In un editoriale ospite, un ricercatore senior di Cloudmark propone un nuovo modo di affrontare la minaccia delle botnet.
* Ryan Naraine è in vacanza.
Editoriale ospite del Dr. Adam J. O'Donnell
Disarmare gli attori dietro questi attacchi implica smantellare le botnet stesse, il che è di per sé un problema sempre più impegnativo. I bot vecchio stile utilizzavano i server IRC come meccanismo centrale di comando e controllo, rendendoli vulnerabili agli attacchi di decapitazione da parte del personale di sicurezza. I sistemi più recenti utilizzano protocolli C&C in stile P2P adattati da sistemi di condivisione file di guerriglia che sono notoriamente difficili da controllare e possono causare ingenti danni collaterali se riparati in modo improprio. Oltre alle tecniche di mitigazione del traffico e dei contenuti su scala macro come il filtraggio dello spam in uscita, che diverse organizzazioni si sono dimostrate estremamente efficaci, la soluzione è eliminare le botnet nodo per nodo.
[VEDERE: Assalto botnet: gli spammer lanciano un'offensiva DDoS ]
Chi dovrebbe eliminare le botnet? Gli utenti finali non si sentono responsabili e non riconoscono nemmeno l'esistenza di un problema. Essi sono completamente ignari del problema di sicurezza finché non arriva un fornitore di servizi o una società di sicurezza che li informa che sono stati infettati da un virus.
I fornitori di servizi (società telefoniche e via cavo) che hanno clienti infetti non sono realmente responsabili della loro fine comportamento dell'utente, ma finiscono per pagare il costo dell'infezione attraverso i costi della larghezza di banda in uscita e della capacità dell'MTA in uscita.
I fornitori di sistemi operativi non sono responsabili, perché una volta venduto il prodotto al cliente, non sono più responsabili per se, quando o come il cliente viene compromesso. In definitiva, le persone che sostengono i costi maggiori sono quelle meno capaci di rimediare alla fonte dello spam, vale a dire i fornitori di servizi dei destinatari dell'attacco o le persone che si trovano dall'altra parte dello spam e di varie altre forme di abuso. Questi attori devono pagare per la larghezza di banda per gli attacchi in entrata, per lo spazio di archiviazione per lo spam e per le chiamate di supporto dei propri clienti.
Alla fine ci ritroviamo con una classica questione del tipo Tragedy of the Commons. Le aree di pascolo comuni, o risorse condivise che erano fondamentali per la capacità della classe operaia di guadagnarsi da vivere, sono state sostituite da rame e fibra. Ognuno ha una certa responsabilità per aver inquinato l’area comune con abusi, ma ricadere i costi sull’aggressore è incredibilmente difficile. Attualmente i fornitori di larghezza di banda risolvono la "tragedia" imponendo l'embargo sui contenuti gli uni contro gli altri. Ad esempio, se un fornitore di servizi esce dalla linea, gli altri bloccheranno tutta la posta proveniente dall'autore del reato. Recentemente ho riflettuto su un’altra possibile soluzione, basata sugli stessi meccanismi finanziari proposti per affrontare il problema delle emissioni di gas serra.
Sebbene sia probabilmente difficile o impossibile da implementare, un sistema di scambio in stile Cap-and-Trade sembra estremamente appropriato. Un esempio di uno dei tanti schemi economici ideati per ridurre le emissioni di carbonio, un sistema cap-and-trade istituito per i contenuti dannosi tra fornitori creerebbe incentivi economici per monitorare correttamente e ridurre il volume di contenuti indesiderati che circolano tra di loro reti.
Il sistema comporterebbe un limite stabilito di comune accordo al volume di contenuti dannosi che le parti riterrebbero accettabile inviarsi reciprocamente. I fornitori che sono in grado di controllare in modo più efficace il traffico dannoso in uscita, attraverso le spese in personale e prodotti, possono recuperare tali costi attraverso la vendita di crediti associati alla differenza tra il livello di contenuti dannosi in uscita e quello concordato berretto. I fornitori che non controllano il proprio traffico sono costretti ad acquistare crediti da coloro che lo fanno, il che a sua volta mette un prezzo alla loro mancanza di responsabilità. Alla fine, il fornitore può scegliere di esporre questo costo della sicurezza all'utente finale, con sconti o offerte speciali estesi agli utenti che mantengono i propri sistemi puliti e non causano mai problemi. Gli utenti finali a loro volta sono incentivati a mantenere pulite le proprie macchine.
Ottenere il consenso di tutte le parti necessarie, costruire un’infrastruttura di monitoraggio, fissare i prezzi, assemblare un mercato e mantenere una stanza di compensazione per le operazioni di credito sarebbe dannatamente difficile, Tuttavia. Non penso che questa sia un'idea pratica, anche se costituisce un divertente esperimento mentale.
Tuttavia, credo fermamente che le tecniche di cooperazione guidate dal mercato saranno l’unico mezzo per risolvere il problema di sicurezza che conosciamo come botnet. * Dottor Adam J. O'Donnell è un ricercatore senior presso Nuvola, un'azienda anti-spam/anti-virus.