Discussion :

[Hinault Romaric]

Des experts en sécurité mettent fin à Grum
le troisième botnet de spam mondial

La chasse aux botnets vient de mettre fin aux activités d’un autre célèbre réseau de bots informatiques.

Après Waledac et Rustock, le réseau de PC zombies Grum vient d’être mis hors d’état de nuire.

Occupant la troisième place du classement des botnets les plus importants au monde, Grum est responsable de l’envoi de 18 milliards de spam chaque jour, soit à peu près 18% du spam mondial.

Grâce aux efforts conjugués de la société de sécurité FireEye et du service spécialisé dans l’antispam SpamHus, les serveurs de contrôle de Grum hébergés au Panama et aux Pays-Bas ont été désactivés par les fournisseurs d’accès.

À peine les ressources utilisées par Grum ont-elles été mises hors service, les administrateurs à l’origine de ce botnet ont tenté en vain de relancer son activité par l’activation de sept nouveaux serveurs de contrôle en Russie et en Ukraine.

Selon un expert de FireEye, l’architecture de Grum ne permet pas aux zombies orphelins d’être gérés par d’autres serveurs.

« Il ne suffit pas de créer un nouveau serveur. Ils doivent lancer une nouvelle campagne pour infecter des milliers de nouvelles machines pour obtenir quelque chose de similaire à Grum » explique un expert de FireEye au New York Times « Ils doivent tout reconstruire de zéro, parce que de la façon dont Grum a été écrit, lorsque le serveur maitre est mort, les machines infectées ne peuvent plus envoyer de spams ou communiquer avec un autre serveur».

La fin de Waledac, Rustock et Grum met ainsi un terme à l’envoi de près de 49,5 milliards de spams par jour. Rustock, le plus gros diffuseur de spams mondial était responsable de l’envoi de 30 milliards de spams par jour avant son démantèlement grâce aux investigations de Microsoft.


Source : New York Times


Et vous ?

Que pensez-vous du démantèlement de Grum ?

[Invité]

C'est juste énorme. Merci à tout ceux qui luttent contre le spam de manière efficace

[jmnicolas]

Je veux pas être rabat-joie, mais démanteler un bot-net c'est un peu comme faire une grosse saisie de drogue : tant qu'on ne s'attaque pas à la cause mais seulement à la conséquence ça n'a pas de fin.

Les responsables peuvent infecter à nouveau les mêmes PC qui doivent toujours être vulnérables.

Il faudrait donc attraper les responsables, et sécuriser les PC vulnérables.
Mais vu que ça s'apparente aux 12 travaux d'Hercule, ils préfèrent faire un coup d'éclat.

[malkav1978]

La comparaison avec le traffique de drogue que fait jmnicolas est assez pertinente, mais je pense que même en s'attaquant à la cause du problème la lutte contre le SPAM n'aura jamais de fin. En fait il y aura toujours une faille quelque part que des personnes malvaillantes pourront exploiter, et ils ne vont pas se faire prier pour en profiter.

Ce qui est important c'est que nous sommes plus impuissant contre ce fléau, et qu'on commence (enfin) à gagner quelques batailles contre le SPAM.

[lvr]

Question: qui paye ce boulot d'éradication des botnets ? Les états ?

[Bktero]

Pour rester dans le rapprochement avec le combat contre la drogue, ici il ne s'agit pas simplement ici une grosse saisie ou de l'arrestation de quelques dealers. On parle de 18% du spam mondial stoppés. C'est énorme !

Les serveurs sont tombés, c'est comme si on arrêtait les producteurs de drogues, pas quelques hommes de main. Après, comme on peut replanter les plantes donnant les drogues, on peut recréer des serveurs spammeurs. De toute façon, tant qu'il y aura un PC à infester, il y aura toujours quelqu'un pour y arriver, aussi fortes que soient les protections.

C'est une guerre sans fin, mais une sacrée bataille vient d'être gagnée !

[GR3lh442kR]

la drogue c'est quand même plus drôle que les spam.

[Jean-Philippe Dubé]

Les administrateurs systèmes et les spécialistes en sécurité ont de quoi se réjouir cela est un bon coup. Sur les systèmes que je gère, nous avons remarqué une diminution du spam de 8,5% ces deux derniers jours, il y a fort à parier que cela en est la cause. Comme certains le disent, la lutte au SPAM est fort probablement une lutte sans fin, mais il est important de continuer le combat. Les vendeurs/producteurs de drogues et les informaticiens qui utilisent leurs connaissances dans un dessin criminel partagent une chose en commun, ils travaillent dans le crime organisé. Ce genre d'opération (la propagation de SPAM et la location de réseaux botnets) vise un seul but, faire de l'argent. Cet argent une fois dans les mains du crime organisé est utilisé pour couvrir des activités illégales et permettant la perpétration de crimes de nature violente. Il est important de continuer de livrer ce combat pour mettre le crime à l'échec, car en bout de ligne ce sont nous qui payons chaque jour pour les conséquences dans nos communautés.

[Freem]

Les serveurs sont tombés, c'est comme si on arrêtait les producteurs de drogues, pas quelques hommes de main. Après, comme on peut replanter les plantes donnant les drogues, on peut recréer des serveurs spammeurs. De toute façon, tant qu'il y aura un PC à infester, il y aura toujours quelqu'un pour y arriver, aussi fortes que soient les protections.

C'est plutôt comme si on fermait les ateliers... Personne n'est arrêté, et donc il suffit de reconstruire en prenant des leçons de cet échec.
La différence étant qu'un code source, ça se stocke sur une clé usb et se copie gratuitement et instantanément, contrairement à la drogue... A moins qu'un nouveau jésus ne pratique la multiplication de l'herbe (entres autres), mais j'en ai pas entendu parler si c'est le cas

Ps: Je parle d'échec du point de vue des organisateurs du botnet, naturellement.