Hvordan du har utilsiktet deltatt i de siste DDoS-angrepene

Risikoen for at en Internett-tilkoblet datamaskin er smittet med skadelig programvare, vil aldri bli redusert til null. Det er bare typen programvare som feil oppstår. Der det er programvaredesignfeil, er det folk som vil utnytte disse feilene til deres fordel.

De beste PC-brukere kan håpe på, å minimere sjansene for en infeksjon og å redusere skadene som en del av skadelig programvare kan forårsake - om den har til hensikt å stjele en brukers sensitive data eller å kommandere maskinen som en del av et cyberangrep på servere tusenvis av miles unna.

I forrige uke ble Internett-brukere fanget i krysset av en online kamp. På den ene siden var spammere og andre falske typer som sender malware via e-post. På den andre var spam-organisasjonen Spamhaus. Som Don Reisinger rapporterte sist onsdag, opplevde flere europeiske steder betydelige nedganger som et resultat av angrepet, noe som også kan ha involvert kriminelle gjenger i Russland og Øst-Europa.

I et innlegg i fredags forklarte Declan McCullagh at teknologien for å bekjempe slike angrep har vært kjent i mer enn et tiår, selv om implementering av Internett-teknologien er vanskelig og praktisk talt kan være umulig.

Så hvor forlater du din gjennomsnittlige, daglige Internett-bruker? Vår evne til å forhindre at våre maskiner blir kappet av skadelig programvare vil alltid være begrenset av vår medfødte følsomhet. Vi er rett og slett for sannsynlig å bli lurt til å åpne en fil eller en nettside vi ikke burde gjøre.

PC infeksjonsratene holder jevn til tross for utbredelsen av gratis antivirusprogramvare. Selv de beste sikkerhetsprogrammene kan ikke se noen malware, som testresultater fra AV Comparatives indikerer (PDF). For eksempel, i tester utført i august 2011, ble Microsoft Security Essentials vurdert som avansert (nest høyeste scoring nivå) med en deteksjonsrate på 92, 1 prosent og "svært få" falske positive.

Siden vi aldri vil eliminere PC-infeksjoner, er det beste forsvaret mot botnets ikke på kilden, men heller ved inngangen til Internett-leverandørens nettverk. I juli i fjor utgav Internet Engineering Task Force et utkast til anbefalingene for rydding av bots i ISP-nettverk som peker ut de utfordringene som ble funnet ved botoppdagelse og fjerning.

Dessverre er det ikke mye enklere å oppdage og fjerne botnets for Internett-leverandører. Når Internett-leverandører skanner sine kunders datamaskiner, kan PC-en oppleve skanningen som et angrep og generere et sikkerhetsvarsel. Mange er opptatt av personvernimplikasjonene til Internett-leverandører som skanner innholdet på kundenes maskiner. Deretter er det grunnleggende motvilje mellom Internett-leverandører til å dele data og arbeide sammen generelt.

Mye av IETFs foreslåtte avhjelp kommer ned til å utdanne brukere om behovet for å skanne PCene sine for infeksjoner og fjerne dem de oppdager. Mens de fleste virusinfeksjoner gjør at deres tilstedeværelse blir kjent ved å bremse systemet og ellers forårsaker problemer, betyr det at mange bots ikke er oppmerksomme på dem i det hele tatt. Hvis boten er designet for ikke å stjele brukerens data, men bare for å delta i et DDoS-angrep, kan brukerne ikke føle det nødvendig å oppdage og slette botten.

