Microsoft практически единственная компания в мире, которая реально борется с киберпреступностью, помогая ФБР и полиции в разных странах мира. В компании чувствуют свою ответственность за безопасность пользователей, установивших Windows и подхвативших вирус, став частью ботнета. Но как с этим можно бороться? Как оказалось, у компании есть возможность удалённого входа на заражённые компьютеры для их принудительной очистки. Но достаточно ли этого? Очевидно, что нет. И у компании есть очень интересный метод, о котором рассказал Тим Рейнс (Tim Rains), главный советник по безопасности, сотрудник подразделения Microsoft Worldwide Cybersecurity & Data Protection.
По словам Рейнса, компания Microsoft полностью контролирует около десяти крупнейших ботнетов, включая Zeus и Rustock, в которых находятся десятки миллионов пользователей. Контроль за ботнетами — часть стратегии Microsoft, позволяющей обеспечить безопасность компаний, использующих сервисы Azure.
Согласимся, что перевести сервера ботнетов под свой контроль — не самая лёгкая задача, но... Microsoft здесь берут хитростью и креативом. Как вы понимаете, чтобы перевести сервер под свой контроль, нужно получить решение суда. Чтобы его получить, компания использует тот факт, что ботнеты рассылают спам с предложением купить пиратское программное обеспечение Microsoft, на основе чего выдвигает аргумент о нарушении торговой марки. Дальше Microsoft просит приостановить работу сервера или передать его под контроль, чтобы остановить рассылку спама. Суд выносит решение в пользу компании, после чего передаёт дело в открытый суд, где владелец может оспорить решение. Очевидно, что владельцы таких серверов вряд ли когда-либо появятся в суде.
Получив контроль над ботнетом, компания отключает рассылку спама и начинает использовать их для мониторинга заражённых компьютеров. Так что Microsoft знает IP-адреса всех заражённых компьютеров. И это действительно ценная информация для компаний и государственных служб.
При этом Microsoft ещё связала все эти данные с Azure, так что при входе в сервис происходит проверка про списку IP-адресов. И если компьютер окажется в списке заражённых, то пользователь увидит специальное сообщение.
Этим могут пользоваться и интернет-провайдеры, блокируя заражённым компьютерам доступ в интернет до момента, пока не будет установлено антивирусное программное обеспечение.
Да, Microsoft могла бы просто уничтожить эти сервера, но... Если пользователь допустил заражение своего устройства один раз, то это обязательно произойдёт и второй раз. Так что компания не делает этого, чтобы защитить своих пользователей.
Также Microsoft иногда покупает базы с украденными паролями, а иногда они им достаются в результате операций правоохранительных органов. Всё это также загружается в Azure Active Directory для информирования клиентов.