2009. november 12. 13:48, Csütörtök
Tengerentúli informatikusok egy olyan módszert fejlesztettek ki, amelynek segítségével kikémlelhetik a botnetekben zajló kommunikációt.
Az amerikai kutatók nem csak arra képesek, hogy lehallgassák a botnetek központi számítógépei és a hálózatot alkotó többi PC közötti kommunikációt, hanem arra is, hogy beavatkozzanak a kapcsolatba, és azt úgy módosítsák, hogy akár ki is kapcsolhassanak egy botnetet. Juan Caballero és kollégái, Pongsin Poosankam, Christian Kreibich és Dawn Song a módszert részletesen leírták a
Dispatcher: Enabling Active Botnet Infiltration using Automatic Protocol Reverse-Engineering című anyagban.
Amennyiben a megoldás sikeres, úgy egy nagy lépést lehetne tenni a sok felhasználó és cég életét megkeserítő botnetek kikapcsolására, ezzel pedig számos probléma megoldása is könnyebbé válna. Elég például csak a kéretlen elektronikus reklámlevelekre gondolni, amiknek milliárdjait szintén ilyen hálózatok segítségével küldik el a spammerek, de nehezebbé válna a koordinált online támadások végrehajtása is egyes intézmények vagy szervezetek ellen.
Némelyik botnet több mint egymillió, kémprogramokkal megfertőzött számítógépből épül fel, így nem véletlen, hogy a bejelentés azonnal nagy érdeklődést váltott ki. A botnetek kikapcsolásának lehetőségét már régóta kutatják a szakemberek, és most komoly lépést sikerült tenniük. Juan Caballero és három kollégája egy virtuális számítógép segítségével elemezték a botnetek felépítését és azok kódjait. Az általuk kifejlesztett eljárást beépítették a Dispatcher nevű szoftverbe, és így nemcsak beavatkozni tudtak a botnetek belső kommunikációjába, hanem azt módosíthatták is.
A módszert sikeresen tesztelték a MegaD nevű hálózaton. Sikerült úgy módosítaniuk az adatátvitelt, hogy a központi számítógép nem küldött több spam e-mailt a többi PC-nek. "Egy botnet parancsnoki és ellenőrző protokolljának megértése elengedhetetlenül szükséges ahhoz, hogy előre láthassuk a tevékenységeit és beszivároghassunk a rendszerbe" - írták a dokumentumhoz kiadott előszóban Caballero és kollégái.
A négy szakember az új módszert bemutatja az Association for Computing Machinery (ACM) által szervezett Conference on Computer and Communications Security nevű rendezvényen.