberg van Kaspersky. 'Hoe meer botnets er neergehaald worden, hoe meer botherders aan het denken worden gezet', zegt de 26-jarige Nederlander, die vanuit Boston onderdeel uitmaakt van het wereldwijde onderzoeks- en analyseteam van het antivirusbedrijf.
'De bestrijding van botnets kan de evolutie ervan versnellen, net zoals antibiotica', zegt Schouwenberg. Bij botnetbestrijdingsacties blijft vaak een deel van het botnet intact, bijvoorbeeld omdat opsporingsdiensten alleen in hun eigen land commando- en controleservers mogen neerhalen en/of bots opschonen.
Dat laatste was bijvoorbeeld het geval bij Coreflood. Zo'n situatie is niet ongevaarlijk, volgens de onderzoeker, omdat de botherder er vervolgens voor kan zorgen dat het resterende gedeelte van het botnet resistentie ontwikkelt tegen de toegepaste bestrijdingstechnieken. Een botherder is de 'baas' van een botnet. Hij stuurt het botnet aan, via de commando- en controleinfrastructuur van het netwerk van geïnfecteerde computers.
Authenticatie
Er is één verdedigingsstrategie die Schouwenberg vooral zorgen baart: authenticatie. Het enige botnet waarvan bekend is dat het deze techniek toepaste is Conficker, dat in 2008 opdook. 'Conficker was zijn tijd ver vooruit. Het botnet is geneutraliseerd, doordat opsporingsdiensten erin geslaagd zijn de controle over het botnet over te nemen. Probleem is alleen dat opschoning van de geïnfecteerde machines onmogelijk is gemaakt doordat bots alleen commando's accepteren van een persoon die via authenticatie kan bewijzen dat hij de botherder is. Ik vrees dat toekomstige botnets vaker van deze zelfde techniek gebruik zullen gaan maken.'
Zolang het wegnemen van de oorzaken (vooral besturingssystemen en applicaties die onveilig zijn) ondergeschikt is (qua tijd/geld/energie/aandacht die er in wordt gestoken) aan symptoonbestrijding (virus/malwarescanner, antispam-software, botnetbestrijding) valt ook niet te verwachten dat er een oplossing komt voor deze wedloop.
Laat er eerst maar eens kwaliteitscontrole- en eisen komen op besturingssystemen. Laat hackers eerst maar eens los op een (nieuwe versie van) OS of wijdgebruikte applicatie voordat het publiek mag worden. Het punt is natuurlijk dat het toch introduceren van een onveilig OS of applicatie gewoon meer geld opbrengt dan eerst goed testen en aan kwaliteitseisen voldoen. Het is kortom dus gewoon weer een kwestie van teveel geld dat naar bedrijven gaat ten koste van het publiek (dat middels de belasting toch wel betaald aan ’t bestrijden van botnets, digitale fraude, etc).
Bedrijven worden gewoon te vrij gelaten in het releasen van slechte software. (Nauwelijks eisen, nauwelijks controle en nauwelijks straffen als ’t toch mis gaat.) Dat is het hele eier-eten.
Dit zie je trouwens niet alleen bij software, maar ook bij legio andere zaken zoals bijv. bij boorplatforms. BP is bijv. wèl zo nu en dan gecontroleerd (net als andere platforms), maar elke keer bleven sancties uit bij geconstateerde veiligheidsgebreken. Het zou dan juist verwonderlijk zijn als er NIET ooit een grote milieuramp zou gebeuren met zo’n platform.
Deze vergelijking ter analogie.