[ Pobierz całość w formacie PDF ]
.An dem Thema Internetsicherheit hatte ihn zunächst vor allem die intellektuelle Herausforderung gereizt.Er sah die von Botnetzen ausgehende Gefahr und dass selbst in der IT-Branche nur wenige wussten, wie man sie aufhalten konnte.Nicht nur aufhalten, sondern auch aufspüren und überwachen.Nach seiner Berufung in den Sicherheitsausschuss der ICANN stellte er fest, dass die Organisation noch nicht einmal wusste, wie viele Botnetze es gab.Niemand schenkte der Sache Beachtung.Also gründete er ein neues Unternehmen namens Support Intelligence und ging daran, die Lücke zu stopfen.Mit Hilfe des großen Internet-Interfaces, über das ar.com verfügte, richtete er Honeynets ein und fing an, Daten zu sammeln.Wenn es ihm gelang, den von Botnetzen erzeugten Verkehr zu messen und abzufangen, konnte er herausfinden, welche Computernetzwerke – von Universitäten, Unternehmen und Regierungsbehörden – gepwned waren.Und diese Informationen konnte er dann an sie verkaufen.Andres Gewissenbisse bezüglich Profit waren ihm fremd.Rick hatte sich, zum Teil geplant, größtenteils aber durch Zufall, mit an die Spitze der Bemühungen um mehr Internetsicherheit manövriert.Als Phil sich nun fragte, wer ihm sagen könnte, wie man die 250 Domainnamen im Voraus blockierte, die Conficker Tag für Tag erzeugte, dachte er sofort an Rick, der sich in den Kreisen der Internetregulierer einen Namen gemacht hatte.Rick wusste natürlich bereits alles über den neuen Wurm.Als Phil ihn am 15.Dezember kontaktierte, breitete sich Conficker bereits seit drei Wochen aus, und man wusste von Infektionen in 106 Ländern.Die Epidemie war das Gesprächthema unter den Experten für Computersicherheit.»Wir haben die Struktur von Conficker vollständig analysiert und sind sie im Detail durchgegangen«, mailte Phil an Rick.»Wir haben den Algorithmus zur Domainerzeugung geknackt und eine vollständige Liste aller Domains erstellt, die der Wurm in den nächsten 200 Tagen erzeugen wird.«Phil schickte Rick die täglichen Listen der Domains, und Rick kaufte sie über seine Kontakte in der Internetregulierungsgemeinde auf.Dann mietete er bei Amazon S3-Speicherplatz, um dort die Domains zu parken und die vielen Millionen Anfragen, die jeden Tag an sie eingingen, zu »sinkholen«, also abzufangen.Mit anderen Worten, die Anfragen von infizierten Rechnern wurden schlicht in eine Sackgasse umgeleitet.Phil schickte auch eine E-Mail an das US-CERT (das United States Computer Emergency Readiness Team), jene Behörde, die für den Schutz der staatlichen Computernetzwerke zuständig war, und schlug ihr vor, dasselbe zu tun.Auf diese Weise könnte US-CERT alle infizierten IP-Adressen prüfen und herausfinden, ob irgendwelche Regierungsrechner, insbesondere vom Verteidigungsministerium betriebene Netzwerke, befallen waren.Phil erhielt eine Antwort-E-Mail, in der man sich bei ihm für die Anregung bedankte.250 Domainnamen pro Tag zu registrieren bedeutete zwar viel Arbeit, aber auch nicht so viel, als dass Rick nicht noch nebenher die Sinkholing-Daten aus seinem Amazon-Account hätte auswerten können.Gleichzeitig holte er andere Leute mit an Bord, setzte sich mit Leuten in Verbindung, die bereits an der Sache arbeiteten, und richtete eine Mailingliste ein, um ihre Aktivitäten zu koordinieren.Schließlich bot Chris Lee, Doktorand an der Georgia Tech, sein dortiges Labornetzwerk für die wachsende Sinkholing-Operation an, und so lief ein Teil des eingehenden Botnetz-Verkehrs auf dieses Netzwerk.Darüber hinaus hatte Andre bei Shadowserver weitere Sinkholing-Kapazitäten und überwachte dort ebenfalls das Wachstum des Botnetzes.Ende Dezember 2008 hatte Conficker 1,8 Millionen Computer in 195 Ländern infiziert.Das Land mit der höchsten Infektionszahl – und den meisten raubkopierten Windows-Betriebssystemen – war China mit über 400 000 Bots.Das waren mehr als doppelt so viele wie im zweitplatzierten Land, Argentinien.Die sich daran anschließenden Top Twenty waren, in absteigender Ordnung, Indien, Taiwan, Brasilien, Chile, Großbritannien, Russland, die Vereinigten Staaten, Kolumbien, Malaysia, Mexiko, Spanien, Italien, die Netzwerke der Europäischen Union, Indonesien, Venezuela, Deutschland, Japan und (mit nur 12 292 Bots) Korea.Über den Wurm selbst gab es eine Reihe von Theorien [ Pobierz całość w formacie PDF ]