Un Worm per combattere la botnet Mirai?

Ott 31, 2016 Marco Schiaffino In evidenza, Malware, News, RSS, Scenario, Tecnologia 0

L’idea proposta da un ricercatore. “Possiamo cambiare le credenziali di accesso ai dispositivi e fare in modo che non siano più accessibili ai pirati”.

Fin dove si può arrivare per contrastare una minaccia concreta e reale al funzionamento dell’intera rete Internet? Secondo Jerry Gamblin il confine del lecito e dell’illecito potrebbe essere riconsiderato.

Di fronte alla minaccia degli attacchi DDoS registrati nell’ultimo mese, dopo tutto, trovare una soluzione diventa indispensabile.

L’urgenza non è tanto dettata dagli episodi di cronaca, come l’attacco che ha messo K.O. centinaia di siti statunitensi, quanto dal rischio che l’uso di botnet come Mirai, che sfrutta i dispositivi della Internet of Things per attaccare le infrastrutture di rete, possano portare a un collasso dell’Inter Internet.

Ma quale soluzione ha prospettato Gamblin? Il ricercatore, anche se nel suo post su GitHub ha chiarito che la sua “proof of concept” ha uno scopo squisitamente “accademico”, ha messo a punto un “worm anti-worm” (chiamato in gergo nematoda) che sarebbe in grado di disinnescare la botnet Mirai.

Il punto di partenza è il fatto che Mirai è stata creata sfruttando una vulnerabilità legata al fatto che moltissimi dispositivi possono essere controllati a distanza tramite Telnet accedendovi attraverso le credenziali predefinite.

Come hanno sottolineato molti ricercatori, infatti, la botnet è composta da un enorme numero di device, a cui i pirati hanno potuto accedere usando non più di 60 combinazioni di username e password.

Di qui l’idea per mettere al tappeto Mirai: usare un worm in grado di “colpire” i dispositivi in modo da modificarne le credenziali di accesso e disabilitare Telnet.

L’idea di utilizzare un nematoda per eliminare Mirai è terribilmente allettante… ma anche illegale.

Il problema è che utilizzare un worm in questo modo, anche se per scopi “nobili”, si scontra con le leggi di mezzo mondo e verrebbe quasi sicuramente catalogato come “pirateria informatica”.

Un precedente, però, esiste. Si tratta di Welchia, un nematoda che è stato usato per bloccare la diffusione del worm Blaster. Era il 2003 e i sistemi Windows stavano sperimentando un attacco senza precedenti da parte di Blaster.

Il worm sfruttava una vulnerabilità del sistema Microsoft diffondendosi a macchia d’olio e compromettendo i PC in modo che venissero bloccati in un loop di riavvii.

Welchia venne diffuso sfruttando la stessa vulnerabilità, ma con lo scopo di bloccare Blaster. Il worm, infatti, eliminava il “rivale” e scaricava poi l’aggiornamento di Microsoft che correggeva la falla di sicurezza.

L’operazione andò a buon fine, anche se con luci e ombre. In questo caso, però, ci sono altri aspetti da considerare oltre alla “legalità”. Il problema è che, nel caso di Mirai, la modifica delle credenziali di accesso avrebbe come risultato che, oltra ai pirati, verrebbero tagliati fuori dal controllo dei dispositivi anche i legittimi proprietari.

Un “effetto collaterale” difficilmente giustificabile anche con il timore che Mirai possa portare al collasso della Rete.

Condividi l'articolo