Podczas przeprowadzonej ostatnio akcji związanej z eliminacją botnetu Gameover Zeus zwrócono się m.in. do wielu dostawców usług internetowych, aby powiadomili klientów, których komputery zostały zainfekowane tym oprogramowaniem o tym fakcie. Niektórzy specjaliści ds. bezpieczeństwa sieci twierdzą, że dostawcy takich usług powinni bardziej niż dotąd aktywnie włączyć się w działania mające na celu przeciwdziałanie rozprzestrzenianiu się szkodliwych kodów. Najprostszym rozwiązaniem wydaje się wprowadzenie mechanizmów kwarantanny zainfekowanych komputerów, które działają w sieci ISP i zmuszenie ich użytkowników do eliminacji szkodliwego oprogramowania.

Tego typu mechanizm mógłby być bardziej efektywny niż akcje podejmowane od czasu do czasu przez agencje bezpieczeństwa i producentów oprogramowania.

Zobacz również:

• Firmy IT nasilają walkę z treściami deepfake
• WordPress 6.5 trafia na rynek. Oto 5 najważniejszych zmian

Na przykład unieszkodliwienie botnetu Gameover Zeus, który według szacunków zainfekował od pół do miliona komputerów, było przedsięwzięciem w które zaangażowały się FBI, Europol oraz agencje CERT z kilkunastu krajów we współpracy z kilkoma dostawcami systemów bezpieczeństwa.

Niektórzy dostawcy ISP wprowadzili w ostatnich latach mechanizm powiadamiania użytkowników internetu działających w ich sieci, że ich komputery są zainfekowane.

Według UK National Crime Agency tego typu system działa w Wielkiej Brytanii, a w powiadomieniach umieszczone są też podstawowe porady co użytkownik powinien zrobić - przede wszystkim uruchomić procedurę backupu ważnych dla niego plików, zdjęć, filmów, dokumentów itp.

W Stanach Zjednoczonych, Comcast wprowadził alert bezpieczeństwa dla abonentów usługi Xfinity już w roku 2010. Również w Niemczech, agencje rządowe nawiązały współpracę z dostawcami usług internetowych nakłaniając ich do tego by na bieżąco powiadamiali użytkowników, których komputery zostały zainfekowane oraz wspomagali ich w procesach oczyszczania komputerów ze złośliwego oprogramowania.

Ale dostawcy Internetu powinni odgrywać znacznie większa niż dziś rolę w zwalczaniu botnetów jako, że ”współczesne zagrożenia zaczynają doprowadzać nas do desperacji, a to wymaga podjęcia desperackich kroków” mówi Rik Ferguson, wiceprezes ds. badań nad bezpieczeństwem w firmie Trend Micro.

Mimo szerokiego nagłośnienia informacji na temat botnetu Gameover Zeus w mediach, wielu konferencji prasowych zorganizowanych przez agencje ds. bezpieczeństwa w wielu krajach oraz komunikatów ostrzegawczych publikowanych przez krajowe organizacje CERT, dla większości użytkowników internetu był to tylko jedno z wielu wydarzeń, które pojawiło się i minęło, uważa Rik Ferguson.

Bo nawet ci użytkownicy, którzy zwracają uwagę i śledzą doniesienia o nowych zagrożeniach dla bezpieczeństwa systemów IT, mogą się czuć zmęczeni bezustannie napływającym strumieniem informacji. Bo jeśli informacji o kolejnych przypadkach utraty danych i wciąż nowych incydentach związanych z kolejnymi wersjami złośliwego oprogramowania, będzie zbyt wiele, to mogą ostatecznie spowodować, że użytkownicy przestaną zwracać na nie uwagę i próbować aktywnie działać. „Dlatego też potrzebne jest bardziej agresywne podejście do rozwiązywania tego problemu” sądzi Rik Ferguson.

„Dostawcy internetu powinni zacząć wykorzystywać inteligentne mechanizmy do analizy zagrożeń, które już są dostępne na rynku i za ich pomocą identyfikować zainfekowane komputery znajdujące się w sieci. Następnie systemy te powinny być automatycznie poddawane kwarantannie, a usługodawca powinien poinformować o tym fakcie ich właściciela, a także udostępnić mu zasoby, które umożliwią oczyszczenie komputera. Do czasu rozwiązania problemu, użytkownik miałby tylko ograniczony dostęp do internetu. W efekcie ci, którzy sami nie dbają o bezpieczeństwo, zostaną do tego zmuszeni” radzi Rik Ferguson.

Bo komputer zainfekowany złośliwym oprogramowaniem stanowi zagrożenie nie tylko dla jego właściciela, ale także dla innych użytkowników Internetu. „To tak jak uszkodzony samochód stwarza zagrożenie dla kierowcy, ale także dla osób znajdujących na lub w pobliżu drogi. W wypadku samochodów, problem ten spróbowano rozwiązać wprowadzając obowiązkowe przeglądy kontrolne” dodaje Rik Ferguson.

„Izolowanie zainfekowanych komputerów i zmuszanie ich właścicieli do podejmowania działań zaradczych jest bardzo dobrym pomysłem, który mógłby negatywnie wpłynąć na cały cyberprzestępczy ekosystem” zgadza się Bogdan Botezatu, analityk z firmy Bitdefender. ”Bo zainfekowane komputery są najcenniejszą wartością dla cyberprzestępców. Im mniejsza ich liczba, tym mniejsze dochody i słabsze możliwości finansowania opracowywania szkodliwych kodów, ich rozpowszechniania i utrzymywania botnetów w stanie aktywnym.

Warto przypomnieć, że tego typy pomysły wcale nie są nowe. Już ponad 10 lat temu naukowcy z IBM opublikowali koncepcję modyfikacji architektury światowej sieci i wprowadzenie mechanizmów filtrowania ruchu na poziomie jej węzłów. Wówczas chodziło głównie o ograniczenie spamu, ale również eliminację propagacji szkodliwych kodów.

Zcentralizowane mechanizmy „bezpieczeństwa” są też stosowane w praktyce, na przykład w Chinach, choć chodzi tu o „bezpieczeństwo narodowe” i zapewnienie zgodności wykorzystania internetu z zasadami polityki państwowej.

Nie ulega wątpliwości, że realizacja tego typu pomysłów może wzbudzić wiele kontrowersji. Wynika to zarówno z barier ekonomicznych – dostawcy usług musieliby zainwestować w systemy zabezpieczeń, ale także prawnych i ideologicznych.

Przede wszystkim pojawiają się pytania, czy analiza przez ISP ruchu w jego sieci nie narusza prywatności użytkowników? Czy istnieje pewność, że nie zostanie ona wykorzystana do innych celów niż tylko do uzasadnionej eliminacji możliwości rozprzestrzeniania szkodliwego oprogramowania?

Nie ulega wątpliwości, że wprowadzenie w życie idei scentralizowanych systemów kontroli ruchu w internecie oznacza ograniczenie wolności. Ale być może jest to cena jaką, już wkrótce, trzeba będzie zapłacić za zwiększenie bezpieczeństwa.