Avec un effort global, un nouveau type de ver est ralenti

Il y a eu de grandes invasions de vers informatiques auparavant, mais rien de tel que Conficker.

D'abord repéré en novembre, le ver avait rapidement infecté plus d'ordinateurs que tout autre ver ces dernières années. Selon certaines estimations, il est maintenant installé sur plus de 10 millions de PC. Mais depuis sa première apparition, il a été étrangement silencieux. Conficker infecte les PC et se propage autour des réseaux, mais il ne fait rien d'autre. Il pourrait être utilisé pour lancer une cyberattaque massive, paralyser pratiquement n'importe quel serveur sur Internet, ou il pourrait être loué à des spammeurs afin de pomper des milliards et des milliards de messages de spam. Au lieu de cela, il se trouve là, un énorme moteur de destruction attendant que quelqu'un tourne la clé.

Jusqu'à récemment, beaucoup de chercheurs en sécurité ne savaient tout simplement pas ce que le réseau Conficker attendait. Jeudi, cependant, une coalition internationale a révélé qu'ils avaient pris des mesures sans précédent pour séparer le ver des serveurs de commande et de contrôle qui pouvaient le contrôler. Le groupe est composé de chercheurs en sécurité, de sociétés de technologie et de registraires de noms de domaine qui se sont associés à l'Internet Corporation for Assigned Names and Numbers (ICANN), qui supervise le système de noms de domaine d'Internet. à partir de votre PC Windows]

Les chercheurs avaient démonté le code de Conficker et découvert qu'il utilisait une nouvelle technique délicate pour téléphoner à la maison pour de nouvelles instructions. Chaque jour, le ver génère une nouvelle liste d'environ 250 noms de domaine aléatoires tels que aklkanpbq.info. Il vérifie ensuite ces domaines pour de nouvelles instructions, vérifiant leur signature cryptographique pour s'assurer qu'ils ont été créés par l'auteur de Conficker.

Lorsque le code de Conficker a été craqué pour la première fois, des experts en sécurité ont récupéré certains de ces domaines générés aléatoirement serveurs pour recevoir des données de machines piratées et observer comment le ver a travaillé. Mais à mesure que l'infection s'est répandue, ils ont commencé à enregistrer tous les domaines - près de 2 000 par semaine - les empêchant de circuler avant que les criminels aient un chanc. Si jamais les méchants essayaient d'enregistrer un de ces domaines de commandement et de contrôle, ils auraient trouvé qu'ils avaient déjà été pris, par un groupe fictif qui s'appelait la "Conficker Cabal". Son adresse? 1 Microsoft Way, Redmond Washington

Il s'agit d'un nouveau type de jeu de chat et de souris pour les chercheurs, mais il a été testé à plusieurs reprises au cours des derniers mois. En novembre, par exemple, un autre groupe a utilisé la technique pour prendre le contrôle des domaines utilisés par l'un des plus grands réseaux de botnets du monde, connu sous le nom de Srizbi, le coupant de ses serveurs de commande et de contrôle. Cependant, cette tactique peut prendre beaucoup de temps et coûter cher. Ainsi, avec Conficker, le groupe a identifié et verrouillé des noms en utilisant une nouvelle technique, appelée pré-enregistrement de domaine et verrouillage.

En divisant le travail d'identification et de verrouillage des domaines de Conficker, le groupe n'a fait que contrôler le ver, a déclaré Andre DiMino, co-fondateur de The Shadowserver Foundation, un groupe de surveillance de la cybercriminalité. "C'est vraiment le premier effort clé à ce niveau qui a le potentiel de faire une différence substantielle", a-t-il déclaré. "Nous aimerions penser que nous avons eu un certain effet en l'estropiant."

Ceci est un territoire inexploré pour l'ICANN, le groupe responsable de la gestion du système d'adresses Internet. Dans le passé, l'ICANN a été critiquée pour avoir été lente à utiliser son pouvoir pour révoquer l'accréditation des bureaux d'enregistrement de noms de domaine qui ont été largement utilisés par les criminels. Mais cette fois-ci, on se réjouit de règles relaxantes qui rendent difficile le verrouillage des domaines et le rassemblement des participants du groupe.

"Dans ce cas précis, ils ont graissé les roues pour que les choses bougent rapidement", explique David Ulevitch, fondateur de OpenDNS. "Je pense qu'ils devraient être félicités pour cela … C'est l'une des premières fois que l'ICANN a vraiment fait quelque chose de positif."

Le fait qu'un groupe aussi diversifié d'organisations travaillent tous ensemble est remarquable, a déclaré Rick Wesson, PDG de la société de conseil en sécurité réseau Support Intelligence. "Que la Chine et l'Amérique coopèrent pour vaincre une activité malveillante à l'échelle mondiale … c'est sérieux, cela n'est jamais arrivé", at-il dit.

L'ICANN n'a pas renvoyé d'appel pour cette histoire et beaucoup de participants à l'effort Conficker, Microsoft, Verisign et le Centre d'information du réseau Internet en Chine (CNNIC) ont refusé d'être interviewés pour cet article

En privé, certains participants disent qu'ils ne veulent pas attirer l'attention sur leurs efforts individuels pour combattre ce qui pourrait bien être une organisation. groupe de la cybercriminalité. D'autres disent que parce que l'effort est si nouveau, il est encore trop tôt pour discuter des tactiques.

Quelle que soit l'histoire, les enjeux sont clairement élevés. Conficker a déjà été repéré sur les réseaux gouvernementaux et militaires et a été particulièrement virulent au sein des réseaux d'entreprises. Un dérapage, et les créateurs de Conficker pourraient reprogrammer leur réseau, en donnant aux ordinateurs un nouvel algorithme qui devrait être craqué et en leur donnant l'occasion d'utiliser ces ordinateurs à des fins néfastes. "Nous devons être précis à 100%", a déclaré Wesson. "Et la bataille est une bataille quotidienne."

(Sumner Lemon à Singapour a contribué à ce rapport.)