Aercom.by - Новости безопасности в Беларуси и СНГ

24 сентября 2017 г., воскресенье

Отраслевые мероприятия (Беларусь)

8 сентября, 2017

Видео учебно-практического семинара – «Построение интегрированных систем безопасности на основе оборудования и программного обеспечения TRASSIR, SIGUR (ранее «Сфинкс»)»

10 августа, 2017

Образовательный проект для специалистов по безопасности

20 июня, 2017

IDC DAY MINSK 2017: Infrastructure Efficiency, Cloud, Virtualization & IT Security Roadshow

24 мая, 2017

В первый день «Центр безопасности. 2017» более 1000 специалистов посетили выставку-форум

23 мая, 2017

Памятка посетителям и участникам выставки-форума «Центр безопасности 2017»

22 мая, 2017

Выставка-форум «Центр безопасности. 2017»: технологии, диалог, бизнес

Отраслевые мероприятия (зарубежные)

5 сентября, 2017

Охрана периметра – от камер видеонаблюдения до противотаранных барьеров Полищука

22 августа, 2017

Участники выставки Securika St. Petersburg рассказывают о продукции, которую представят на выставке

7 июня, 2017

Итоги форума «CISO FORUM 2017: Суровые будни CISO»

13 февраля, 2017

«Нетрис» стал Генеральным спонсором конференции «Возможности облачных технологий и Интернета вещей для бизнеса»

9 декабря, 2016

Форум директоров по информационной безопасности

23 ноября, 2016

23 ноября открывается Форум All-over-IP 2016: присоединяйтесь к лидерам!

Каталог предприятий

Видео

Журнал "Технологии
безопасности"

Microsoft: неразрушимых ботнетов не бывает
11 июля, 2011

Нет неуязвимых бот-сетей, говорит адвокат компании Microsoft, уничтожившей ботнет Ructock, опровергая заявления о том, что другая бот-сеть «практически неразрушима».

«Если кто-то говорит, что бот-сеть неуязвима, то, видимо, он не достаточно креативен юридически или технически», — сказал во вторник Ричард Боскович, главный адвокат отдела Digital Crime Unit компании Microsoft. «Нет ничего невозможного. Это довольно высокий стандарт».

Опыт компании Microsoft в удалении Waledac и Coreflood в начале 2010 послужил основой для победы над командными серверами ботнета Rustock, говорит Боскович. Таким образом победа над Rustock в этом году показывает, что любая бот-сеть может быть уничтожена.

«Сказать, что это невозможно, означает всерьез недооценивать способности хороших парней», — продолжает Боскович. «Кажется люди все чаще говорят, что плохие ребята умнее, лучше. Ответ на это только один: нет».

На прошлой неделе «Лаборатория Касперского» назвала бот-сеть TDL-4 «наиболее изощренной угрозой на сегодняшний день» и заявила, что она практически неразрушима из-за продвинутого шифрования и использования публичной пиринговой сети (P2P) в качестве альтернативного канала связи отправления команд зараженному ПК.

Захват бот-сетей на подобие Waledac, Rustock и Coreflood, полагался на захват основных серверов оперативного управления и дальнейшее блокирование доступа зараженных компьютеров бот-сети к альтернативным доменам управления с целью получения новых указаний. Работая по такому принципу, захват не только обезглавливает ботнет, но также позволяет исследователям и властям понять его работу, предотвращая возможность обновления хакерами их вредоносного ПО, или попытки дать ботам новые директивы. Он также дает пользователям необходимое время для использования антивируса и очистки системы от заражения.

Главный исследователь компании «Лаборатория Касперского» Роэл Шовенберг сказал, что использование TDL-4 публичной пиринговой сети (P2P) сделало бот-сеть невероятно крепким орешком.

«Любая попытка захватить обычные командные сервера может быть эффективно обойдена группой TDL путем простого обновления списка C&C через сеть P2P», — заявил Шовенберг на прошлой неделе. «Тот факт, что TDL имеет 2 отдельных канала для коммуникации делает любую попытку захвата очень-очень сложной».

Боскович не соглашается, напоминая, что февральский захват Waledac в 2010 году успешно подавил командный канал P2P-сети.

«Победа над Waledac стала доказательством того, что мы способны нарушить P2P-связи ботнета», — объясняет он. «Каждый захват осуществляется по-разному, каждый по-своему сложен», — продолжает Боскович. «Каждый из них будет разным и в будущем, но это не означает, что нет способа его осуществления с любой из бот-сетей».

Алекс Ланштейн, главный инженер FireEye, который работал с Microsoft над захватом Rustock, говорит, что те отношения, которые Microsoft наладила с другими компаниями в сфере компьютерной безопасности, с провайдерами интернет-услуг, с правительственными организациями, такими как министерство юстиции США, а также соблюдение закона — вот те важные факторы, которые позволяют осуществить захват любой бот-сети.

«Это благодаря доверительным отношениям, которые создала компания Microsoft. Именно они привели к победам», — говорит Ланштейн. «И мне кажется, что эта техника годится против инфраструктуры любого вредоносного ПО в котором существует какой-либо информационный канал. Это действительно работает».

Среди тех, кто несогласен с Боскович и Ланштейном, не только Шовенберг из «Лаборатории», но также Джо Стюарт, начальник исследовательского отдела вредоносного ПО компании Dell SecureWorks и международный эксперт по бот-сетям.

«Я бы не сказал, что она абсолютно неразрушима, но разрушить ее крайне сложно», — заявляет Стюарт в своем интервью, посвященному TDL-4. «Она очень хорошо справляется с самозащитой».

Однако SecureWorks также признает достижения Microsoft, говоря, что их собственная статистика показывает десятикратное уменьшение атак Rustock с марта.

«С середины марта 2011, исследовательская команда CTU (Counter Threat Unit) Dell SecureWorks обнаружила значительное снижение числа атак, совершенных Rustock. Мы склонны полагать, что этому мы можем быть всецело обязанными компании Microsoft», — заявила представительница SecureWorks во вторник.

«Своим захватом Rustock Microsoft создала образец для других компаний», — полагает Ланштейн. «Несомненно это не последняя бот-сеть, с которой нам придется иметь дело».

Он отказался назвать следующую, наиболее вероятную цель, опасаясь, что это может раскрыть карты Microsoft и FireEye.

Источник: www.xakep.ru

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.