Botnet

postat în: Internet 0

botnet1

Nu este vorba de filmul Matrix, nu este o poveste ştiinţifico-fantastică, şi nici o farsă. Este cât se poate de real: sute de milioane de calculatoare din întreaga lume sunt integrate fără ştiinţa proprietarilor în reţele folosite de anumite persoane pentru a răspândi mesaje spam în zeci de milioane de exemplare, în spionaj economic şi/sau militar, etc.

Botnet este un termen folosit pentru anumiţi agenţi software, sau roboţi, care rulează în mod anonim şi automat în calculatorul-gazdă. Calculatoarele pe care rulează aceste programe-robot se numesc calculatoare-zombie. Botnetul se instalează de obicei în calculator fără ştirea proprietarului acestuia, prin descărcare de pe Internet exploatând vulnerabilităţile browserelor, viermi, cai troieni, sau porţi de acces vulnerabile (backdoor), cu o infrastructură specifică de comandă şi control.

„Stăpânul botnetului” (cel care iniţiază în mod conştient răspândirea unui anumit tip de botnet) poate controla grupul de calculatoare pe care s-a instalat aplicaţia de la distanţă. De obicei comanda şi controlul botnetului se face printr-un server (denumit server de comandă şi control, „C&C”) sau canal public specific. Unii operatori de botnet mai experimentaţi folosesc propriile protocoale pentru această activitate, care includ programul pentru server, programul client pentru operare, şi aplicaţia care se instalează în calculatorul victimei (botul). Toate aceste programe comunică între ele într-un sistem criptat pentru a se proteja împotriva detecţiei sau acaparării reţelei de către alţi operatori de botnet.

Aplicaţia instalată (botul) rulează discret şi foloseşte canale ascunse ( de ex. RFC 1459 (IRC) standard, Twitter, sau mesageria instant) pentru a comunica cu serverul său C&C. Noile boturi scanează automat calculatorul-gazdă şi se propagă exploatând vulnerabilităţile descoperite. Principala „sarcină” a boturilor este de a „acapara” resursele calculatorului punându-le la dispoziţia botnetului pentru a le folosi în scopurile dorite de controlorul botnetului.

De obicei un botnet include mai multe tipuri de conexiuni şi reţele. Ele folosesc ca servere canalele IRC, sau servere educaţionale sau corporative cu viteză mare de lucru care să poată suporta un mare număr de conexiuni cu boturile.

Anihilarea reţelelor botnet

Poliţia din întreaga lume este într-o continuă luptă cu descoperirea şi înlăturarea botneturilor, şi descoperirea şi pedepsirea operatorilor acestora. De curând poliţia olandeză a decoperit o reţea de peste 1,5 milioane de boturi, iat operatorul norvegian ISP Telenor a dezactivat un botnet cu peste 10.000 noduri.

Conform lui Associated Press, compania de securitate pe Internet Prevx a descoperit recent un sit web care era folosit pentru stocarea datelor furate cu ajutorul a 160.000 de calculatoare infectate. Situl web respectiv era găzduit în Ucraina, descoperindu-se printre datele furate parole, date de identificare a unor persoane, numere ale unor cărţi de credit, adrese şi telefoane, etc.

Pe 26 martie anul acesta, un hacker american component al unei comunităţi care a furat zeci de milioane de numere de cărţi de credit şi debit, a fost condamnat la 20 ani închisoare pentru crime cibernetice, pentru penetrarea reţelei de calulatoare a Heartland Payment Systems, care procesează tranzacţii cu cărţi de credit şi debit pentru Visa, American Express, Hannaford Supermarkets şi 7-Eleven.

Organizarea

Serverele de botnet sunt puse de obicei în legătură cu alte astfel de servere, până la 20 sau chiar mai multe astfel de calulatoare de mare viteză, pentru a mări redundanţa totală. Comunităţile actuale botnet constau în unul sau mai mulţi controleri fiecare, fără o ierarhie bine stabilită între ei, accesul în comunitate făcându-se pe baza de prietenii.