En av IETF-rapportens forslag er at Internett-leverandører deler "selektive" data med tredjeparter, inkludert konkurrenter, for å lette trafikkanalysen. I mars i fjor utgav Kommunikasjonssikkerhet, Pålitelighet og Interoperabilitetsrådet sin frivillige Anti-Bot Code of Conduct for Internett-leverandører (PDF). I tillegg til å være frivillig, er tre av de fire anbefalingene i "ABCs for ISPs" avhengige av sluttbrukere:

Utdanne sluttbrukerne av trusselen fra bots og tiltak som sluttbrukerne kan ta for å forhindre botinfeksjoner;

Oppdag botaktiviteter eller oppnå informasjon, inkludert fra troverdige tredjeparter, på botinfeksjoner blant sluttbrukerbasen;

Varsle sluttbrukere av mistenkte botinfeksjoner eller hjelpe sluttbrukerne til å avgjøre om de er potensielt infiserte av bots; og

Gi informasjon og ressurser, direkte eller ved henvisning til andre kilder, til sluttbrukere for å hjelpe dem med å rette botinfeksjoner.

Et dokument med tittelen "Modeling Internet Scale Policies for Cleaning Up Malware" (PDF) skrevet av Lawrence Berkeley National Laboratory Stephen Hofmeyr og andre antyder at å ha store Internett-leverandører som arbeider sammen for å analysere trafikk på inngangspunkter til nettverket, er mer effektivt enn bot deteksjon på sluttbrukermaskiner.

Men det gir oss ikke helt av kroken. Hvis hver Windows-PC ble skannet for skadelig programvare en gang i måneden, ville det være langt færre boter tilgjengelig for det neste DDoS-angrepet. Siden CNET-leserne har en tendens til å være mer teknisk kunnskapsrike enn gjennomsnittet, foreslår jeg et program for datamaskiner: alle skanner to eller tre PCer de mistenker, ikke regelmessig vedlikeholdes av sine eiere (for eksempel slektninger) på pro bono basis.

Her er tre trinn du kan ta for å minimere muligheten for at en Windows-PC blir skrevet inn i en botnet-hær.

Ikke bruk en Windows-administratorkonto

De aller fleste malware retter seg mot Windows-systemer. I stor grad skyldes det ganske enkelt tall: det er så mange flere installasjoner av Windows enn noe annet operativsystem som bruker Windows maksimerer et stykke malware effektivitet.

Mange har ikke annet valg enn å bruke Windows, sannsynligvis fordi deres arbeidsgiver krever det. For mange andre, bruk av et annet operativsystem enn Windows er upraktisk. Men svært få mennesker må daglig bruke en Windows-administratorkonto. I de siste to årene har jeg bare brukt en vanlig Windows-konto på min hverdags PC, med en eller to unntak.

Faktisk glemmer jeg ofte at kontoen mangler administratorrettigheter til en programvareinstallasjon eller oppdatering krever at jeg skriver inn et administratorpassord. Ved å bruke en standardkonto blir ikke datamaskinen skadelig for malware, men det gjør det sikkert et beskyttelsesnivå.

Sett inn programvaren din for å oppdatere automatisk

Ikke for mange år siden, anbefalte eksperter PC-brukere å vente en dag eller to før du bruker patcher for Windows, mediespillere og andre programmer for å sikre at patcher ikke forårsaket flere problemer enn de forhindret. Nå er risikoen som ikke er oppdatert, langt større enn eventuelle potensielle feil som følge av oppdateringen.

I mai 2011 sammenlignet jeg tre gratis skannere som ser utdatert, usikker programvare. Min favoritt av de tre på den tiden var CNETs egen TechTracker for sin enkelhet, men nå stoler jeg på Secunia's Personal Software Inspector, som følger dine tidligere oppdateringer og gir et samlet systemresultat.

Standardinnstillingen i Windows Update er å laste ned og installere oppdateringer automatisk. Også valgt som standard er alternativene for å motta anbefalte oppdateringer, så vel som de som er merket som viktige, og å oppdatere andre Microsoft-produkter automatisk.

Bruk et andre anti-malware-program for å skanne systemet

Siden ingen sikkerhetsprogram oppdager enhver potensiell trussel, er det fornuftig å ha en ny malware-skanner installert for sporadisk manuell systemskanning. Mine to favoritt manuelle virus-skanningsprogrammer er Malwarebytes Anti-Malware og Microsofts fjerningsprogram for skadelig programvare, som begge er gratis.

