5 missers in Microsofts Zeus-takedown

door

Windows fout error

door

De Vijf - Microsoft heeft naar eigen zeggen het Zeus-botnet een gevoelige klap toegebracht. Nou ja, enkele van de Zeus-botnetten, een tijdelijke tegenslag. Dit levert forse kritiek op. 5 missers.

Plaagstootje in plaats van nekslag

“We verwachten niet dat deze actie elk Zeus-botnet in de wereld uitvaagt. Maar, we hebben proactief enkele van de meest schadelijke botnets verstoord", blogt hoofdjurist Richard Domingues Boscovich van Microsofts divisie voor (taalkundig natuurlijk: tegen) digitale misdaad. Het bedrijf heeft er dus bewust voor gekozen om een klap uit te delen, in plaats van de genadeslag.

Toegegeven, het echt neerhalen van een botnet vereist het aanpakken van de achterliggende cybercrimebende. Dat is een complexe operatie, zowel technisch als juridisch. Maar dat kan met volharding wel gedaan worden. Microsoft heeft dat de afgelopen jaren ook meermaals al gedaan.

Voor effectief aanpakken van botnetten en malware zijn de daadwerkelijke 'rovers' niet het goede doelwit. Zij runnen slechts de botnetten. Dat doen ze met zogeheten crimewarekits die ze bij andere cybercriminelen inkopen of leasen.

Wat dat betreft is de cybercrimezakenwereld net als het gewone bedrijfsleven: de één maakt een product, de ander neemt het af en gebruikt het. Tussen malwaremaker en gebruiker zit vaak ook nog een tussenpartij; die een botnet met gekaapte zombie-pc's heeft en de capaciteit daarvan verhuurt, bijvoorbeeld voor het versturen van spam.

Whack-a-mole

Los van het verkeerde doelwit van deze actie is er nog de zinloosheid ervan. Microsofts Boscovich blogt optimistisch: “We verwachten dat deze inspanning een significante impact heeft op de criminele onderwereld". Waar hij aan toevoegt dat dit voor geruime tijd zal zijn. “Cybercriminelen doen dit voor het geld en deze actie was een nooit eerder vertoonde aanval op de onwettige infrastructuur waar zij op vertrouwen."

Alleen zijn de “significante impact" en “voor geruime tijd" ijdele hoop. Botnetten zijn als onkruid, of bamboe, of het Windows-spelletje Whack-a-Mole. Laatstgenoemde is ironisch genoeg zelf ooit voorzien van een Trojan. Het wederopstandingsvermogen van botnetten is niet slechts een algemene regel, maar gewoon een kwestie van zakelijk doorrekenen. De security-experts van het Nederlandse Fox-IT geven in geval de ROI (return on investment) even aan: een kleine 10.000 dollar volstaat om een nieuw botnet op te zetten wat zichzelf dan zo terugverdient.

Voor de troepen uit lopen

Fox-IT hekelt niet alleen de zinloosheid van Microsofts Zeus-operatie, maar klaagt ook openlijk dat de Windows-producent te snel van stapel is gelopen. Mogelijk is het bedrijf zelfs eenzijdig tot actie overgegaan. In ieder geval niet goed in samenspraak met betrokkenen: zowel securitypartners als partijen met een indirecte link.

Microsofts anti-cybercrimeadvocaat blogt: “Deze operatie helpt verdere onderzoeken tegen diegenen die verantwoordelijk zijn voor deze dreiging en helpt ons om slachtoffers beter te beschermen". Fox-IT reageert fel en spreekt van een onverantwoordelijke actie. Dit heeft volgens het securitybedrijf een aantal grote internationale onderzoeken in de VS, Europa en Azië gehinderd en zelfs gecompromitteerd. Dat zijn cybercrimezaken waar Fox-IT weet van heeft en waar het aan meewerkt.

Kortom, doorkruising van acties om botnetten zorgvuldig in kaart te brengen, hun verkeer af te tappen, hun aansturende command&control-servers te infiltreren, en uiteindelijk de botnetherders op te pakken. Hiermee zijn ook de achterliggende crimewareleveranciers weer wat verder buiten bereik. Microsoft heeft de eject-knop voor het handjevol Zeus-botnetten dus prematuur ingedrukt.

