De huidige geavanceerde bestrijding van botnets zal voor een wapenwedloop zorgen tussen opsporingsdiensten en botherders. Dat zegt senior beveiligingsonderzoeker Roel Schouwenberg van Kaspersky. ‘Hoe meer botnets er neergehaald worden, hoe meer botherders aan het denken worden gezet’, zegt de 26-jarige Nederlander, die vanuit Boston onderdeel uitmaakt van het wereldwijde onderzoeks- en analyseteam van het antivirusbedrijf.
'De bestrijding van botnets kan de evolutie ervan versnellen, net zoals antibiotica', zegt Schouwenberg. Bij botnetbestrijdingsacties blijft vaak een deel van het botnet intact, bijvoorbeeld omdat opsporingsdiensten alleen in hun eigen land commando- en controleservers mogen neerhalen en/of bots opschonen.
Dat laatste was bijvoorbeeld het geval bij Coreflood. Zo'n situatie is niet ongevaarlijk, volgens de onderzoeker, omdat de botherder er vervolgens voor kan zorgen dat het resterende gedeelte van het botnet resistentie ontwikkelt tegen de toegepaste bestrijdingstechnieken. Een botherder is de 'baas' van een botnet. Hij stuurt het botnet aan, via de commando- en controleinfrastructuur van het netwerk van geïnfecteerde computers.
Authenticatie
Er is één verdedigingsstrategie die Schouwenberg vooral zorgen baart: authenticatie. Het enige botnet waarvan bekend is dat het deze techniek toepaste is Conficker, dat in 2008 opdook. 'Conficker was zijn tijd ver vooruit. Het botnet is geneutraliseerd, doordat opsporingsdiensten erin geslaagd zijn de controle over het botnet over te nemen. Probleem is alleen dat opschoning van de geïnfecteerde machines onmogelijk is gemaakt doordat bots alleen commando's accepteren van een persoon die via authenticatie kan bewijzen dat hij de botherder is. Ik vrees dat toekomstige botnets vaker van deze zelfde techniek gebruik zullen gaan maken.'