mboost-dp1

unknown

Fremtidens botnet vil benytte sig af kryptering

- Via News.com.com - , redigeret af Net_Srak

I et interview med c|net siger Adam Meyers, som er Information Assurance Engineer hos SRA International, at fremtidens botnet vil blive krypterede for at skjule deres tilstedeværelse på den kompromitterede computer. Ved at kryptere den kommunikation, en kompromitteret computer sender til modtageren, vanskeliggøres mulighederne for, at botnettet bliver opdaget.

Netværksanalyse-programmer, som f.eks. Ethereal, der normalt bruges til at lede efter botnet trafik, kan ikke længere bruges, da de blot ser trafikken som almindelig krypteret trafik. Sådan en kryptering af trafikken vil forlænge den tid, det tager at opdage og fjerne et botnet, da man ikke længere kan lede efter de mønstre, som en inficeret computer udviser i den udgående trafik.

Meyers siger, at hvis dette kommer til at blive en realitet, vil antallet af botnets højst sandsynligt stige. Da ejerne af botnets oftest lejer de store mængder af ressourcer ud, som et botnet kan besidde, vil der være flere penge i det, hvis de bliver svære at finde og kører længere tid. Dette vil medføre en øget interesse i at lave botnets.





Gå til bund
Gravatar #1 - KarmicMind
16. nov. 2005 07:32
Wikipedia: Botnet til de mindre begavede.. (deribland migselv..)
Gravatar #2 - ldrada
16. nov. 2005 07:47
Jeg mener, at truslen er overvurderet.

Hvis din side bliver bombarderet af tusindvis af forskellige IP addresser med traffik - krypteret eller ej - så bør der ringe alarmklokker uanset om du ved hvad pakkerne indeholder, eller ej.
Og husk også på, at man aldrig vil kunne kryptere informationerne om hvor pakken kommer fra, og hvem pakken er addreseret til.
Det første stykke information kan dog spoofes - Det er dog meget sjældent at det lykkes en hacker at spoofe bare EN pakke med tilhørende afsender-ip addresse 100% korrekt. På dette grundlag vil jeg vove at påstå, at det er meget nemt at filtrere ugyldige pakker fra, og logge alle de uspoofede. Dette er også grunden til at zombier oftest ikke spoofer deres pakker. Traffikken skal se så legitim ud som muligt - Ellers er det for nemt at filtrere den fra med et netværk af proxyer. Læs også historien om hvordan en bookmaker og en nørd vandt over et DDoS angreb.


Igen, truslen er overvurderet.
Gravatar #3 - Chucara
16. nov. 2005 08:54
#2: Æhm.. tror du har misforstået artiklen lidt.. Som jeg læser det, står der, at det ikke er dem, der bliver spammet, der har sværere ved at opdage den krypterede. - Det er de computere, der er inficeret. Derfor er det altså udgående pakker, man skal filtrere.

Den bedste løsning ville IMHO være at windows fra default ikke tillod noget. Og at man skulle give tilladelse til de enkelte programmer at sende over nettet.
Gravatar #4 - Budda-X
16. nov. 2005 09:03
#3
Meget god ide, men men men... hvad er det nu lige langt de fleste Hr Jensen'er gør når X applikation spørger om lov til et eller andet?

Tror der skal noget helt andet til måske... jeg har dog inden ide om hvad det lige umuddelbart kunne være.
Gravatar #5 - tln
16. nov. 2005 09:14
#3 De fleste Windows brugere er alligevel altid logget ind på en administrator konto. Dermed kan malware selv tilade deres traffik uden problemer.
Gravatar #6 - lean
16. nov. 2005 10:03
Er enig i #3
Det er vel egentlig ligegyldigt, hvad de botnets laver som sender krypteret trafik. De kan hverken sende spam ud, eller lave ddos angreb.
De kan bruges som en supercomputer af 'ejeren' eller til ddos og overvågning af anonyme distribuerede tjenester såsom freenet og tor. Men ellers er det en ganske ubetydelig udvikling.

Det er sikkert rigtigt at metoden kan få antallet af botnets vil stige, men hvad disse nye botnets kan bruges til er meget begrænset.
Gravatar #7 - Erroneus
16. nov. 2005 10:38
Længste historie #2, men rigtig god underholdning og minder om http://www.grc.com/dos/grcdos.htm som er rigtig god læsning og hatten af for Gibson.
Gravatar #8 - Tin-Man
16. nov. 2005 11:20
#6 Hvorfor skulle de ikke kunne sende spam ud eller lave DOS angreb?

Botnets består af forskellige computere der er inficeret af en trojan eller ligende, og normalt kommunikeres mellem disse computere via irc eller en webserver. Det er nu denne forbindelse mellem zombie computeren og serveren der oftere er krypteret og derfor sværere at finde.
Gravatar #9 - sKIDROw
16. nov. 2005 15:27
Og fremtidens straf hedder "Død ved kølle!..." ;)
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login