Dokážete shodit jakýkoliv server?
A dokážete to i přes půl zeměkoule a během několika minut?
V okamžiku, kdy zjistíte, že malware navazuje spojení s určitým C&C serverem a rozhodnete se daný C&C server vyřadit z provozu, aby s ním nakažené počítače již nemohly dále komunikovat, máte několik možností jako to udělat, jenže…
Ať už malware navazuje spojení s konkrétní IP adresou nebo kontaktuje webový server běžící na nějaké doméně, poměrně snadno zjistíte, kde se daná IP adresa nachází, kdo si doménu zaregistroval a u jakého poskytovatele hostingu daný server běží.
Následně se můžete obrátit na provozovatele hostingu, registrátora domény nebo příslušného ISP, a požádat ho, aby přístup na daný server blokoval. Zpravidla se však jedná o subjekty, které se nachází kdesi v zahraničí, a je s nimi velice obtížná komunikace a věřte mi, že ani znalost několika světových jazyků vám moc nepomůže.
Počítejte také s tím, že daný subjekt bude nejprve kontaktovat provozovatele daného serveru a požádá ho, aby se k této záležitosti vyjádřil, a ten na to bude mít i několik dnů. To je naprosto legitimní postup. Vám by se určitě také nelíbilo, kdyby vám společnost, které platíte, bez jakéhokoliv upozornění odpojila váš server od sítě.
Otázka je, jak taková komunikace mezi těmito subjekty a jejími klienty probíhá, co a zda vůbec se prověřuje, a jaká je ochota všech zúčastněných stran problém skutečně řešit. Každopádně i při nejlepší vůli může C&C server běžet na daném serveru po dobu několika dnů, a to útočníkům zcela stačí.
Problém je, že za jednou veřejnou IP adresou se kolikrát skrývá spousta serverů, a mnohdy je též hacknut a zneužit jako C&C server webový server, na kterém se nachází oficiální webová prezentace nebo e-shop určité firmy a ta o tom, že její web slouží i k jiným účelům, nemá tušení. Zablokováním přístupu by tak paradoxně mohlo dojít i ke způsobení větší škody, než kterou představuje existence daného C&C serveru.
Ani zásah do routovacích tabulek nebo DNS záznamů u lokálních ISP, nepředstavuje ideální řešení, protože jak již bylo řečeno výše, za jednou IP adresou se může nacházet vice serverů, na kterých provozují business různé firmy, a daný zásah by mohl způsobit nedostupnost jejich služeb.
Těžko se také najde subjekt, který by vzal na sebe odpovědnost za rozhodnutí danou akci realizovat, aniž by předtím provedl alespoň nějakou základní analýzu a kontaktoval ostatní subjekty s žádostí o poskytnutí dalších informací nebo součinnosti. Jenže čas mezitím běží, a pokud je použit např. DGA pro generování domén, mohou být i hodiny příliš dlouhá doba.
Co kdyby požadavky na blokování mohly vznášet jen subjekty, které patří do kritické infrastruktury státu? Byla by v takovém případě větší šance na úspěch? Anebo si myslíte, že lepším řešením by bylo pokusit se zneužít nějaké zranitelnosti v systému, na kterém běží C&C server, a získat tak nad ním kontrolu.
Nebo máte nějaké jiné řešení? Napište.
Štítky: cybercrime
K článku “Dokážete shodit jakýkoliv server?” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.