Stockholm Waterfront 25-26 november 2019

Nu börjar Internet bli rätt maskätet

Conficker, också känt som Downup, Downadup och Kido är en mask som nådde allmänheten i oktober i fjol och som drabbar datorer med Microsoft Windows som operativsystem. Masken har visat sig ovanligt svår att få kontroll över.

Conficker sprider sig via nätverk genom att utnyttja kända och ännu inte åtgärdade säkerhetshål och gissa sig fram till lösenord. Den som använder vanliga lösenord ligger därmed risigt till i synnerhet om man inte har antivirusskydd och uppdaterar programvaran i sina datorer regelbundet.

Masken utnyttjar en bugg i Windows

Conficker har uppträtt i flera olika skepnader, A, B respektive C. Alla sprider sig på samma sätt, genom att utnyttja en bugg i Windows Remote Procedure Call (RPC). Om maskinen inte är patchad behövs ingen autentisering och då är det kört direkt. Om skrivar- och fildelning är aktiverat hjälper inte heller Windows-brandväggen. Variant B och C sprider sig dessutom genom att lägga en kopia av sig själv på flyttbara media, såsom USB-pinnar genom vilka de sedan infekterar nya datorer via Windows Autorun-funktion.

När masken väl har installerat sig genererar Conficker A varje dag en lista över 250 domännamn i fem olika toppdomäner. Variant B fungerar likadant men omfattar åtta olika toppdomäner i stället för fem. Masken försöker sätta upp en http-anslutning till var och en av dessa domäner och inväntar svar bestående av en signerad datamängd. Detta fungerar som maskens uppdateringsmekanism. Det som sedan kan komma att hända är att de infekterade datorerna genererar ett domännamn som redan är i bruk. Då kommer alla infekterade maskiner (ett botnät) försöka ansluta till den webbservern och därmed utsätta den för en överbelastningsattack.

I februari 2009 informerade ICANN vissa toppdomäner om maskens framfart, genom att skicka ett brev där administratören ombads blockera tusentals domännamn eftersom de skulle kunna komma att utnyttjas av Conficker. Efter detta upprop kom variant C av Conficker som försvårade denna typ av motåtgärder genom att expandera den dagliga listan till 50 000 olika domäner i 110 olika toppdomäner. Från dessa 50 000 väljs slumpässigt 500, vilket alltså gör det mycket svårare att effektivt blockera de domäner som används.

9 till 15 miljoner datorer redan infekterade

Uppskattningar av antalet infekterade datorer rör sig mellan 9 och 15 miljoner datorer. Potentialen är enorm eftersom omkring 30 procent av alla Windowsdatorer inte har den uppdatering som kom ut i oktober 2008 och som fixar problemet.

Så hur ska vi som toppadministratör agera? Att blockera lediga domäner som förekommer på listan kan tyckas trivialt. Det är väl helt enkelt bara att göra? Men det finns problem med detta. Var sätter vi gränsen? Defensiv blockering eller registrering av ett antal domäner kan tyckas vara enkelt och harmlöst. Men om vi nu lyckas med att få alla toppdomäner att göra detta, kommer författarna till masken då inte bara öka antalet domäner? Kanske skapa en algoritm som ger känsligare namn, som t.ex. förnamn-efternamn.tld?

Vad göra med redan registrerade domäner? Ju fler domäner masken använder, desto större sannolikhet att det kolliderar med någon aktiv domän som drabbas av problem när masken aktiveras.

Det är inte första gången det reses krav från olika håll mot oss som toppdomän att vidta kraftfulla åtgärder, inklusive polis, datainspektion, bankförening och många flera. Det är därför en del i vår strategi att inte överreagera när någon ber oss blockera namn, om det inte bygger på ett domstolsbeslut.

Inte lämpligt att inte göra något

Samtidigt finns det alla skäl i världen att bidra till att motarbeta Conficker. Den stora risk vi löper som toppdomänadministratör är att vi kan skapa förväntningar för framtida fall som kanske inte är lika triviala. Om vi tar Confickers omfattning i beaktande så tror jag dock inte att det är lämpligt att inte göra någonting.

Vi vet att DNS attackeras av botnät och att både trafiken och frekvensen på attackerna ökar. Vi kanske måste börja ta en aktivare roll för att bidra till att stänga botnät? Vi kanske till och med skulle kunna spara pengar om vi lyckas stänga dessa botnät?

Med andra ord, att inte göra någonting innebär att vår nuvarande policy har en svaghet som botnät utnyttjar. Jag kan se fördelar från ett registryperspektiv att samarbeta om att försöka stänga botnät. Frågan är bara hur vi gör det mest effektivt.

Det finns ju andra möjligheter än att spärra domännamn. På .SE har vi beslutat att vi inte blockerar eller registrerar dessa domäner. Vi kommer däremot att vara mycket vaksamma och övervaka registreringen av domäner som genereras av Conficker och vi kommer också att övervaka trafiken mot våra auktoritativa namnservrar den närmaste tiden eftersom rykten säger att någonting i Conficker kommer att aktiveras med början den 1 april.

Den konspiratoriskt lagde skulle också kunna hävda att detta är ett bra sätt att hålla folk på .SE och andra toppdomäner sysselsatta, kanske alltihop syftar till att hålla oss fokuserade på DNS, medan det verkliga hotet kommer från något annat håll?