Globalny Intrabotnet

Wolność i nieograniczony dostęp do Internetu to idea, z której skwapliwie korzystają również przestępcy, systematycznie rozwijając własną infrastrukturę sieci botnet.

Wolność i nieograniczony dostęp do Internetu to idea, z której skwapliwie korzystają również przestępcy, systematycznie rozwijając własną infrastrukturę sieci botnet.

Globalne sieci botnet składające się z komputerów zainfekowanych przez wrogie kody, które umożliwiają przejęcie przez hakerów kontroli nad ich działaniami, należą obecnie do najpoważniejszych zagrożeń dla wszystkich użytkowników Internetu, i to niezależnie od tego, czy są to osoby indywidualne, czy międzynarodowe korporacje z firmowymi sieciami wykorzystującymi zaawansowane systemy zabezpieczeń.

Sieci botnet są odpowiedzialne za zdecydowaną większość rozsyłanego spamu, wiadomości e-mail próbujące wyłudzić prywatne informacje, a także stanowią podstawowy element infrastruktury umożliwiającej przeprowadzanie różnego typu ataków DoS, zarówno na pojedyncze grupy serwerów firmowych, jak i serwery DNS, co może paraliżować ruch w całym Internecie.

Podział regionalny

Podział regionalny

Liczba sieci botnet i aktywnych w ich ramach komputerów PC systematycznie rośnie. Technologie oraz metody skutecznej ochrony i detekcji wrogich kodów w komputerach PC wciąż pozostają zaś w tyle za technikami intensywnie rozwijanymi przez hakerów i praktycznie nikt nie może być pewien, czy jego komputer nie został włączony do którejś z sieci botnet. Jedynym wyjściem jest - na razie - instalacja oprogramowania antywirusowego, antyspamowego i filtrów treści oraz ich bieżąca aktualizacja, a przede wszystkim znajomość i przestrzeganie zasad bezpiecznego korzystania z Internetu. Nie daje to 100-proc. gwarancji bezpieczeństwa, ale pozwala ograniczyć poziom zagrożenia.

Kwitnący biznes

Jak wynika z opublikowanego ostatnio przez Symantec kolejnego raportu Threat Report, liczba zainfekowanych komputerów wzrosła w drugiej połowie 2006 r. o 29% i osiągnęła poziom 6 mln komputerów aktywnych w różnych sieciach botnet, choć o jedną czwartą spadła liczba serwerów służących do ich kontrolowania. Świadczy to jedynie, że następuje konsolidacja tych sieci.

Interesujący jest rozkład zagrożeń według badań Symantec - najwięcej, bo 40% serwerów kontrolnych jest zlokalizowanych w USA, drugie miejsce zajmują Chiny (10%), a trzecie Niemcy (7%). Zdecydowanym liderem w liczbie zarażonych komputerów są Chiny, w których zlokalizowane jest 26% urządzeń w sieciach botnet, z czego 300 tys. w samym Pekinie. Pod tym względem Europa nie pozostaje w tyle - ma ona 2,3 mln komputerów w sieciach botnet, a prym wiodą Niemcy i Francja. Najbardziej zainfekowanym miastem w Europie był Madryt, z 6-proc. udziałem. Według Symantec, każdego dnia w Europie pojawia się średnio prawie 22 tys. nowych aktywnych komputerów zombie.

Jednocześnie następuje ewolucja wykorzystania sieci botnet, które coraz mniej służą do masowego wysyłania spamu, a bardziej do propagacji trojanów, stanowiących aż 45% rozsyłanych przez sieci botnet wrogich kodów.

Czy jesteś zombie?

Jak się przekonać, czy któryś z komputerów pracujących w lokalnej sieci firmowej nie jest zainfekowany przez wrogi kod i podłączony do sieci botnet? Nie jest to, niestety, proste, bo kody takie z reguły nie mają bezpośredniego wyraźnego wpływu na działanie komputera, aplikacji lub sieci. Choć nie ma uniwersalnej metody zabezpieczeń, to ankieta wśród ekspertów ds. bezpieczeństwa przeprowadzona przez amerykańskie wydanie Computerworld wskazuje na co najmniej kilka podstawowych zasad, których przestrzeganie może w ich zgodnej opinii, przynajmniej zredukować prawdopodobieństwo, że komputery staną się elementami botnet.

