Läpimurto Conficker-epidemian torjunnassa
0
Kuva: Clarified Networks
Internetissä on tällä hetkellä ehkä 1–2 miljoonaa Conficker-verkkomadon uhria. Jättiepidemian torjunnassa on nyt saavutettu läpimurto. Conficker-epidemian taltuttaminen oli aiemmin vaikeaa, mutta onneksi myös viruskirjoittajat tekevät virheitä. Tutkijat keksivät keinon, jolla saastuneet koneet löytyvät helposti ja erittäin nopeasti.
Yksi Conficker-epidemian ongelmia on ollut se, että saastuneiden koneiden löytäminen on vaikeaa. Conficker-saastuttaa koneita, joista löytyy tietty Windowsin turva-aukko. Heti tartunnan jälkeen mato kuitenkin paikkaa aukon, joten kone näyttää olevan kunnossa.
Nopea skannaus paljastaa kaikki uhrit
Nyt Honeynet Project on keksinyt tavan selvittää käden käänteessä saastuneet koneet. Tämä onnistuu Confickerin virheen avulla. Sen pohjalta on tehty ilmaisia työkaluja, joilla voi skannata verkon ja paljastaa kaikki saastuneet koneet.
Hankkeeseen osallistunut tietoturvatutkija Dan Kaminsky kertoo, että Conficker muuttaa hieman Windowsin toimintaa verkkoon päin. Tämän muutoksen voi havaita verkonkin yli nimettömästi ja erittäin nopeasti.
"Voit kirjaimellisesti kysyä palvelimelta, onko se saastunut Confickerista, ja kone kertoo sen", selittää Kaminsky blogissaan.
Esimerkiksi yritysverkoissa ylläpitäjät voivat ajaa nopean verkkoskannauksen, joka paljastaa heti, mitkä koneet ovat saastuneita. Nämä voidaan ottaa heti irti verkosta ja puhdistaa. Nopeita skannauksia voidaan tehdä myöhemminkin, ja näin uudet tartunnat paljastuvat heti.
Sama tekniikka tuodaan näinä hetkinä myös kaupallisiin tietoturvaskannereihin. Kaminskyn mukaan esimerkiksi Tenable (Nessus), McAfee/Foundstone, Nmap, Ncircle ja Qualys pystyvät jatkossa löytämään Conficker-koneet verkosta uudella tekniikalla.
