Habár a hét elején több szakmai oldalon is megjelent egy kutatási eredmény, mely szerint egy új, Krakennek elnevezett bothálózatot (feltört, távvezérelhető zombigépek hálózata) fedezett fel az egyik biztonságtechnikai cég, tegnapra már – talán a szakmai villongásoknak köszönhetően – más szakértők már kétségbe vonták a Damballa megállapításait.

Az új bothálózatról Paul Royal, az atlantai cég vezető kutatója számolt be néhány napja. A szenzációsnak szánt hír szerint a Damballa kutatói a zombigépeket vizsgálva találtak rá a Krakenre, mely állításuk szerint már legalább 400 ezer számítógépet tart irányítása alatt, köztük 50 olyan vállalat rendszerét, melyek a Forbes 500-as gazdasági listáján is szerepelnek. A vírusvédelmi programok mindössze az esetek 20 százalékában voltak képesek kimutatni azt a malware-t, amely megfertőzte a gépet, s a Damballa szakemberei szerint a hónap közepére-végére a bothálózat mérete elérheti a 600 ezer számítógépet.

Joe Stewart, a SecureWorks malware-kutatási igazgatója viszont arról számolt be a hétfőn kezdődött RSA Konferencián, hogy az említett bothálózat nem minden elemében új, a Damballa által végzett vizsgálat valójában „újra felfedezte” az egyik legrégebben ismert botnetet, a Bobaxot. Stewart állítását a Damballa kutatói tagadják, véleményük szerint a Kraken technológiája alapjaiban különbözik a Bobaxétól.

A szakmai vita valójában érthető – állapítja meg a The Register –, hiszen a bothálózatok dinamikus növekedése következtében egy kellően nem védett gép gyakran egy időben több botnet része lesz, ráadásul a fertőző malware-ek készítőit nem korlátozzák szerzői jogi akadályok, ha találnak egy hatékonynak tűnő megoldást, akkor azt maguk is alkalmazni kezdik. Épp emiatt emelte ki Stewart is előadásában, hogy az internet biztonságát mind komolyabban veszélyeztető bothálózatok ellen csak akkor lehet eredményesen küzdeni, ha kutatók, biztonságtechnikai szakemberek és az ipari szereplők között szabad az információáramlás, ha az eredményeket megosztják egymással.

Erre nyilván nagy szükség volna, hiszen a Damballa néhány hónapja kiadott jelentése szerint a Bobax a világ legnagyobb bothálózata, mivel nemrég megelőzte az addig vezető pozícióban lévő Stormot. Stewart ellenben úgy véli, hogy a Bobax csak a második (185 ezer gép, napi 9 milliárd spam küldésére alkalmas kapacitás – a ténylegesen elküldött levelek száma ennél lényegesen alacsonyabb), az első a Srizbi (körülbelül 315 ezer gép, napi 60 milliárdos spamkapacitás), a szerinte a média által oly sokat emlegetett Storm csak az ötödik (85 ezer fertőzött gép, de ezek közül csak 35 ezer alkalmas spamküldésre), mivel a Microsoft rosszindulatú eszközöket eltávolító szoftverének tavaly szeptemberi kiadása óta rengeteg gépet szabadítottak meg a Storm malware-étől. A harmadik és a negyedik helyen a Rustock és a Cutwail nevű botnetek állnak, 150 ezer, illetve 125 ezer zombigéppel. Stewart összegzésként elmondta, hogy ha a 11 legnagyobb bothálózatot nézzük, akkor körülbelül egymillió fertőzött számítógépről beszélhetünk, amelyek összességében elvileg akár napi 100 milliárd spam küldését is lehetővé tennék.

Az ellentmondások egyik oka lehet, hogy – mint látható – Stewart megkülönbözteti a zombikat aszerint is, hogy alkalmasak-e spam továbbítására, a másik pedig az, hogy olyan gyorsan, s olyan mértékben változnak hétről hétre az adatok, hogy szinte lehetetlen naprakésznek lenni belőlük.