1. Minimalizacja zagrożenia ze strony wirusów.

Program antywirusowy nie daje 100-proc. bezpieczeństwa, ale nawet jeśli nie zarejestruje on i nie zablokuje procesu instalacji wrogiego kodu, to najprawdopodobniej wykryje go już podczas kolejnego skanowania systemu. Choć nie jest to zbyt wygodne, to warto codziennie aktualizować bazę sygnatur, a także przeprowadzać skanowanie całego systemu.

2. Nasłuchiwanie, co się dzieje.

Aktualna baza sygnatur to nie wszystko. Jak zauważa Patrick Patterson, wiceprezes Ironport, dostawcy systemów zabezpieczeń, mimo że praktycznie każda organizacja wykorzystuje obecnie , doświadczenia jego firmy mówią, że instalując systemy zabezpieczeń u nowego klienta, okazuje się, że przynajmniej 50% komputerów PC zawiera oprogramowanie, które można zakwalifikować do jakiegoś typu maleware.

Patrick Patterson rekomenduje zastosowanie kilku prostych technik analitycznych, które umożliwiają zorientowanie się, że coś jest nie tak. Przede wszystkim warto obserwować aktywność helpdesku. Jeśli wzrasta liczba skarg i pytań użytkowników związanych ze spowolnioną wydajnością komputerów, wolną reakcją aplikacji lub zwiększoną liczbą wyskakujących okienek reklamowych, może to świadczyć, że w firmowej sieci zainstalowany został botnet, a prawdopodobieństwo tego można ocenić na 1:10. Administratorzy sieci korporacyjnych z reguły mogą to dokładniej sprawdzić, wykorzystując oprogramowanie do monitorowania ruchu w sieci.

Oprócz tego, jeśli jakieś komputery w sieci zostały dołączone do botnet, to jest prawdopodobne, że jej adres IP został już zarejestrowany na którejś z czarnych list w Internecie. Warto więc regularnie kontrolować listy pod tym właśnie kątem. Jest to dość uciążliwe, ale w Internecie dostępnych jest przynajmniej kilkanaście stron WWW (np. Spamhaus), które świadczą usługi sprawdzania, czy określone adresy nie pojawiły się na najważniejszych i najpopularniejszych czarnych listach. Oprócz tego można skorzystać z usług automatycznego powiadamiania przez e-mail o takiej rejestracji firmowych adresów IP - są one oferowane m.in. przez MSN, AOL lub Yahoo!.

3. Skanowanie horyzontu.

Skanowanie poczty przychodzącej jest standardem, ale powinno nim być również skanowanie listów wysyłanych na zewnątrz, bo to właśnie zapobiega lub ogranicza możliwość wysyłania niepożądanej poczty albo wykonywania ataków przez zainfekowane komputery PC znajdujące się wewnątrz sieci LAN.

Standardowe oprogramo-wanie zapór firewall nie jest tu niestety wiele pomocne.

Tylko zaawansowany IDS może wykryć i zablokować niepożądaną aktywność.

4. Konfiguracja portów.

Radykalną metodą może być zablokowanie portu 25, wykorzystywanego do wysyłania poczty e-mail. Niektórzy dostawcy usług internetowych ISP już zaczęli to robić dla poczty, która nie ma uprawnionego adresu IP. Tego typu procedura jest trudna dla indywidualnych użytkowników, bo w praktyce powoduje, że w ogóle pozbawiają się oni możliwości wysyłania listów e-mail. Można skorzystać też z innych metod, np. zablokować IRC, co w większości wypadków uniemożliwia klienckim programom botnet zewnętrzną komunikację.

