Varför en 'bra' mask kan vara en dålig idé

En datormask som har slingrade sig in i miljontals oparpade datorer under de senaste månaderna har experter som diskuterar några drastiska motåtgärder.





Conficker (alias Downup, Downadup och Kido) har infekterat miljontals datorer och installerat kod som gör dem redo för ytterligare kommandon. Naturligtvis är nätverksadministratörer och säkerhetsexperter ganska oroade över vad nästa steg kan vara – kanske att släppa lös en tsunami av skräppost, eller kanske bombardera en bankwebbplats med en ohanterlig mängd trafik i ett utpressningsschema.

En expert som pratade med The New York Times säger att en del människor redan arbetar på en kontroversiell motåtgärd – att släppa lös en bra (eller vit) datormask som skulle utnyttja samma sårbarheter som Conficker för att desinficera alla maskiner som är utsatta.

Ja, vi jobbar på det, liksom många andra, sa en botnätforskare som talade med motiveringen att han inte kan identifieras på grund av sin plan. Ja, det är olagligt, men det var Rosa Parks som satt längst fram i bussen.



Analys av masken visar hur detta kan fungera. Eftersom masken är programmerad att kontakta en specifik uppsättning webbadresser och vänta på att få ytterligare kod, kan kapning av dessa adresser klämma masken innan den gör mycket skada. Philip Porras en forskare vid SRI international, som har studerat spridningen av Conficker, säger att några av de domäner som är kopplade till masken redan har registrerats av white hat-hackers. Dessa välmenande experter kanske hoppas på att helt enkelt hindra masken från att ta emot ytterligare kommandon, eller så kanske de letar efter ett sätt att injicera sin egen viruskod i Conficker-nätverket.

Att skapa en bra mask låter som en smart idé, tills du verkligen tänker efter. Nicholas Weaver , en nätverkssäkerhetsforskare vid Berkeley's International Computer Science Institute, förklarar de potentiella fallgroparna med ett sådant tillvägagångssätt i detta 2006 Usenix-artikel (pdf). Bortsett från de juridiska frågorna som är involverade i att infektera miljontals maskiner, säger Weaver att det skulle vara otroligt svårt att programmera en mask för att bara rikta in sig på de maskiner som har blivit infekterade och undvika att skada andra system. Historien verkar stödja honom - 2004 kallades en vit mask Welchia släpptes i ett försök att rensa upp tusentals system infekterade med en mask som heter Blaster. Tyvärr lyckades Welchia inte befria dessa datorer från Blaster och lyckades bara täppa igen företagsnätverk ännu mer.

Dölj