法律限制成为治理僵尸网络“绊脚石”

Kaspersky日本实验室的一名研究人员称,由于法律的限制,那些监控世界上一些大规模僵尸网络 (botnet)的危害程度与活动的安全研究团队几乎无法采取有效措施来阻止僵尸网络。  

在上周三举行的2010事件响应以及安全团队(FIRST)会议上,Kaspersky的首席安全专家 Vitaly Kamluk向数百位事件响应团队成员指出,由于安全研究人员无法采取有效的办法来关闭僵尸网络,整个僵尸网络生态系统正在蓬勃发展。Kamluk表示:僵尸网络的技术水平越来越高,而地下商业环境更是起到了火上浇油的作用。

“我们必须在技术方面下更多的功夫,”Kamluk 指出,“我们必须引进更多的技术解决方案,来打破这个循环,并且撤掉那些让恶意软件有用武之地的基础设施。”

Kamluk解释了网络罪犯如何采取措施来监督僵尸网络拥有者和租用僵尸网络的用户之间的交易。一位担保人或者中间人(这个人通常是进行犯罪活动的web论坛版主)监督着交易,并从中获益。Kamluk指出,他们这样做的目的是在两者之间建立起某种程度的信用等级,并驱逐欺骗者,也就是那些没有为僵尸网络服务付钱的人。

“担保人必须有声望和地位,”Kamluk表示,“在论坛上他们比新注册的人更加可信,而且他们能够保证交易的可靠性。”

Kamluk指出,在僵尸网络发展到失去控制之前,一定要破坏僵尸网络的基本技术以及地下市场系统。现在有这样的技术,可以切断僵尸网络命令和控制能力,并审查那些受到感染的机器(即组成僵尸网络的电脑)。但是,有专家质疑这种行为的道德性。从法律的角度看,法官们想知道,如果出现差错谁将为此负责。而且,由于这种行为与网络罪犯感染机器类似,很难区分整个过程到底是犯罪活动还是安全团队采取的行动。人们努力通过法律途径揪出无赖ISP主导的僵尸网络病毒以及其他的邪恶活动,但是成效有限。

在Gumblar案件中,当没有人为干预时,一个像僵尸网络那样传播的FTP密码偷盗木马感染了多达12000台 Web服务器,研究人员已经发现了一个后门程序,可以从根本上帮助清理受Gumblar感染的服务器,使病毒无法工作。

“可能我们只需要五分钟就能清理好这12000台web服务器,但在没有经授权时这是违法的,所以我们不能这样做,”Kamluk说道。

Arbor Networks公司的僵尸网络专家Jose Nazario也描绘了类似的黯淡前景:携带拒绝服务(DoS)攻击的僵尸网络(botnet)很难控制。Jose Nazario表示,僵尸网络被三个或者四个不同团体所控制,阻止和调查他们的成本会持续增加。

“挑战非常大,我们还没有做好应对措施,”Nazario在对第一批与会者的演讲中这样说,“当攻击者想进行攻击的时候,网络安全的门是大开的。”

人们认为Conficker这个众所周知的可以快速传播的蠕虫已经感染了超过七百万台机器。研究团队还在继续阻击它的命令和控制链。Torpig 或者Sinowal,一种偷窃银行认证码的僵尸网络(botnet),具备一种精心设计的算法,这种算法使用查询倾向(search trend)和其他方法来确定一个路过式(drive-by-download)下载域。因此,它只能通过试图找到它使用的域名来间歇性对其进行阻击。

Nazario指出,“现在我们防御者的责任是在域名空间中试着通过逆向工程去进行管理。”