Deşi se pot forma reţele botnet de sute de mii şi milioane de boturi în funcţie de serverele disponibile, în prezent cele mai multe botneturi şi-au redus numărul de legături la cca 20.000 calulatoare în medie, pentru a evita detecţia prin noile tehnologii

Formarea şi exploatarea

Botnet
Botnet. Sursa: Tom-b, https://commons.wikimedia.org/wiki/File:Botnet.svg, CC Attribution-Share Alike 3.0 Unported license

Exemplul din figură ilustrează modul în care se formează un botnet pentru a transmite spam prin email (mesaje comerciale nesolicitate)

  1. Un operator botnet răspândeţte pe Internet viruşi sau viermi, infectând calulatoarele obişnuite cu o aplicaţie specifică – botul.
  2. Botul se cuplează la un server C&C specific (adesea un server IRC, sau un server web).
  3. Persoana care doreşte să beneficieze de mesajele transmise prin spam prin email cumpără accesul la botnet de la operator.
  4. Beneficiarul spamului transmite instrucţiuni prin server către calculatoarele infectate care, prin comanda dată, încep să transmită mesaje cu conţinutul stabilit de beneficiar către serverele de mail.

De notat că într-un studiu recent PandaLabs, România ocupă locul 7 într-un clasament mondial al ţărilor din care se expediază mesaje spam, cu 2,53% din total, iar Bucureştiul se plasează pe poziţia a opta în topul oraşelor, alcătuit după acelaşi criteriu, cu 1% din spamuri.

Botneturile sunt exploatate pentru atacuri gen denial-of-service, crearea sau exploatarea ilegală a releelor de mail pentru spam, fraude în publicitatea pe bază de clickuri (gen Google AdSense), „spargerea” codurilor unor aplicaţii sau a datelor de acces în diferite sisteme, furtul datelor cărţilor de credit, furturi de informaţii confidenţiale şi secrete, etc.

Măsuri de prevenţie

Un atac denial-of-service de la un botnet lasă puţine şanse victimei. Datorită dispersiei geografice a botneturilor, este dificil de identificat reţeaua atacatoare. Unele botneturi îşi ascund identitatea în spatele unor servicii gratuite precum ynDns.org, No-IP.com, sau Afraid.org, pentru serverele folosite.

Serverele botnet sunt şi ele, la rândul lor, vulnerabile. Astfel, dacă este penetrat un server botnet, se pot identifica toate celelalte servere botnet legate de acesta. De asemenea, dacă serverele unui botnet nu sunt suficient de redundande, deconectarea unui server poate face să pice întreaga reţea.

Mai multe companii cu activitate în securitatea informatică, precum Afferent Security Labs, Symantec, Trend Micro, FireEye, Simplicita şi Damballa, dezvoltă aplicaţii specifice împotriva botneturilor. Norton AntiBot este un program care protejează utilizatorii individuali împotriva instalării boturilor, întrucât boturile mai dezvoltate trec cu uşurinţă de protecţia programelor antivirus.

Noile botneturi au un sistem integrat de comandă şi control, şi sunt actualizate dinamic, putând detecta şi reacţiona la încercările de a le descoperi.

Cum poţi determina dacă ai calculatorul infestat cu boturi

Din datele existente rezultă că în prezent calculatoarele Mac sunt mai sigure la infestarea cu boturi. Dar pentru cei care au un calculator cu sistem de operare Windows, specialiştii în securitate pe Internet îi sfătuiesc să fie atenţi la conexiunile Internet care par inexplicabil de lente cînd sunt pe Internet, acesta este unul din semnele cele mai probabile ale unei infestări cu bot care foloseşte conexiunea pentru a transmite sau primi date.

Dacă aveţi dubii într-un astfel de caz, închideţi aplicaţia pentru emailuri (de obicei, Outlook Express) şi orice altă aplicaţie, şi deschideţi Task Manager apăsând simultan tastele CTRL, ALT şi Delete. În Task Manager, selectaţi tabul Network şi verificaţi conexiunea Internet: dacă aceasta foloseşte mai mult de câteva procente din activitatea totală a calculatorului, înseamnă că cineva foloseşte calulatorul dvs. pe Internet.

Există şi aplicaţii gratuite pentru protecţia împotriva boturilor, precum RUBotted de la Trend Micro, BotHunter de la SRI International, sau puteţi folosi o scanare pentru viruşi, chiar dacă aceasta este mai puţin eficientă, ori o scanare online cu ajutorul Windows Live OneCare.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *