Japans cyberwapen

De regering van Japan is al sinds 2008 bezig een eigen cyberwapen te ontwikkelen. De eerste versies daarvan zijn getest in een gesloten netwerkomgeving, onthult de Japanse krant Yomiuri Shimbun deze week. Het gaat volgens anonieme bronnen binnen de overheid om een driejarig project waarvoor nu een externe partij is aangetrokken. Het Japanse bedrijf Fujitsu heeft het contract in de wacht gesleept om de automatische viruskiller verder te ontwikkelen.

Dit cyberwapen is in staat om cyberaanvallen te traceren en de daadwerkelijke bron op te sporen. Tussenliggende stations, zoals gekaapte pc's, worden geanalyseerd en ook uitgeschakeld. Dit is volgens de ingewijde bronnen van Yomiuri Shimbun niet alleen effectief tegen DDoS-aanvallen (distributed denial of service), maar ook tegen sommige soorten cyberaanvallen waarbij wordt ingebroken om informatie te stelen.

Het Japanse ministerie van Defensie wil nu de wet aanpassen om het gebruik van cyberwapen - uit zelfverdediging - te legaliseren. Van landen als de Verenigde Staten en China wordt al vermoed dat die eigen digitale oorlogsmiddelen hebben én inzetten. De Japanse overheid laat Fujitsu ook een systeem opzetten om cyberaanvallen te monitoren en te analyseren.

De uitleg van Yomiuri Shimbun over het Japanse cyberwapen:

Conficker-killer

De beruchte Conficker-worm die eind 2008 opdook, was niet alleen in staat in korte tijd miljoenen pc's te infecteren maar bleek ook sluw het beveiligingsgat te dichten waarlangs het binnenkwam. Toch is Conficker zelf geen voorbeeld van een antivirus-virus. Wel zijn er begin 2009 hackers aan de slag gegaan om een killerworm voor deze worm te maken.

“Ja, wij werken daaraan, net als vele andere", zei een botnetonderzoeker tegen de New York Times. “Ja, het is illegaal, maar dat was voorin de bus zitten door Rosa Parks ook", verwijst de anonieme security-expert naar de actie in 1955 van de zwarte Amerikaanse burgerrechtenactiviste.

Het is niet duidelijk wat er van de Conficker-killer(s) is geworden. Feit is dat die reuzenworm weliswaar zeer effectief was in het besmetten van pc's, maar dat het daar vervolgens niets concreet deed. Ook onduidelijk is wat het eigenlijke doel was van Conficker. Veel later is er wel gespeculeerd dat het een testrun, een verkenner of zelfs een deuropenende Trojan was voor de geavanceerde supermalware Stuxnet.

Hoe Conficker te werk gaat:

Bron: Microsoft.

Microsoft antimalware-malware

Onderzoekers van Microsoft Research hebben begin 2008 opzien gebaard met hun idee om software-updates efficiënter te distribueren. namelijk door ze op dezelfde manier als wormen zichzelf te laten verspreiden. Die updates kunnen ook security-fixes zijn die malware ruimen en misbruikte beveiligingsgaten dichten. De onderzoekers stellen dat dit ook kan helpen tegen wormen, meldde The New Scientist in februari 2008. Dat was in aanloop naar de presentatie in april van de onderzoekspaper (PDF) hierover.

Dit idee is op veel kritiek en tegenstand gestuit. Onder meer security-guru Bruce Schneier heeft - opnieuw - uitgelegd waarom zogeheten 'witte wormen' een slecht idee zijn. Hij heeft dat eerder in 2003 en 2000 al gesteld. Deze aanpak is weliswaar verleidelijk, maar in wezen onethisch en ook illegaal. Bovendien bestaat het gevaar van kaping, waardoor het bestrijdingsmiddel zelf een gevaar kan worden.

Microsoft heeft toen de ophef over de voorgestelde aanpak van zijn researchers gesust. De conclusie van The New Scientist was volgens woordvoerders van de Windows-producent niet onjuist, maar wel aangedikt. Het bedrijf benadrukte dat het niet van plan was om 'patch-wormen' te ontwikkelen. Dat was ook niet het voornaamste doel van dit onderzoek, aldus de formele verklaring van Microsoft. Één van de onderzoekers heeft toen nog gesteld dat er geen plannen waren om hun ideeën te verwerken in Microsofts producten.

