Artikel top billede

DK-CERT: Sådan får vi bugt med botnet

Klumme: Shehzad Ahmad fra DK-CERT foreslår her en opskrift til at få renset pc'er, der er inficeret med botnet-programmer.

Et ukendt antal danske pc'er er inficeret med programmer, der lader bagmænd fjernstyre dem. De indgår i såkaldte botnet.

I sikkerhedsbranchen diskuterer vi løbende, hvad vi kan gøre ved problemet.

Ofte kan vi ud fra kommunikationen mellem en pc og internettet se, at den må være inficeret.

Men det hjælper bare ikke særlig meget. For der er langt fra at kende IP-adressen på en inficeret pc og til at advare dens ejer.

Her er mit forslag til, hvad vi kan gøre.

Det er ikke helt gennemarbejdet, og jeg kan selv se nogle problemer med det, men jeg tror, at det er muligt at gennemføre.

Sikkerhedsfirma overvåger

Internetudbyderne hyrer et specialiseret sikkerhedsfirma til at holde øje med, om deres kunders pc'er begynder at opføre sig mistænkeligt.

Når jeg foreslår, at opgaven skal lægges ud til et sikkerhedsfirma, skyldes det dels, at sikkerhedsfirmaerne har specialviden om it-sikkerhed, dels at lovgivningen begrænser, hvordan udbyderne må overvåge deres kunder.

Sikkerhedsfirmaet får selvfølgelig ikke adgang til at se ind i kundernes pc'er.

Det overvåger trafikken på nettet og kan på den måde opdage mønstre, der tyder på infektioner.

Når sikkerhedsfirmaet opdager en IP-adresse, der ser ud til at være inficeret, sender det IP-adressen til udbyderen.

Udbyderen omdirigerer HTTP-opkald fra den pågældende IP-adresse til en særlig webside.

Her informeres brugeren om, at der er risiko for, at pc'en er inficeret.

Sådan får du renset din computer

Brugeren får valget mellem selv at rense sin pc eller lade sikkerhedsfirmaet (på vegne af udbyderen) gøre det.

Hvis brugeren vælger selv at rense, giver siden links til anvisninger på, hvordan det gøres.

Hvis brugeren ignorerer advarslen, kan man som et sidste skridt lukke for adgangen.

Inden da skal der være forsøgt advaret ad andre kanaler, for eksempel via mail eller SMS.

Jeg tror, at metoden kan virke. Men der er nogle udfordringer.

For det første gør vi meget ud af at lære brugere, at de ikke skal tro på falske virusadvarsler.

Så hvordan overbeviser vi dem om, at denne her advarsel altså er god nok?

For det andet er der nogle tekniske komplikationer. En IP-adresse er ikke identisk med en pc.

Ofte vil der være flere pc'er bag en IP-adresse, der deles via NAT.

Eller en adresse har skiftet ejer, fordi udbyderen kører med dynamisk tildelte adresser.

Det er muligt at finde frem til ejeren, men det kræver mere arbejde for internetudbyderen.

Så den bruger, der omdirigeres til advarselssiden, har måske slet ikke noget sikkerhedsproblem. Det skal der tages højde for - men hvordan?

Jeg har vendt ideen med udbydere og sikkerhedsfolk, og de er ikke afvisende over for den.

Men som det fremgår, er der nogle spørgsmål, der skal afklares.

Se derfor dette som et oplæg til debat i branchen om, hvordan vi kan komme dette alvorlige problem til livs.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.

DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere