Il Gruppo prende Conficker Combatti a un nuovo livello

Formare un'alleanza globale per combattere il crimine informatico non è facile, e costruire un'organizzazione che possa stare un passo avanti ai criminali informatici in più di 100 paesi è quasi impossibile. Ma una banda di volontari che si fa chiamare Conficker Working Group pensa di poterlo fare.

Il gruppo è stato formato all'inizio di quest'anno per cercare di contenere la massiccia rete di computer infettati dal worm Conficker, che nel suo peggiore si pensava avesse infettato 10 milioni di computer.

La serietà del problema ha aiutato a far decollare il gruppo, mentre gli esperti tecnici delle principali aziende di Internet del mondo si riunivano informalmente insieme. Inizialmente si chiamavano Conficker Cabal, ma ora hanno alleggerito il nome, chiamandosi Conficker Working Group.

[Ulteriori letture: Come rimuovere malware dal tuo PC Windows]

È una storia improbabile, secondo a Paul Vixie, presidente di Internet Systems Consortium, e uno dei membri del gruppo. "Si è formato come una brigata di secchio perché c'era una casa in fiamme", ha detto. "Non c'era modo di mettere a fuoco questo livello di talento se fosse stato con un obiettivo a lungo termine di" Gee, modellare il panorama della sicurezza di Internet ".

Ma ora che funziona, i membri spero che possa essere usato per combattere altre minacce Internet in futuro.

Il gruppo lavora in modo informale, ad hoc. C'è un sito Web e alcune mailing list e occasionali chiamate in conferenza. Nessun contratto, nessuna commissione, nessun workshop e nessuna newsletter.

"Ci sono un sacco di aziende che stanno mettendo molto sulla linea per farlo", ha detto Rick Wesson, CEO di Network Intelligence Consulting Support Intelligence. "Ha risucchiato il tempo di tutti, non siamo pagati per farlo, ed è fantastico. Tutti si sentono bene a farlo".

La posta in gioco è alta. Ora stimato tra 2 milioni e 4 milioni di computer, Conficker sarebbe la botnet più grande del mondo - da molto. Generalmente le botnet con poche centinaia di migliaia di computer sono considerate una delle principali minacce.

L'approccio del gruppo di lavoro risale agli albori di Internet, quando un gruppo affiatato di entusiasti ha mantenuto la rete attiva e funzionante. "Era come una festa in un granaio degli Amish", disse Vixie. "Tutti porterebbero laggiù e farebbero tutto".

Negli anni '90 lo spirito cooperativo si attenuò, mentre le persone con competenze tecniche venivano rapite dalle compagnie Internet, molte delle quali erano bloccate in una feroce competizione l'una con l'altra. Ma recentemente, quel senso di "dura competizione" si è attenuato, ha detto Vixie. "Le maree economiche sono quello che sono, le persone sono focalizzate nel preservare ciò che rimane dell'industria piuttosto che entrare in una quota di mercato più ampia."

L'anno scorso, Vixie ha avuto un assaggio di questo nuovo spirito di cooperazione quando si è trovato in un roomful di concorrenti, tutti risolvono una soluzione a un bug importante nel Domain Name System (DNS). Ancora più impressionante, nessuno dei lavori è trapelato fino a quando tutti hanno avuto la possibilità di applicare patch.

Con il Conficker Working Group, il gioco è stato difficile a volte. Inizialmente impostato per impedire a due versioni precedenti di Conficker di aggiornare il proprio software, il gruppo ha avuto una battuta d'arresto con l'ultimo codice Conficker.C. "Ci sono prove che c'è stato un aggiornamento che è svenuto", ha detto Andre DiMino, co-fondatore di The Shadowserver Foundation, un gruppo di criminalità informatica che fa parte del gruppo di lavoro.

Mentre gli esperti di sicurezza credono che ci sia un un gran numero di infezioni di Conficker.A e Conficker.B, nessuno sa davvero quanti di loro sono stati in grado di aggiornare. Avranno un'idea migliore di questo mercoledì, tuttavia, quando i client di Conficker.C inizieranno a utilizzare un nuovo algoritmo molto più complicato per cercare le istruzioni da un server di comando e controllo.

La versione precedente del worm avrebbe ogni sguardo su 250 siti Web diversi ogni giorno per le istruzioni. Lavorando con i registrar dei nomi di dominio per bloccare i criminali da questi domini Internet, il gruppo di lavoro è stato in grado di tenere Conficker fuori dalla portata dei suoi creatori, almeno per un certo periodo.

Ma ora con il nuovo algoritmo, quel lavoro diventerà molto più difficile. Invece di centinaia di domini al giorno, dovranno bloccare 50.000. E dovranno lavorare con più di 100 registrar di domini in molti paesi diversi, dal momento che Conficker inizia a cercare aggiornamenti in diversi angoli e fessure di Internet.

Se il Conficker Working Group sarà in grado di tenere il passo in questo gioco senza precedenti di gatto e topo rimangono da vedere. Ma Wesson e DiMino sono ottimisti.

Vixie non è così sicuro però. "Vado avanti e indietro", ha detto. "Dipende dal fatto che io sia nella parte del giorno in cui bevo caffè o la parte del giorno in cui bevo birra."