Jeg ble ikke spesielt overrasket da Malwarebytes fant tre forekomster av PUP.FaceThemes-viruset i registernøkler til min hverdags Windows 7-PC (vist nedenfor), men jeg forventet ikke at programmet skulle oppdage fire forskjellige virus i gamle Windows-systemmapper på et testsystem med en standardkonfigurasjon av Windows 7 Pro (som vist på skjermen øverst i dette innlegget).

En uventet fordel ved fjerning av skadelig programvare var en reduksjon i oppstartstid for Windows 7-maskinen fra mer enn to minutter til litt over et minutt.

Hjelp for operatører som kommer under angrep

DDoS-angrepene er først og fremst motivert av økonomisk gevinst, for eksempel hendelsen i desember i desember, som tømte en bank av vest-online-konto på $ 900.000, som Brian Krebs rapporterte. Angrepene kan også være et forsøk på å hevne hevn, som mange analytikere tror var implisert i forrige ukes DDoS-angrep mot Spamhaus.

Relaterte historier

  • Dongle vitser og en tweet føre til fyringer, trusler, DDoS angrep
  • Har spam-nettkampen virkelig bremset Internett?
  • Anonym anmelder USA for å se DDoS-angrep som juridisk protest

Irans regjering ble skylden for en nylig serie av DDoS-angrep mot amerikanske banker, som New York Times rapporterte i januar. I økende grad blir botnets regissert av politiske aktivister mot deres motstand, for eksempel bølgen av hacktivistiske angrep mot banker rapportert av Tracy Kitten på BankInfoSecurity.com-siden.

Selv om store nettsteder som Google og Microsoft har ressurser til å absorbere DDoS-angrep uten hikke, er uavhengige nettstedoperatører mye mer sårbare. Electronic Frontier Foundation tilbyr en guide for små nettstedseiere for å hjelpe dem med å takle DDoS-angrep og andre trusler. Keep Your Site Alive-programmet dekker aspekter som skal vurderes når du velger en webverten, backupalternativer og sidespiegeling.

Den økende effekten av DDoS-angrep er et av temaene i Global Threat Intelligence Report 2013, utgitt av sikkerhetsfirma Solutionary. Nedlasting av rapporten krever registrering, men hvis du har det travelt, gir Bill Brenner en oppsummering av rapporten på CSOs Salted Hash-blogg.

Som Brenner rapporterer, er to trender identifisert av Solutionary at malware er stadig mer flink til å unngå deteksjon, og Java er favorittmål for malwareutnyttelsessett, og erstatter Adobe PDF-filer øverst i listen.

DNS-serverens sårbarhet bak DDoS-angrepene

Den medfødte åpenheten til Internett gjør DDoS-angrep mulig. DNS-programvareleverandøren JH Software forklarer hvordan DNSs rekursjonsinnstilling tillater en oversvømmelse av botnetforespørsler for å swamp en DNS-server. CloudShield Technologies 'Patrick Lynch ser på "åpne resolvere" -problemet fra et bedrifts- og ISP-perspektiv.

Paul Vixie ser på farene ved å blokkere DNS på nettstedet for Internett-konsortier. Vixie-kontraster blokkerer med Secure DNS-forslaget for å bevise et nettsteds autentisitet eller uautoritet.

Endelig, hvis du har to og en halv time å drepe, se den interessante paneldiskusjonen som ble holdt i New York City i desember i fjor, rettet mot å redusere DDoS Attacks: Best Practices for a Evolving Threat Landscape. Panelet ble moderert av Public Interest Registry CEO Brian Cute og inkluderte ledere fra Verisign, Google og Symantec.

Jeg ble rammet av et gjenværende tema blant paneldeltakere: vi må utdanne sluttbrukere, men det er egentlig ikke deres feil, og ikke helt deres problem. For meg hørtes det mer enn litt som Internett-leverandører som passerte pengene.

 

Legg Igjen Din Kommentar