Group neemt Conficker Fight naar een nieuw niveau

Het vormen van een wereldwijde alliantie om cybercriminaliteit te bestrijden is niet eenvoudig en het opbouwen van een organisatie die cybercriminelen in meer dan 100 landen een stap voor kan blijven is bijna onmogelijk. Maar een groep vrijwilligers noemt zichzelf Conficker Working Group denkt dat dit het kan.

De groep werd eerder dit jaar opgericht om te proberen het enorme netwerk van computers te bevatten die besmet waren met de Conficker-worm, waarvan in het slechtste geval werd gedacht dat ze was geïnfecteerd 10 miljoen computers.

De ernst van het probleem heeft de groep van de grond geholpen, omdat technische experts van 's werelds beste internetbedrijven informeel bij elkaar zijn geweest. Aanvankelijk noemden ze zichzelf de Conficker Cabal, maar ze hebben nu de naam lichter gemaakt en noemen zichzelf de Conficker-werkgroep.

[Lees meer: ​​Hoe je malware van je Windows-pc verwijdert]

Het is een onwaarschijnlijk verhaal, volgens aan Paul Vixie, president van het Internet Systems Consortium, en een van de leden van de groep. "Het werd gevormd als een emmerbrigade omdat er een huis in brand stond", zei hij. "Er was geen manier om dit niveau van talent hierop te richten als het een langetermijndoel had van 'Gee, laat het internetbeveiligingslandschap vormgeven.'"

Maar nu het werkt, leden hoop dat het in de toekomst kan worden gebruikt om andere internetbedreigingen af ​​te weren.

De groep werkt op een informele, ad hoc manier. Er is een website en een aantal mailinglijsten en een enkele conference call. Geen contracten, geen kosten, geen workshops en geen nieuwsbrieven.

"Er zijn veel bedrijven die veel op het spel zetten om het te doen," zei Rick Wesson, CEO van Network Security Consulting Support Intelligence. "Het heeft ieders tijd opgezogen, we worden niet betaald om dit te doen, en het is fantastisch. Iedereen voelt zich goed om dit te doen."

De inzet is hoog. Nu geschat op tussen de 2 miljoen en 4 miljoen computers, zou Conficker 's werelds grootste botnet zijn - door veel. Over het algemeen worden botnets met een paar honderdduizend computers beschouwd als een grote bedreiging.

De aanpak van de werkgroep gaat terug tot de begintijd van het internet, toen een hechte groep enthousiastelingen het netwerk draaide. 'Het was net een Amish-schuurfeest,' zei Vixie. "Iedereen zou daar gewoon rondtrekken en het voor elkaar krijgen." In de jaren 90 nam die coöperatieve geest af, omdat mensen met technische vaardigheden werden weggerukt door internetbedrijven, van wie velen met elkaar in een felle concurrentiestrijd kampten. Maar onlangs is dat gevoel van "harde concurrentie" afgenomen, zei Vixie. "Economische getijden zijn wat ze zijn, mensen zijn erop gericht om wat overblijft van de industrie te behouden in plaats van op een groter marktaandeel in te spelen." Vorig jaar kreeg Vixie een voorproefje van deze nieuwe geest van samenwerking toen hij zich in een ruimte van concurrenten, allen werken aan een oplossing voor een grote bug in het Domain Name System (DNS). Nog indrukwekkender lekte geen van de werken uit totdat iedereen de kans kreeg om te patchen.

In de Conficker-werkgroep was het soms moeilijk om te doen. Oorspronkelijk ingesteld om te voorkomen dat twee eerdere versies van Conficker hun software kunnen bijwerken, heeft de groep een tegenvaller gehad met de nieuwste Conficker.C-code. "Er is bewijs dat er een update was die er uit gleed", zegt Andre DiMino, mede-oprichter van The Shadowserver Foundation, een cybercriminaliteitsgroep die deel uitmaakt van de werkgroep.

Hoewel veiligheidsexperts denken dat er een drempel is een groot aantal Conficker.A- en Conficker.B-infecties die er zijn, niemand weet echt hoeveel van hen in staat waren om bij te werken. Ze zullen dat echter op woensdag beter weten wanneer Conficker.C-clients een nieuw, veel gecompliceerder algoritme gaan gebruiken om instructies te zoeken van een command-and-control-server.

Een eerdere versie van de worm zou elke blik op 250 verschillende websites elke dag voor instructies. Door met domeinnaamregistreerders samen te werken om criminelen van deze internetdomeinen te weren, kon de werkgroep Conficker voor een tijdje uit de handen van zijn makers houden.

Maar nu met het nieuwe algoritme, zal die klus veel moeilijker worden. In plaats van honderden domeinen per dag moeten ze 50.000 uitsluiten. En ze zullen met meer dan 100 domeinregistrars in veel verschillende landen moeten werken, terwijl Conficker op zoek gaat naar updates voor veel verschillende hoeken en gaten van het internet.

Of de Conficker-werkgroep dit ongekende spel met computers kan bijhouden kat en muis valt nog te bezien. Maar Wesson en DiMino zijn optimistisch.

Vixie is niet zo zeker hoor. "Ik ga heen en weer," zei hij. "Het hangt ervan af of ik op het gedeelte van de dag zit waar ik koffie drink of op welk gedeelte van de dag ik bier drink."