Botnety: Storm słabnie, następcy rosną w siłę

Botnety cyklicznie pojawiają się i znikają, następuje też wśród nich swoista wymiana pokoleniowa, w której aktywne od miesięcy sieci komputerów-zombie są powoli wypierane przez młodszych konkurentów. Niestety, stają się one też coraz bardziej uciążliwe i niebezpieczne - taki jest podstawowy wniosek z dyskusji panelowej na temat botnetów, która odbyła się podczas konferencji RSA w San Francisco.

Jednym z uczestników dyskusji był Matthew Fine, agent specjalny amerykańskiego Federalnego Biura Śledczego, który kilka miesięcy temu przyczynił się do namierzenia i ujęcia niejakiego Owena Walkera - młodego Nowozelandczyka, który kierował botnetem złożonym z ponad miliona komputerów-zombie (pisaliśmy o tym m.in. w tekście "10 lat za kierowanie botnetem?"). Zatrzymanie Walkera - znanego pod pseudonimem Akill - było elementem wielkiej międzynarodowej akcji botnetowej Bot Roast. "Celem naszej akcji było skuteczne uderzenie w twórców i operatorów botnetów. Czy udało nam się zrealizować ten cel? Cóż, pozostawiam to do oceny wam" - powiedział Fine, zwracając się do specjalistów ds. bezpieczeństwa uczestniczących w panelu.

Jedno aresztowanie wiosny nie czyni...

"Przykro mi, ale wasze dokonania w żaden sposób nie przyczyniły się do zmniejszenia liczby "botnetowych" problemów, z którymi moja firma musi się uporać każdego dnia. Obawiam się, że zjawisko to raczej przybrało ostatnio na sile i jest zdecydowanie bardziej uciążliwe niż jeszcze kilka miesięcy temu" - odpowiedział Joe Telafici, wiceprezes działające w ramach firmy McAfee zespołu Avert. Jego zdaniem do skutecznej walki z botnetami niezbędne są rozwiązania systemowe, które sprawią, że tworzenie i zarządzanie siecią zombie PC stanie po prostu zbyt ryzykowne i nieopłacalne. Eliminowanie pojedynczych administratorów takich sieci niewiele zmieni. "Problem polega na tym, że posiadania dużego, aktywnego botnetu jest obecnie bardzo opłacalne. I dlatego gdy wy [FBI - red.] aresztujecie kogoś takiego jak Walker, to natychmiast pojawia się kilku kandydatów na jego miejce" - tłumaczył przedstawiciel McAfee.

Inni uczestnicy dyskusji zwrócili uwagę na fakt, że w tej "branży" następuje obecnie bardzo duża rotacje - wiele "starych" (działających co najmniej od kilkunastu miesięcy) botnetów szybko znika z Sieci. Jest to efekt usprawnienia narzędzi antywirusowych (m.in. dołączonego do Windows programu Malicious Software Removal Tool). Najlepszym przykładem tego trendu może być osławiony botnet Storm, który jeszcze kilka miesięcy temu był największą siecią komputerów-zombie na świecie - wedle różnych szacunków, w jego skład wchodziło od kilkuset tysięcy do nawet kilku milionów komputerów. Obecnie Storm jest wielokrotnie mniejszy - właśnie dzięki zwiększeniu skuteczności "antywirusów".

Storm powoli znika?

Warto wspomnieć, że kilka dni temu firma SecureWorks opublikowała uaktualnioną listę najaktywniejszych botnetów - Storm zajął na niej piątą pozycję. Na pierwszym miejscu znalazł się nowy, agresywny gracz - botnet Srizbi, którego wielkość szacuje się na ok. 315 tys. komputerów, zaś wydajność - na 60 mld wiadomości reklamowych wysyłanych każdego dnia. Co ciekawe, z analiz przeprowadzonych przez specjalistów z SecureWorks wynika, że autorem robaka (tzw. botworma) przekształcającego komputery w element botnetu Srizbi jest zawodowy programista z Ukrainy.

Na kolejnych miejscach owego rankingu znalazły się botnety: Bobax (znany również jako Kraken), składający się z ok. 185 tys. komputerów, Rustock (150 tys.) oraz Cutwail(125 tys.). SecureWorks szacuje, że pierwsza piątka wysyła każdego dnia co najmniej 100 mld spamowych wiadomości.

Podczas dyskusji rozmawiano m.in. o tym, jak można powstrzymać ekspansję botnetów - wśród zaproponowanych pomysłów znalazł się m.in. projekt przewidujący przepis, w myśl którego dostawca usług internetowych będzie miał obowiązek odcinania od Sieci użytkowników, którzy nie uaktualniają na czas swojego oprogramowania. Okazuje się bowiem, że botwormy najczęściej infekują komputery poprzez luki w popularnych aplikacjach - zwykle są to luki, na które producent programu już dawno udostępnił poprawkę. Rozwiązanie to zostało jednak skrytykowane przez część uczestników - m.in. za to, że zakłada ono odłączenie od Internetu ogromnej liczby użytkowników.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200