Группа берет борьбу Conficker на новый уровень

Формирование глобального альянса для борьбы с киберпреступностью непросто, и создание организации, которая может остаться на шаг впереди кибер-преступников в более чем 100 странах, почти невозможна. Но группа добровольцев, называющая себя Conficker Working Group, думает, что она может это сделать.

Группа была сформирована в начале этого года, чтобы попытаться сдержать массивную сеть компьютеров, зараженных червем Conficker, которая, как полагали, 10 миллионов компьютеров.

Серьёзность проблемы помогла группе покинуть место, так как технические эксперты из ведущих интернет-компаний мира неофициально объединились. Сначала они называли себя Conficker Cabal, но теперь они упростили название, назвав себя рабочей группой Conficker.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

Это невероятная история, согласно Пол Викси, президент консорциума Internet Systems, и один из членов группы. «Он был сформирован как ведровая бригада, потому что там был дом в огне», - сказал он. «Не было никакого способа, чтобы вы могли сосредоточиться на этом уровне таланта, если бы это было с долгосрочной целью:« Джи, давайте создадим ландшафт интернет-безопасности ».

Но теперь, когда он работает, участники надеемся, что он может быть использован для борьбы с другими интернет-угрозами в будущем.

Группа работает неофициальным, специальным образом. Существует веб-сайт и некоторые списки рассылки, а также случайный конференц-вызов. Нет контрактов, никаких сборов, никаких семинаров и никаких информационных бюллетеней.

«Есть много компаний, которые много делают на линии, чтобы сделать это», - сказал Рик Вессон, генеральный директор консалтинговой компании Support Intelligence по сетевой безопасности. «Это засасывало все время, нам не платят за это, и это фантастика. Все чувствуют себя хорошо в этом».

Ставки высоки. Сейчас, по оценкам, от 2 миллионов до 4 миллионов компьютеров, Conficker станет крупнейшим ботнетом в мире - на много. Как правило, ботнеты с несколькими сотнями тысяч компьютеров считаются серьезной угрозой.

Подход Рабочей группы восходит к ранним дням Интернета, когда сплоченная группа энтузиастов поддерживала работу сети. «Это было похоже на вечеринку по строительству аммидского амбара, - сказал Викси. «Все будут просто тащиться туда и сделать это».

В 90-е годы дух сотрудничества сократился, так как люди с техническими навыками были схвачены интернет-компаниями, многие из которых были заперты в ожесточенной конкуренции друг с другом. Но недавно это чувство «жесткой конкуренции» уменьшилось, сказал Викси. «Экономические потоки - это то, чем они являются, люди сосредоточены на сохранении того, что остается в отрасли, а не на большей части рынка».

В прошлом году Vixie почувствовала вкус этого нового духа сотрудничества, когда оказалась в в комнате конкурентов, все разрабатывают решение основной ошибки в системе доменных имен (DNS). Более впечатляюще, ни одна из работ не просочилась, пока у всех не было возможности запланировать.

С рабочей группой Conficker время от времени было жестким. Первоначально настроенный на то, чтобы не допустить, чтобы два более ранних варианта Conficker обновляли свое программное обеспечение, группа столкнулась с последним кодом Conficker.C. «Есть свидетельства того, что произошло обновление, которое произошло», - сказал Андре Димино, соучредитель The Shadowserver Foundation, группы киберпреступлений, входящей в состав Рабочей группы.

В то время как эксперты по безопасности считают, большое количество инфекций Conficker.A и Conficker.B там, никто действительно не знает, сколько из них удалось обновить. В среду у них будет лучшее представление об этом, когда клиенты Conficker.C начнут использовать новый, гораздо более сложный алгоритм для поиска инструкций с сервера команд и управления.

Более ранняя версия червя каждый взгляд на 250 различных веб-сайтов каждый день для инструкций. Работая с регистраторами доменных имен, чтобы заблокировать преступников из этих доменов в Интернете, Рабочая группа смогла удержать Conficker от понимания своих создателей на какое-то время.

Но теперь с новым алгоритмом эта работа станет намного сложнее. Вместо сотен доменов в день им придется заблокировать 50 000. И им придется работать с более чем 100 регистраторами доменов во многих разных странах, так как Conficker начинает искать обновления многих разных укромных уголков и трещин в Интернете.

Будет ли рабочая группа Conficker в состоянии идти в ногу с этой беспрецедентной игрой кошки-мышки еще предстоит увидеть. Но Wesson и DiMino оптимистичны.

Vixie не совсем уверен. «Я иду туда и обратно», - сказал он. «Это зависит от того, действительно ли я нахожусь в тот день, когда я пил кофе или часть дня, когда я пил пиво».