Securitywantrouwen

Dit voor de troepen uitlopen kan Microsoft nog flink opbreken. En dat kan ook de wereldwijde aanpak van malware en botnetten weer parten spelen. Cruciaal bij security - en dus ook cybercrimebestrijding - is vertrouwen. Dat vertaalt zich ook in samenwerking tussen verschillende partijen, zoals Microsoft enerzijds en opsporingsinstanties anderzijds, en tussen Microsoft enerzijds en andere cybercrimejagers anderzijds.

Normaliter zijn dat geen 'zijdes', want ze staan immers aan dezelfde kant: tegenover de cybercriminelen. Maar de “onverantwoordelijke actie van Microsoft" heeft het vertrouwen voor internationale samenwerkingen geschaad, aldus Fox-IT. Dit betekent volgens de gepasseerde botnetbestrijder een terugval voor de samenwerking tussen publieke en private partijen, dus tussen overheden en bedrijven.

Fox-IT is niet de enige die Microsoft deze zware beschuldiging voor de voeten werpt. Eerder hebben ook Trend Micro, The Honeypot Project en DeepEnd Research hun ongenoegen geuit. “Wees niet dom, hou je dom!", blogde security-expert Rik Ferguson van Trend Micro eind vorige maand al. Hij stelt dat Microsofts civielrechtelijke actie de vermeende botnetherders in wezen heeft getipt, dat er onderzoeken naar ze lopen. Nu kunnen ze onderduiken, en later weer opduiken om hun malafide werk voort te zetten.

Welke cybercrimebestrijder gaat er straks nog bruikbare (actionable) informatie delen met een medestander die het dan 'lekt' en dus de waarde ervan vermindert? Fox-IT voorziet een informatiestop of op z'n minst een verarming en vervaging van de voortaan nog gedeelde informatie. Samenwerkende partijen zijn dan terughoudend met hun data, zeker als het om actuele intel gaat. Het gaat net als bij beveiligingsgaten in software om verantwoordelijke onthulling, waar Microsoft zelf zo'n voorstander van is.

Schoenmaker, leest

Terwijl Microsoft er natuurlijk veel aan is gelegen om zijn klanten (consumenten, bedrijven) en platform (Windows) te beschermen, gaat het met actieve eigen aanpak van cybercriminelen wellicht zijn boekje te buiten. Natuurlijk, maar weinig organisaties hebben de middelen, expertise, reikwijdte en impact van Microsoft. En de beste verdediging is toch de aanval?

De aanval op cybercrime wordt echter al gedaan: door politie, Justitie, samenwerkende overheden, en securitybedrijven. Natuurlijk kan Microsoft daar aan bijdragen. Maar is een betere verdediging voor de Windows-maker niet de daadwerkelijke verdediging van zijn platform? Dus het versterken en scannen van zijn software.

Dat heeft het ooit al gedaan met het ingrijpende service pack 2 voor Windows XP, en later meer nog met flinke beveiligingsmaatregelen in Vista, IE9 en Windows 7. Ook dat is complex, kost jaren werk en moet vooral niet overhaast gedaan worden. Succes voor de lange termijn moet niet worden geofferd op het altaar van marketinginitiatieven, sluit security-expert Ferguson van Trend Micro zijn kritiek op de Zeus-operatie af.

Dat lange termijnbelang beseft Microsoft best. Zie maar het dapper doorvoeren van omstreden maatregelen als Windows UAC. Het stug schragen van Internet Explorer en isoleren van ActiveX. Het kopen en gratis weggeven van antivirus Windows Defender. Het introduceren van Patch Tuesday. Het doorspitten van al zijn software om het te herschrijven naar 'trustworthy' code. Het opstellen en delen van lessen en best practices veilig-ontwikkelen voor andere softwaremakers. Enzovoorts.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

IT Innovation Day 2014
 
dagen
:
 
uren
:
 
min.
:
 
sec.
promotionele afbeeldingen promotionele afbeeldingen

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.