EU-offensiv mot botnett

Press på tilbydere om løpende å analysere trafikkdata og varsle infiserte brukere.

EU-organet for kybersikkerhet, Enisa («European Network and Information Security Agency») har utgitt to dokumenter som varsler et EU-initiativ for å bekjempe botnett, det vil si ansamlinger av pc-er tilknyttet Internett, som misbrukes av kriminelle for å spre uønsket e-post, angripe nettsteder og tappe ofre for personopplysninger.

Dokumentene – Botnets: Measurement, Detection, Disinfection and Defence og Botnets: 10 Tough Questions ble offentliggjort i går ettermiddag, tilfeldigvis rett etter at det ble kjent at angripere har brukt sin kontroll over 150 pc-er i det franske finansdepartementet til å tappe dokumenter knyttet til to viktige internasjonale møter som skal holdes i Frankrike i år, henholdsvis G8-toppmøtet i Deauville i mai, og G20-toppmøtet i Cannes i november. Det er siden kommet fram at også Elysee-palasset og utenriksdepartementet er rammet.

Rapportene er redigert av Giles Hogben, Enisa, og skrevet av tre eksperter fra det tyske Fraunehofer Institute med utgangspunkt i et stort antall bidragsytere fra privat og offentlig sektor samt akademia. En av de mest kjente av disse er Mikko Hypponen fra F-Secure.

Hogben peker på at botnett utløser mange hundre millioner euro i investeringer i IKT-sikkerhet, og at de i praksis definerer den europeiske agendaen for til IKT-politikk, samtidig som man har begrenset forståelse av fenomenet.

Rapportene avdekker for eksempel at det er store svakheter i metodene som brukes for å anslå hvor omfattende botnett er. Mer stringente undersøkelser tyder på at den mest utbredte målemetoden overdriver størrelsen med fra 100 til 300 prosent. På den andre siden er det feil å bruke størrelse som hovedmål på hvor truende et botnett er. Det advares også at det er trolig eksisterer en mengde botnett som ennå ikke er avslørt.

Det foreslås tiltak for å angripe fenomenet fra tre synsvinkler:

  • Motvirke eksisterende botnett
  • Hindre nye infeksjoner
  • Begrense botnettenes lønnsomhet for de kriminelle gruppene som står bak

Rapportene krever EU-framstøt for å samordne lovgivningen i medlemslandene. Et sentralt spørsmål er IP-adressers juridiske status som personopplysninger, som også ligger til grunn for striden rundt EUs direktiv om lagring av trafikkdata.

I rapporten Botnets: 10 Tough Questions settes dette på spissen slik:

– IP-adresser er den viktigste identifikatoren, for både sikkerhetsforskere og tilbydere, for datamaskiners tilknytning til nettverk. Mer effektive tiltak mot botnett krever en praktisk orientert strategi for å balansere personvern og lovgivning rundt persondata, med evnen til å etterforske datakriminalitet. Bare å gi europeiske internettilbydere muligheten til å inspisere trafikk for å avdekke kontakt med IP-adresser kjent for ondsinnet virksomhet, ville gitt en mer effektiv mulighet til å avdekke infeksjoner på deres kunders pc-er.

Rapportene er opptatt av å gi incentiver til både brukere og tilbydere for å høyne sikkerheten. Enisa mener tilbydere bør kompenseres for det merarbeidet en løpende trafikkanalyse vil medføre, og de mener også at brukere som aktivt prøver å holde sine pc-er rene for ondsinnet kode bør kompenseres. Ellers understrekes det at rutiner der brukere varsles om at de er smittet, og tilbys enkle metoder for å kvitte seg med eventuell smitte, krever samarbeid på tvers av landegrensene og en justering og en samordning av EU-medlemmenes lovverk.

Rapportene skal behandles på en konferanse i Köln i morgen.

    Les også:

Til toppen