Dengan Usaha Global, Jenis Baru Cacing Dihulurkan

Terdapat worm cacing komputer yang besar sebelum ini, tetapi tidak seperti Conficker.

Pertama kali dilihat pada bulan November, cacing itu telah lama menjangkiti lebih banyak komputer daripada sebarang cacing pada tahun-tahun kebelakangan ini. Dengan beberapa anggaran kini dipasang pada lebih daripada 10 juta PC. Tetapi sejak penampilan pertamanya, ia telah menjadi pelik. Conficker menjangkiti PC dan merebak di rangkaian, tetapi ia tidak melakukan apa-apa lagi. Ia boleh digunakan untuk melancarkan serangan siber besar-besaran, melumpuhkan hampir mana-mana pelayan di Internet, atau ia boleh disewakan kepada spammer untuk mengebom berbilion-bilion mesej berbilion-bilion. Sebaliknya, ia duduk di sana, sebuah enjin kehancuran besar-besaran yang menunggu seseorang untuk mengubah kunci.

Sehingga baru-baru ini, banyak penyelidik keselamatan tidak tahu apa rangkaian Conficker sedang menunggu. Namun pada hari Khamis, satu gabungan antarabangsa mendedahkan bahawa mereka telah mengambil langkah-langkah yang belum pernah terjadi sebelumnya untuk memastikan cacing itu terpisah dari pelayan arahan dan kawalan yang dapat mengawalnya. Kumpulan itu terdiri daripada penyelidik keselamatan, syarikat teknologi, pendaftar nama domain yang telah bergabung dengan Internet Corporation untuk Nama dan Nombor yang Ditugaskan (ICANN), yang mengawasi Sistem Nama Domain Internet.

[Bacaan lanjut: Cara menghapuskan malware dari PC Windows anda]

Penyelidik telah mengambil alih kod Conficker dan mendapati bahawa ia menggunakan teknik baru yang rumit untuk menelefon rumah untuk arahan baru. Setiap hari, cacing menghasilkan senarai baru kira-kira 250 nama domain rawak seperti aklkanpbq.info. Ia kemudian memeriksa domain tersebut untuk arahan baru, mengesahkan tandatangan kriptografi mereka untuk memastikan bahawa mereka telah dicipta oleh pengarang Conficker.

Apabila kod Conficker pertama kali retak, pakar keselamatan menyambar beberapa domain yang dijana secara rawak ini, mewujudkan apa yang dikenali sebagai sinkhole pelayan untuk menerima data dari mesin yang digodam dan perhatikan bagaimana cacing berfungsi. Tetapi apabila jangkitan semakin meluas, mereka mula mendaftarkan semua domain - hampir 2,000 seminggu - membawa mereka keluar dari peredaran sebelum penjenayah mengalami chanc. Sekiranya orang jahat cuba mendaftar salah satu domain arahan dan kawalan ini, mereka akan mendapati bahawa mereka telah diambil, oleh kumpulan fiksyen yang menyebut dirinya "Conficker Cabal." Alamatnya? 1 Microsoft Way, Redmond Washington.

Ini adalah jenis baru permainan kucing dan tikus untuk para penyelidik, tetapi telah diuji beberapa kali sejak beberapa bulan yang lalu. Pada bulan November, contohnya, kumpulan lain menggunakan teknik ini untuk mengawal domain yang digunakan oleh salah satu rangkaian botnet terbesar di dunia, yang dikenali sebagai Srizbi, memotongnya dari pelayan arahan dan kawalannya.

Dengan beribu-ribu domain, Walau bagaimanapun, taktik ini boleh menjadi memakan masa dan mahal. Jadi dengan Conficker, kumpulan itu telah mengenal pasti dan mengunci nama-nama menggunakan teknik baru, yang dipanggil pra-pendaftaran domain dan kunci.

Dengan membahagikan kerja mengenal pasti dan mengunci domain Conficker, kumpulan itu hanya menyimpan cacing di cek, tidak menimbulkan pukulan maut, kata Andre DiMino, pengasas bersama The Shadowserver Foundation, sebuah kumpulan pengawas siber jenayah. "Ini adalah usaha utama pertama di tahap ini yang berpotensi membuat perbezaan besar," katanya. "Kami ingin berfikir bahawa kami mempunyai beberapa kesan dalam melumpuhkannya."

Ini adalah kawasan yang belum dipetakan untuk ICANN, kumpulan yang bertanggungjawab mengurus sistem alamat Internet. Di masa lalu, ICANN telah dikritik kerana perlahan menggunakan kuasa untuk membatalkan akreditasi daripada pendaftar nama domain yang telah digunakan secara meluas oleh penjenayah. Tetapi kali ini ia mendapat pujian untuk peraturan santai yang menjadikannya sukar untuk mengunci domain dan untuk menyatukan peserta kumpulan.

"Dalam kes khusus ini, mereka melancarkan roda agar semuanya bergerak dengan cepat," kata David Ulevitch, pengasas OpenDNS. "Saya fikir mereka patut dipuji untuk itu … Ini adalah salah satu kali pertama ICANN telah melakukan sesuatu yang positif."

Hakikat bahawa kumpulan organisasi yang pelbagai ini semua bekerjasama adalah luar biasa, kata Rick Wesson, Ketua Pegawai Eksekutif perundingan keselamatan rangkaian Perundingan Sokongan. "Itu China dan Amerika bekerjasama untuk mengalahkan aktiviti berniat jahat pada skala global … itu serius, itu tidak pernah berlaku," katanya.

ICANN tidak memulangkan panggilan untuk mendapatkan komen untuk cerita ini dan banyak peserta dalam usaha Conficker, termasuk Microsoft, Verisign dan Pusat Maklumat Rangkaian Internet China (CNNIC) enggan ditemubual untuk artikel ini.

Secara peribadi, sesetengah peserta mengatakan bahawa mereka tidak mahu memberi perhatian kepada usaha masing-masing untuk memerangi apa yang mungkin terorganisir kumpulan cybercrime. Lain mengatakan bahawa kerana usaha itu begitu baru, masih belum matang untuk membincangkan taktik.

Apa pun cerita penuh, kepentingannya jelas tinggi. Conficker telah dilihat di rangkaian kerajaan dan ketenteraan dan telah menjadi sangat ganas dalam rangkaian korporat. Satu penyelamat, dan pencipta Conficker boleh memprogram semula rangkaian mereka, memberikan komputer algoritma baru yang perlu retak dan memberi mereka kesempatan untuk menggunakan komputer ini untuk tujuan jahat. "Kita perlu 100 peratus tepat," kata Wesson. "Dan peperangan adalah pertempuran setiap hari."

(Sumner Lemon di Singapura menyumbang kepada laporan ini.)