Het was een opvallend stukje tekst in het rapport van ENISA van afgelopen week. Het adviesorgaan van de Europese Unie stelt dat de bedreiging van botnets afneemt (zie het staatje onderaan dit artikel). Zo is afgelopen jaar het botnet GameOver Zeus neergehaald, waarna de criminele operaties van dat botnet direct stopten. De comeback van GameOver Zeus laat nog op zich wachten.
Duiveltje is de details
Maar de duivel zit hem natuurlijk wel weer in de bijzinnen en details. Want, zo zegt ENISA helemaal aan het einde van zijn rapport, "het (deels) neerhalen van kwaadaardige infrastructuren (zoals botnets) heeft een discussie op gang gebracht over de doelmatigheid. Hebben we hier te maken met eenzelfde geval als in de geneeskunde, waar een toenemend gebruik van antibiotica meer resistente virusstammen waartegen nog geen bescherming is met de huidige middelen?"
De groei van de weerstand van botnets is al langer aan de gang. Zo is het botnet Kelihos niet neer te krijgen, net als overigens de Citadel-resten en alle andere vormen van Zeus. Maar vooral de spamcriminelen zoeken het nu ook in andere vormen van botnets, zoals de zombificatie van Android-telefoons. En opnieuw met nieuwe tactieken, zoals het spammen onder de radar. Dat houdt in dat bots in het netwerk zulke kleine spamaantallen verzenden dat ISP's en onderzoekers ze niet meer op het netvlies krijgen. Maar alle bots gezamenlijk komen tot aardige aantallen, hoewel dat per dag gemeten ook nog niet eens tot alarmerende hoeveelheden leidt.
Terugkeer ZeroAccess was voorspeld
En nu komt ook ZeroAccess dus weer terug. Ondanks dat Microsoft zijn actie ditmaal wel coördineerde met de bevoegde opsporingsdiensten. Want dat is een tweede minpunt in de al jarenlange strijd tegen botnets: de eigenzinnige aanpak van diverse bedrijven en opsporingsdiensten, die elkaars onderzoeken steeds doorkruisen. Dat ZeroAccess terug zou komen, stond eigenlijk al vast. Microsoft zei een jaar geleden dat het slechts ging om het verstoren van het botnet, en niet het uitschakelen, want dat bleek bijna niet te doen vanwege de complexe structuur.
ZeroAccess gebruikt peer-to-peer communicatie, dat eveneens tot grote hobbels leidt bij het uitschakelen van het botnet. Ook in de vorming van botnets waarbij smartphones worden gebruikt is peer-to-peer een algemeen in gebruik zijnde communicatievorm.
De aanval van de printers
Daarvan afgeleid en sterk opkomend, is het vormen van botnets via apparaten die behoren tot het gehypte Internet of Things. Apparaten als printers of kopieerapparaten (en dus eigenlijk alles wat een IP-adres heeft) worden steeds meer gebruikt als botje en daar is veel moeilijker tegen op te treden.
Ondanks de lagere schaalwaardering van botnets op ENISA's dreigingslijst blijven ongewenste infrastructurele maaksels dus een blijvend probleem. Ze worden resistent tegen de traditionele bestrijdingsmiddelen en veranderen steeds maar weer van constellatie en aansturing. Een meer strategische benadering van dit probleem is dus hard nodig.
Problemen met overijverige overheidsdiensten.Start een botnet. Schijnt niet op te sporen te zijn.
Reageer
Preview