Volgens de European Network and Information Security Agency (Enisa) kan de inzet van witte wormen in de toekomst een van de maatregelen zijn om de opkomst van botnets tegen te gaan. Snelle schoonmaakoperaties zouden de groei van botnets in de kiem kunnen smoren. Enisa noemt dit in een trendrapport.

Daarin bekijkt het wat er mogelijk is in de strijd tegen botnets, zoals bijvoorbeeld het oprollen van het Nederlandse Bredolab botnet door het High Tech Crime Team. Deze speciale politie-eenheid heeft pc's die door Bredolab waren geïnfecteerd meteen bij contact met het internet doorgestuurd (redirect) naar een webpagina waarop een waarschuwing van de politie stond.

Witte worm is illegaal

“Het gebruik van het botnet om gebruikers te informeren kan worden gezien als een eerste stap in de inzet van witte wormen”, zegt Enisa. Overigens benadrukt de organisatie dat het nog altijd illegaal is om zonder toestemming privé-computers binnen te dringen om code te installeren en uit te voeren (wat dus nodig is voor een witte worm).

Enisa ziet veel bedreigingen door toekomstige geavanceerde botnets. Malware wordt steeds complexer en gebruikt verschillende kwetsbaarheden in systemen op ook verschillende niveaus. Als voorbeeld wordt de Stuxnet-worm genoemd, die meerdere zero-day gaten tegelijkertijd gebruikte om binnen te komen. Volgens Enisa zullen de aanvallen op industriële infrastructuren toenemen.

Politiek gebruikt

Dat geldt ook voor de aanvallen op overheidsnetwerken. Het gebruik van botnets in politieke context is een trend, zegt het Europese instituut. Het haalt de aanvallen op Estland (2007), Georgië (2008) en Zuid-Korea (2009) aan.

De politiek georiënteerde aanvallen zullen alleen maar toenemen doordat er een grote handel is ontstaan van te kopen of te huren botnets. Daardoor zijn botnets breder beschikbaar én betaalbaarder, waarbij ze in handen kunnen komen van partijen met politieke motivatie. De inzet van een botnet heeft dan geen 'winstoogmerk'.

Waar Enisa zich ernstig zorgen over maakt, is de verwachting dat botnets steeds meer zullen bestaan uit smartphones. De kans dat smartphones op grote schaal worden gecompromitteerd neemt zienderogen toe. Smartphones zijn aantrekkelijk voor criminelen doordat ze steeds krachtiger worden, veelal internettoegang hebben en persoonlijke contactgegevens opgeslagen hebben.

Smartphones geronseld

Een andere zorg van Enisa over smartphones is dat gebruikers elkaar vertrouwen en dus sneller op ontvangen berichten klikken. Daardoor kunnen de smartphones steeds meer worden gebruikt als centrale informatiesysteem met persoonlijke data, waardoor criminelen redelijk makkelijk de identiteit kunnen kapen en fraude kunnen plegen. Smartphones beschikken daarnaast over vele connectiviteitmogelijkheden, naast 3G immers ook Wifi en Bluetooth.

Wat ook nog meespeelt, is dat gebruikers hun smartphone lang niet zo goed of automatisch beschermen als een pc. Updates en patches worden minder vanzelfsprekend opgehaald en gebruikt. Dat resulteert in legio kwetsbare smartphones die dus makkelijk zijn te infecteren. Het infectiegevaar wordt nog vergroot doordat er nauwelijks beveiligingssoftware wordt gebruikt op smartphones. Overigens ziet Enisa dat probleem ook voor andere apparaten die ingebakken (embedded) software hebben en een internetaansluiting.

Botnet in de cloud

Een andere mogelijkheid is het gebruik van de opkomende cloudinfrastructuur door de makers van botnets. “Cloudhosting en services kunnen worden misbruikt als een nieuwe tool voor het creëren van tijdelijke kanalen en C&C-domeinen”, ziet Enisa.

Veel botnets hebben zelf al complexe mogelijkheden voor capaciteitsuitbreiding en automatische failover naar andere beheerpunten (command&control-servers). Enisa doelt hier op het gebruik van andermans cloud-infrastructuur. “Datzelfde geldt voor Web 2.0 content en service providers, zoals experimentele voorbeelden hebben laten zien voor Twitter en Facebook.”