Shehzad Ahmad foreslår i denne klumme fra Computerworld Online en opskrift til at få renset pc'er, der er inficeret med botnet-programmer.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Et ukendt antal danske pc'er er inficeret med programmer, der lader bagmænd fjernstyre dem. De indgår i såkaldte botnet.
I sikkerhedsbranchen diskuterer vi løbende, hvad vi kan gøre ved problemet.
Ofte kan vi ud fra kommunikationen mellem en pc og internettet se, at den må være inficeret.
Men det hjælper bare ikke særlig meget. For der er langt fra at kende IP-adressen på en inficeret pc og til at advare dens ejer.
Her er mit forslag til, hvad vi kan gøre. Det er ikke helt gennemarbejdet, og jeg kan selv se nogle problemer med det, men jeg tror, det er muligt at gennemføre.
Sikkerhedsfirma overvåger
Internetudbyderne hyrer et specialiseret sikkerhedsfirma til at holde øje med, om deres kunders pc'er begynder at opføre sig mistænkeligt.
Når jeg foreslår, at opgaven skal lægges ud til et sikkerhedsfirma, skyldes det dels, at de har specialviden om it-sikkerhed, dels at lovgivningen begrænser, hvordan udbyderne må overvåge deres kunder.
Sikkerhedsfirmaet får selvfølgelig ikke adgang til at se ind i kundernes pc'er.
Det overvåger trafikken på nettet og kan på den måde opdage mønstre, der tyder på infektioner.
Når sikkerhedsfirmaet opdager en IP-adresse, der ser ud til at være inficeret, sender det IP-adressen til udbyderen.
Udbyderen omdirigerer HTTP-opkald fra den pågældende IP-adresse til en særlig webside.
Her informeres brugeren om, at der er risiko for, at pc'en er inficeret.
Sådan får du renset din computer
Brugeren får valget mellem selv at rense sin pc eller lade sikkerhedsfirmaet (på vegne af udbyderen) gøre det.
Hvis brugeren vælger selv at rense, giver siden links til anvisninger på, hvordan det gøres.
Hvis brugeren ignorerer advarslen, kan man som et sidste skridt lukke for adgangen.
Inden da skal der være forsøgt advaret ad andre kanaler, fx via mail eller SMS.
Jeg tror, at metoden kan virke. Men der er nogle udfordringer.
For det første gør vi meget ud af at lære brugere, at de ikke skal tro på falske virusadvarsler. Så hvordan overbeviser vi dem om, at denne her advarsel altså er god nok?
For det andet er der nogle tekniske komplikationer. En IP-adresse er ikke identisk med en pc. Ofte vil der være flere pc'er bag en IP-adresse, der deles via NAT.
Eller en adresse har skiftet ejer, fordi udbyderen kører med dynamisk tildelte adresser. Det er muligt at finde frem til ejeren, men det kræver mere arbejde for internetudbyderen.
Så den bruger, der omdirigeres til advarselssiden, har måske slet ikke noget sikkerhedsproblem. Det skal der tages højde for – men hvordan?
Jeg har vendt ideen med udbydere og sikkerhedsfolk, og de er ikke afvisende over for den.
Men som det fremgår, er der nogle spørgsmål, der skal afklares.
Se derfor dette som et oplæg til debat i branchen om, hvordan vi kan komme dette alvorlige problem til livs.
Oprindelig bragt på Computerworld Online fredag den 25. september 2009
LINKS
Skal danske internetudbydere bekæmpe botnet?
Bekæmpelse af botnet er en hårfin balancegang