Gruppen tar Conficker kampen mot et nytt nivå

Å danne en global allianse for å bekjempe cyberkriminalitet er ikke lett, og det er nesten umulig å bygge en organisasjon som kan holde seg et skritt foran cyberkreker i mer enn 100 land. Men et band med frivillige som kaller seg Conficker Working Group mener det kan gjøre det.

Gruppen ble dannet tidligere i år for å forsøke å inneholde det enorme nettverket av datamaskiner som var smittet av Conficker-ormen, som i verste fall var antatt å ha smittet 10 millioner datamaskiner.

Problemets alvor bidro til å få gruppen fra bakken, som tekniske eksperter fra verdens beste internettbedrifter informert bandelt sammen. Først kalte de seg Conficker Cabal, men de har nå lettet navnet, kaller seg Conficker Working Group.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Det er en usannsynlig historie, ifølge til Paul Vixie, president for Internet Systems Consortium, og en av gruppens medlemmer. "Det ble dannet som en bøttebrigade fordi det var et hus i brann," sa han. "Det var ingen måte at du kunne få dette talentnivået til å være fokusert på dette hvis det var med et langsiktig mål om," Gee, kan forme Internett-sikkerhetslandskapet. ""

Men nå at det fungerer, medlemmer håper at det kan brukes til å bekjempe andre Internett-trusler i fremtiden.

Gruppen jobber på en uformell, ad hoc måte. Det er et nettsted og noen adresselister, og en og annen konferansesamtale. Ingen kontrakter, ingen gebyrer, ingen workshops og ingen nyhetsbrev.

"Det er mange selskaper som legger mye på linjen for å gjøre det," sa Rick Wesson, konsernsjef for Network Security Consultancy Support Intelligence. "Det suget opp allians tid, vi blir ikke betalt for å gjøre dette, og det er fantastisk. Alle føler seg bra om å gjøre dette."

Innsatsen er høy. Nå estimert til mellom 2 millioner og 4 millioner datamaskiner, ville Conficker være verdens største botnet - for mye. Vanligvis anses botnets med noen få hundre tusen datamaskiner å være en stor trussel.

Arbeidsgruppens tilnærming går tilbake til de tidlige dagene av Internett, da en nært holdet gruppe entusiaster holdt nettverket oppe. "Det var som en Amish låvebyggingsfest," sa Vixie. "Alle ville bare hale der og få det gjort."

På 90-tallet som samarbeidsavtalen ble redusert, da folk med tekniske ferdigheter ble spratt opp av Internett-selskaper, hvor mange var låst i hard konkurranse med hverandre. Men nylig har den følelsen av "hard konkurranse" redusert, sa Vixie. "Økonomiske tidevann er det de er, folk er fokusert på å bevare det som gjenstår av næringen, i stedet for å muskler inn på en større markedsandel."

I fjor fikk Vixie en smak av denne nye samarbeidsånden da han befant seg i en romslig med konkurrenter, alle arbeider ut en løsning på en stor feil i Domenenavnssystemet (DNS). Mer imponerende, ingen av arbeidet lekket ut før alle hadde en sjanse til å lappe.

Med Conficker Working Group har det vært tøft til tider. Opprinnelig opprettet for å forhindre to tidligere varianter av Conficker fra å oppdatere programvaren, har gruppen hatt et tilbakeslag med den siste Conficker.C-koden. "Det er bevis på at det var en oppdatering som slenget ut," sa Andre DiMino, medstifter av The Shadowserver Foundation, en nettkriminalitetsgruppe som er en del av arbeidsgruppen.

Mens sikkerhetseksperter tror at det er herre en stort antall Conficker.A og Conficker.B infeksjoner der ute, vet ingen virkelig hvor mange av dem som var i stand til å oppdatere. De vil få en bedre ide om det på onsdag, men når Conficker.C-klienter begynner å bruke en ny, mye mer komplisert algoritme for å lete etter instruksjoner fra en kommando- og kontrollserver.

Tidligere versjon av ormen ville hver dag ser på 250 forskjellige nettsteder hver dag for instruksjoner. Ved å jobbe med domenenavnregistratorer for å låse de kriminelle ut fra disse Internett-domenene, var arbeidsgruppen i stand til å holde Conficker ut av forståelsen av sine skapere, i hvert fall i det minste.

Men nå med den nye algoritmen blir jobben mye vanskeligere. I stedet for hundrevis av domener per dag, må de låse ut 50.000. Og de må jobbe med mer enn 100 domeneregistere i mange forskjellige land, ettersom Conficker begynner å lete etter oppdateringer, mange forskjellige kroker på Internett.

Om Conficker-arbeidsgruppen vil kunne holde følge med i dette hidtil usete spillet katt og mus gjenstår å bli sett. Men Wesson og DiMino er optimistiske.

Vixie er ikke så sikker skjønt. "Jeg går frem og tilbake," sa han. "Det avhenger av hvorvidt jeg er i den delen av dagen hvor jeg drikker kaffe eller den delen av dagen hvor jeg drikker øl."