Microsoft heeft sinds 2010 Project MARS (Microsoft Active Response for Security) lopen om botnets te bestrijden, van waaruit isp’s en CERT’s (Computer Emergency Response Teams) van informatie werden voorzien. Dat geheel wordt nu naar het cloudplatform Azure verplaatst, waardoor de data sneller wordt gedeeld, schrijft TJ Campana, de securitychef van Microsofts Digital Crimes Unit.

Eerste CERT's gaan naar Azure

De eerste organisaties die in C-TIP participeren zijn de Spaanse CERT, INECO genaamd, en de CERT’s van Luxemburg, CIRCL en govCERT. Samen met de meewerkende isp’s krijgen die organisaties elke 30 seconden een nieuwe update over bedreigingen en informatie over geïnfecteerde computers in dat betreffende land. Via Azure wordt de info direct doorgepompt naar de private clouds van de aangesloten organisaties. De informatie werd in het verleden gedeeld via e-mails. Dat gebeurt nog steeds: 44 organisaties uit 38 landen krijgen nog via e-mail dergelijke berichten.

Microsoft heeft in het verleden veel commentaar gehad op zijn acties tegen botnets, vooral vanwege het neerhalen van de command & control-infrastructuur achter de botnets. Via de C&C-servers kan Microsoft het communicatieverkeer afluisteren tussen bots en het ‘moederschip’. Naar eigen zeggen vangt het bedrijf elke dag "honderden miljoenen" pogingen van bots om in te loggen op de overgenomen C&C-server. “Die data levert waardevolle informatie op die gebruikt kan worden door isp’s en CERT’s om slachtoffers te waarschuwen.”

Kritiek op Microsofts botnetbestrijding

Critici zeggen dat Microsoft ten eerste niet succesvol is met het neerhalen van botnets, omdat die in korte tijd weer de kop op steken en vaak nog sterker uit de strijd komen. Ook zouden mogelijk lopende justitie-onderzoeken worden gefrustreerd. Onder meer het Nederlandse securitybedrijf Fox-IT heeft hier harde kritiek over geuit. Microsoft lijkt niettemin niet genegen zijn tactiek te veranderen en spreekt zelfs van een succes.

Het is de bedoeling dat de eerder genoemde 44 organisaties vanuit het e-mailberichtenverkeer overstappen naar Microsofts cloudplatform. Onbekend is of het Nederlandse Cyber Security Centrum daar ook toe overgaat. Webwereld heeft daarover vragen uitstaan bij het ministerie van Veiligheid en Justitie.