Niektórzy eksperci uważają, że warto zablokować wszystkie kanały komunikacji, z których użytkownik na co dzień nie korzysta. Umożliwia to obecnie chyba każde oprogramowanie typu Security. W praktyce większość użytkowników wykorzystuje porty 25 i 110 dla e-mail, port 43 do komunikacji z serwerami DNS, port 80 do przeglądania stron WWW i port 443 do komunikacji SSL. Wszystkie pozostałe można zablokować, a wówczas system będzie znacznie bardziej bezpieczny i odporny na podłączenie do botnet. Teoretycznie w systemie dostępnych jest 65 535 portów, z których tylko 1024 znajduje się na liście portów o "dobrze znanych" zastosowaniach, określonej przez organizację IANA (Internet Assigned Numbers Authority). Hakerzy często korzystają z innych, nietypowych portów, a listy najbardziej niebezpiecznych i najczęściej stosowanych przez robaki, wirusy i trojany są publikowane w Internecie.

Podstawowe zasady prewencji to oczywiście instalacja oprogramowania antyszpiegowskiego, uruchomienie mechanizmów automatycznej, bieżącej kontroli plików udostępnianych praktycznie przez każdy program antywirusowy, a także unikanie otwierania załączników lub klikania linków w poczcie pochodzącej od nieznanych nadawców.

5. Edukacja użytkowników.

Najprostszą i bezpłatnie dostępną dla każdego metodą zwiększenia poziomu zabezpieczeń jest edukacja użytkowników komputerów. Dotyczy to zarówno korporacji, małych firm, jak i użytkowników domowych. Podobnie jak kierowcy samochodu muszą się nauczyć nie tylko zmieniać biegi i korzystać z hamulca, ale również wielu zasad bezpiecznego kierowania pojazdem, tak użytkownicy komputerów powinni poznać zasady bezpiecznego korzystania z Internetu. W ten sposób można w istotnym stopniu zmniejszyć poziom zagrożeń.

Botnet – dynamiczna podsieć Internetu

  • Botnet to połączona przez Internet sieć komputerów PC zainfekowanych przez oprogramowanie umożliwiające przejęcie nad nimi zdalnej kontroli i wykorzystanie przez zarządzającego daną siecią hakera do zdefiniowanych przez niego działań. Początkowo botnety były zaprojektowane i stworzone jako infrastruktura do rozsyłania spamu, bo — umożliwiając zamaskowanie rzeczywistego źródła i nadawcy poczty — utrudniały identyfikację i blokowanie spamu przez pierwszej generacji filtry.
  • Obecnie zakres zastosowań znacznie się powiększył i botnety są uniwersalnym narzędziem do różnych działań — uruchamiania ataków DoS, zarządzania kampaniami reklamowymi, monitorowania aktywności użytkowników Internetu, przechwytywania informacji prywatnych lub dowolnych danych z zainfekowanego komputera. Jednocześnie wrogie kody są tak konstruowane, że nie powodują żadnych widocznych szkód lub bezpośrednich efektów, które by mogły zaniepokoić użytkownika — komputer PC pracuje w zasadzie tak, jakby w ogóle nie był zainfekowany. Pojawiają się oczywiście pewne oznaki mogące świadczyć o infekcji, takie jak spowolnienie działania aplikacji lub łączy internetowych, ale z reguły nie są łatwe do zidentyfikowania i oceny, zwłaszcza że moc przetwarzania komputerów w botnet najczęściej jest wykorzystywana tylko w niewielkim stopniu.
  • Botnet są sieciami dynamicznymi, oprócz wymienionych działań „komercyjnych” komputery są jednocześnie źródłem kodów, które sondują potencjalne ofiary pod kątem ich podatności na instalację oprogramowania umożliwiającego dołączenie do sieci. Jeśli użytkownik kliknie na dostarczony mu „niegroźny” link, to uruchamia program instalujący odpowiedni kod i jego komputer może zostać przyłączony do botnet. Jeśli oczywiście program antywirusowy nie wygeneruje ostrzeżenia lub zostanie ono zignorowane. Gdy tylko „oprogramowanie klienckie” zostanie zainstalowane, jego pierwszym działaniem jest próba automatycznej rejestracji na serwerze kontrolującym daną sieć botnet, najczęściej przy wykorzystaniu kanału IRC. Po nawiązaniu komunikacji komputer staje się aktywnym elementem sieci botnet i od razu lub w dowolnej późniejszej chwili może zostać wykorzystany przez hakera (oczywiście wtedy, gdy jest podłączony do Internetu).