Gruppen tager Conficker kampen mod et nyt niveau

At skabe en global alliance til bekæmpelse af cyberkriminalitet er ikke let, og det er næsten umuligt at opbygge en organisation, der kan være et skridt foran cyberskurke i mere end 100 lande. Men en gruppe frivillige, der kalder sig Conficker Working Group, mener, at det kan gøre det.

Gruppen blev dannet tidligere i år for at forsøge at indeholde det massive netværk af computere inficeret af Conficker-ormen, der i værste fald syntes at have inficeret 10 millioner computere.

Problemets alvor bidrog til at få gruppen væk fra jorden, da tekniske eksperter fra verdens førende internetfirmaer uformelt bandede sammen. Først kaldte de sig Conficker Cabal, men de har nu lettet navnet, kaldet sig Conficker Working Group.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Det er en usandsynlig historie ifølge til Paul Vixie, formand for Internet Systems Consortium og en af ​​gruppens medlemmer. "Det blev dannet som en spandbrigade, fordi der var et hus i brand," sagde han. "Der var ingen måde at kunne få dette talentniveau til at fokusere på dette, hvis det var med et langsigtet mål om, 'Gee, lad os forme websikkerhedslandskabet.'"

Men nu at det virker, er medlemmerne håber at det kunne bruges til at bekæmpe andre internettrusler i fremtiden.

Gruppen arbejder uformelt ad hoc. Der er et websted og nogle mailinglister og lejlighedsvis konferenceopkald. Ingen kontrakter, ingen gebyrer, ingen workshopper og ingen nyhedsbreve.

"Der er mange virksomheder, der lægger meget på linjen for at gøre det," sagde Rick Wesson, administrerende direktør for support for support til netværkssikkerhed, Support Intelligence. "Det sugede op alles tid, vi bliver ikke betalt for at gøre dette, og det er fantastisk. Alle føler sig godt til at gøre dette."

Insatserne er høje. Nu estimeret til mellem 2 millioner og 4 millioner computere, ville Conficker være verdens største botnet - med meget. Generelt anses botnets med et par hundrede tusind computere at være en stor trussel.

Arbejdsgruppens tilgang hænger tilbage til de tidlige dage af internettet, da en tæt sammensat gruppe af entusiaster holdt netværket i gang. "Det var som en Amish staldbygningsfest," sagde Vixie. "Alle ville bare hale derovre og få det gjort."

I 90'erne, som samarbejdsvilje faldt, da folk med tekniske færdigheder blev sprængt af internetfirmaer, hvoraf mange var låst i hård konkurrence med hinanden. Men for nylig har den følelse af "hård konkurrence" formindsket, sagde Vixie. "Økonomiske tidevand er, hvad de er, folk er fokuseret på at bevare det resterende af industrien frem for at muscler ind på en større markedsandel."

Vixie fik i sidste år smag af denne nye samarbejdsånd, da han befandt sig i en rummelige af konkurrenter, alle udarbejder en løsning på en større fejl i Domain Name System (DNS). Mere imponerende, ingen af ​​arbejdet lækkede ud, før alle havde mulighed for at patchere.

Med Conficker Working Group har gået været hårdt til tider. Oprindelig oprettet for at forhindre to tidligere varianter af Conficker fra at opdatere deres software, har gruppen haft et tilbageslag med den seneste Conficker.C kode. "Der er tegn på, at der var en opdatering, som slog ud", siger Andre DiMino, medstifter af The Shadowserver Foundation, en cybercrime-gruppe, der er en del af arbejdsgruppen.

Mens sikkerhedseksperter mener, at der er en kar stort antal Conficker.A og Conficker.B infektioner derude, ved ingen rigtigt, hvor mange af dem der kunne opdatere. De får en bedre ide om det på onsdag, men når Conficker.C-klienter begynder at bruge en ny, meget mere kompliceret algoritme til at lede efter instruktioner fra en kommando- og kontrolserver.

Tidligere version af ormen ville hver kig på 250 forskellige websteder hver dag for instruktioner. Ved at arbejde med domænenavnregistratorer for at låse de kriminelle ud af disse internetdomeiner, kunne arbejdsgruppen i det mindste i hvert fald holde Conficker ud af forståelsen for sine skabere.

Men nu med den nye algoritme bliver jobbet meget sværere. I stedet for hundredvis af domæner om dagen skal de låse 50.000. Og de bliver nødt til at arbejde sammen med mere end 100 domæneregistere i mange forskellige lande, da Conficker begynder at kigge efter opdateringer mange forskellige vinkler og vinkler på internettet.

Om Conficker Working Group vil kunne holde trit med i dette hidtil usete spil kat og mus er stadig at ses. Men Wesson og DiMino er optimistiske.

Vixie er dog ikke så sikker på. "Jeg går frem og tilbage," sagde han. "Det afhænger af om jeg er i den del af dagen, hvor jeg drikker kaffe eller den del af dagen, hvor jeg drikker øl."