Microsoft distribueert patches via zijn Windows Update-dienst naar Windows-systemen, waarbij beheerders een eigen tussen-server kunnen gebruiken:

Bron: Microsoft.

Kraken-botnet kraken

Het reusachtige Kraken-botnet dat in mei 2008 huishield, is door security-experts van HP's TippingPoint-divisie onderzocht en effectief gekraakt. Zij hebben het grote en groeiende botnet een week lang gemonitord, het gebruikte protocol ontleed, de encryptie reverse engineered en tot slot een namaak Kraken-server gemaakt die de zombie-pc's van het botnet kan kapen.

“We zijn in staat om geïnfecteerde systemen om te leiden [naar de eigen fake Kraken-server - red.]. We zijn in staat om een update aan te bieden via het bestaande Kraken-protocol om de Kraken-zombie simpelweg te verwijderen [van de besmette pc's - red.]", blogde onderzoeker Pedram Amini.

“Is het fout om dit te doen?", vroeg de expert van HP's security-divisie TippingPoint zich af. “Hoewel deze discussie vergelijkbaar is met het schrijven van 'goede wormen' die het internet afstruinen om kwetsbare servers te patchen, is er een belangrijk verschil: een goede worm kan niet worden tegengehouden." Amini argumenteerde dat hun anti-Kraken-middel volledig in hun controle is en dus valt stop te zetten.

Het Kraken-botnet heeft wereldwijd veel zombie-pc's gekaapt:

Bron: TippingPoint.

Blaster-bulldozer

De Welchia-worm (ook bekend als Nachia) stamt al uit augustus 2003. Deze goedaardige worm zoekt Windows-machines op met bepaalde openstaande kwetsbaarheden, zoals een in RPC (remote procedure call), om daarlangs binnen te komen. Het RPC-gat is hetzelfde dat werd misbruikt door de beruchte Blaster-worm.

Welchia is echter gemaakt om Blaster te ruimen en het bewuste beveiligingsgat te dichten. Daarvoor downloadt deze 'goede worm' de patches die Microsoft al had uitgebracht, maar die veel gebruikers niet hadden geïnstalleerd. Welchia was ook geprogrammeerd om zichzelf te verwijderen op 1 januari 2004 of na 120 dagen actief te zijn geweest, afhankelijk van welke parameter als eerste van kracht werd.

Deze 'witte worm' bleek uiteindelijk toch een gevalletje malware te zijn. Niet in de zin dat het bewust schade aanrichtte. Wel in de zin dat het overlast veroorzaakte. Welchia was niet goed in staat Blaster echt te verwijderen, maar de zelfreplicerende antiworm-worm zorgde zelf wel voor overbelasting van bedrijfsnetwerken.

De Blaster-worm heeft wereldwijd pc's plots laten rebooten:

Bron: Security-faqs.com.

Compressievirus voor DOS

De discussie over en het opduiken van 'goede virussen' zijn bijna zo oud als computers zelf. De Amerikaanse computerwetenschapper Frederick Cohen heeft in 1987 al aangetoond dat virusdetectie nooit 100 procent kan zijn. Hij geloofde dan ook in 'positieve virussen' en had er zelfs een gemaakt. Dit was technisch gezien géén antivirus-virus, maar wel een plaag met goede bedoelingen.

Het compressievirus Cruncher pakte DOS-programma's (.exe-bestanden) op harde schijven automatisch in zodat ze minder ruimte in beslag namen. Daarbij hechtte het virus zichzelf aan die bestanden zodat de programma's automatisch werden uitgepakt in een tijdelijke directory wanneer ze werden gestart. Dit kostte wel wat rekenkracht en scheelde dus prestatieniveau van de pc. Later opgedoken varianten, zoals Cruncher.2092, waren kwaadaardiger.

Ook vóór Windows waren er virussen, onder meer voor MS-DOS:

Bron: Operating-system.org.