En riktig tungviktare till botnät, känt som Festi, har bara spårats av forskare sedan augusti, men svarar redan för cirka 5 procent av all spam i världen, enligt Paul Wood, analytiker hos Messagelabs, som håller koll på skräppost och botnät.
När ett botnät som Festi dyker upp på radarskärmen räcker det inte med att säkerhetsforskarna tar reda på vad det håller på med och hur stor skada det kan ställa till med - de måste också komma på vad det ska kallas. Än så länge saknas ett system för detta.
En gemensam praxis har varit att namnge botnätet efter skadliga program som kan förknippas med det, men det har vissa nackdelar.
Paul Wood förklarar Festis historia:
- Namnet kommer från Microsoft, de identifierade den skadliga programvaran som låg bakom och kom på ett klatschigt namn, säger Wood. Vanligtvis kommer ett antal företag upptäcka botnätet vid samma tidpunkt och ge det ett namn baserat på dess egenskaper. Festis ursprungliga namn var "backdoor.winnt/festi.a" eller "Backdoor.Trojan". Ofta kommer namnet från formuleringar som finns inom själva programvaran. Det här kan ha varit relaterat till ett ord som "festival".
Eftersom säkerhetsbranschen saknar ett enhetligt sätt att döpa botnät blir resultatet ofta en lång lista med namn på samma botnät, som används av olika antivirusprogram och som kan vara förvirrande för kunderna. Som det ser ut nu är den ökända Conficker även känd som Downup, Downadup och Kido. Srizbi-botnätet kallas också Cbeplay och Exchanger. Kracken är samma som botnätet Bobax. Varför de döps som de gör är upp till de enskilda forskare som först identifierar dem.
- Ofta beror det på när vi ser dem först och vad de gör, säger Andre DiMino, vd på Shadowserver Foundation, en ideell sammanslutning av cyberbrottsbekämpare som på sin fritid engagerar sig i att hitta och stoppa skadlig aktivitet som botnät.
Ett exempel är Gumblar, ett stort botnät som fick uppmärksamhet tidigare i år när det slog till mot gumblar.cn-domänen, berättar Andre DiMino.
Namndilemmat kan vara svårt att hantera, enligt Vincent Weafer, vd för Symantecs Security Response-division. Under åren har dock namngivning av skadlig programvara haft några grundregler.
- Döp ingenting efter författaren, säger han. Det var det viktigaste på den tiden virus skrevs för att få berömmelse.
När Weafer tänker tillbaka på botnätsnamn som setts i rubriker de senaste åren ser han Conficker som ett av de mest intressanta. Namnet tros vara en kombination av det engelska ordet konfigurera och ordet Ficker - en tysk obscenitet. Storm var uppkallat efter en stor europeisk storm och den skräppost som flöt runt i samband med den. Kracken är uppkallat efter ett legendariskt sjöodjur. Och MegaD, en stor spambot, fick sitt namn efter att ha skickat stora mängder skräppost om bland Viagra och liknande produkter.
- Du kan ju gissa vad D:et står för efter Mega, säger Weafer.
Gunter Ollmann, forskningschef på säkerhetsföretaget Damballa, anser att det är dags för en systematisk metod för namngivning av botnät, som leverantörerna kan enas om. Eftersom botnät muterar och förändras så ofta anser han att de oftast förlorar kopplingen till de skadliga program som ursprungligen förknippats med dem.
- De begränsar sig inte till ett enda stycke skadlig programvara, säger Ollmann. De använder flera olika verktyg för att generera flera familjer av malware. Att döpa ett botnät efter en bit skadlig kod är naivt och visar inte på vad det faktiska hotet är.
Ollmann tillägger också att den stora majoriteten av skadlig kod inte har namn anpassat till människor och enbart ses som siffror, vilket gör namngivning omöjligt. Resultatet är ett förvirrande landskap för företagskunder som kanske försöker städa upp röran efter en bråkig mask, bara för att upptäcka att olika leverantörer har olika namn på samma problem.
På Damballa har Ollman nu infört ett namngivningssystem som liknar det man använder för orkaner.
- Det dyker upp så många av dessa att det bara blir en fråga om att tilldela ett läsbart namn och se till att inget annat namn förknippas med det, säger Ollmann. Det kanske är ovärdigt att använda samma system som för orkaner, men det kanske säger en del om vilken typ av hot det handlar om.
IDG.se
onsdag 10 februari 2010
- IT
- BizGuide NY!
- CIO Sweden
- Computer Sweden
- CS Jobb
- CSO
- Digitala Hemmet
- Executive Report
- IDG.se
- Internetworld
- IT i vården
- IT24
- IT-tjej
- Kickad.nu
- Level
- M3
- MacWorld
- Mikrodatorn
- PC för Alla
- Planet Mobile NY!
- TechWorld
- Testcentret
- ANDRA OMRåDEN
- Big Twin
- Biotech Sweden
- CAP&Design
- CFO World NY!
- MiljöAktuellt
- Studio
- Teknik360
- Upphandling24
- MER FRåN IDG
- Branschkoll
- Kundcase
- Nyhetsbrev
- Pressmeddelanden
- Whitepapers & Webcasts
Vinn bärbar dator
Namnsättning à la Linné - (yadayada) 2009-11-11 19:36
Kraken.. - (roland lygel) 2009-11-11 21:35
Namnsättning à la Linne - (på ven) 2009-11-11 23:39
Ollman och Damballa? - (Zirro) 2009-11-12 01:17
Dop != Namngivning - (Mattias C) 2009-11-12 08:43
Ollman och Damballa? - (Besser) 2009-11-12 09:06
Dop != Namngivning - (Tuxie - http://tuxie.wordpress.com) 2009-11-12 09:34
Dop != Namngivning - (<script>alert(String.fromCharCode(88, 83, 83))</script>) 2009-11-12 11:00
Dop != Namngivning - (Braiin) 2009-11-12 11:05
Namnsättning à la Linné - (Natanael_L01) 2009-11-12 11:48