Botnet (bezpieczeństwo komputerowe)

Botnet – grupa komputerów zainfekowanych szkodliwym oprogramowaniem (np. robakiem) pozostającym w ukryciu przed użytkownikiem i pozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami w ramach botnetu. Kontrola ta pozwala na zdalne rozsyłanie spamu oraz inne ataki z użyciem zainfekowanych komputerów.

Historia

2 listopada 1988 został uruchomiony robak Morris Worm, który potrafił automatycznie infekować inne systemy, wykorzystując internet^[1]. Zainfekował ponad 6 tys. komputerów, co stanowiło około 10% całego ówczesnego Internetu. Straty oszacowano na 10 do 100 mln dolarów^[2]. Sprawca przyznał się do winy i został skazany na 3 lata obserwacji sądowej, 400 godzin prac społecznych i grzywnę w wysokości 10 tys. dolarów amerykańskich.

Pierwsze prawdziwe sieci typu botnet powstały w 1993 roku. Robaki te łączyły się z siecią IRC i były kontrolowane za pomocą przesyłanych przez tę sieć komunikatów. Jest to ciągle najpopularniejsza pośród skryptowych dzieciąt, choć już nie jedyna, droga kontrolowania botnetów.

W styczniu 2007 roku został zidentyfikowany Storm botnet. Na podstawie danych z września 2007 stwierdzono, iż ma możliwość odcięcia od internetu całego kraju i posiada potencjalną możliwość wykonywania większej liczby obliczeń na sekundę niż najlepsze superkomputery^[3]. 22 kwietnia 2009 firma Finjan poinformowała, iż botnet składa się przynajmniej z 1,9 miliona przejętych komputerów^[4].

Największy botnet w historii powstał w maju 2009 roku – BredoLab zainfekował ponad 30 mln komputerów^[5]. Częściowo unieszkodliwiono go w październiku 2010 roku^[6].

Botnet zainfekowany trojanem bankowym Zeus, zawierający 4,5 mln komputerów, FBI zniszczyło w grudniu 2011 roku aresztując 90 osób. Do tamtego czasu dzięki temu botnetowi skradziono 70 mln $^[7]. W kwietniu 2012 roku na komputerze Edwarda Pearsona znaleziono dane o 200 000 kontach PayPal, 2701 numerach kart kredytowych, 8000 pracownikach Nokii i dane osobowe ponad 8 000 000 mieszkańców Wielkiej Brytanii. Były one warte 800 000 funtów (jednak haker zarobił na nich tylko 2351 funtów), a zdobyto je przy pomocy Spyeye i właśnie Zeusa^[8]. Oba trojany połączyły się w kwietniu 2011 roku^[9], a miesiąc później w kodzie pierwszego z nich znaleziono błędy^[10] i 4 miesiące później udostępniono za darmo w sieci^[11]. W lipcu 2011 roku zidentyfikowano wersję Zeusa atakującą system Android^[12].

Specyfika działania

Pojedynczy komputer w takiej sieci nazywany jest komputerem zombie. Całkowitą liczbę komputerów zombie na świecie szacuje się na kilka milionów – nie można jej dokładnie określić, ponieważ stale rośnie.

Robaki rozprzestrzeniają się, wykorzystując różne błędy w oprogramowaniu lub niewiedzę użytkowników komputerów. Obecnie, oprócz najbardziej popularnej poczty elektronicznej, nowe robaki rozsyłają się także, wykorzystując komunikatory internetowe jak np. Gadu-Gadu, MSN Messenger, ICQ, Konnekt, Jabber, Tlen.pl, czy AIM.

Specjaliści wskazują na tendencję do tworzenia coraz mniejszych, a przy tym zdecydowanie trudniejszych do wykrycia botnetów. Już botnet składający się z około 3000-7000 komputerów może stać się przyczyną poważnych zagrożeń, jeśli tylko komputery do niego podłączone dysponują odpowiednio szybkim połączeniem z Internetem.

Zagrożenia

Scalenie nawet kilkunastu komputerów podłączonych do Internetu może stanowić poważną broń w rękach crackera. Taka sytuacja czyni botnety największym zagrożeniem współczesnego Internetu i stawia w stan gotowości całą branżę komputerową^[1].

W sieci do tej pory krążą robaki, które mogą być usunięte nawet przez najprostsze, często darmowe programy antywirusowe, co daje wyobrażenie o tym, jak wiele komputerów jest kompletnie niezabezpieczonych. Czasem nawet samo podłączenie „bezbronnej maszyny” do Internetu w celu ściągnięcia programu antywirusowego, bądź osobistej zapory sieciowej może skończyć się infekcją^[1].

W większości przypadków botnety są wykorzystywane do^[1]:

• wysyłania niechcianej korespondencji – spamu
• kradzieży poufnych informacji (np. danych osobowych, numerów kart kredytowych)
• przeprowadzania ataków typu DDoS (Distributed Denial of Service)
• sabotażu
• oszustw internetowych
• inwigilacji

Ataki typu DoS lub DDoS stały się groźną bronią w rękach przestępców wymuszających haracze za odstąpienie od ataku (co w przypadku firm zależnych od połączenia sieciowego jak np. portale czy sklepy internetowe stanowi niemałe zagrożenie). Do zwalczania tego zagrożenia potrzebna jest współpraca wielu ekspertów. Przykładem takiej udanej współpracy ekspertów z firm Kaspersky Lab, Microsoft oraz Kyrus Tech jest doprowadzenie w roku 2011 do skutecznego wyłączenia sieci zainfekowanych komputerów znanej pod nazwami Kelihos oraz Hlux^[13].

Profilaktyka

Stwierdzenie, czy komputer stał się zombie, nie jest proste. Pewnymi symptomami mogą być np.:

• podwyższona aktywność dysku twardego
• nadmierne użycie łącza sieciowego
• część z typowych funkcji systemu nie jest dostępna (np. menedżer zadań)
• e-maile od nieznanych osób.

Podstawowym sposobem zabezpieczenia się przed atakami jest posiadanie sprawnego i aktualnego programu antywirusowego, a także nieotwieranie plików z nieznanych źródeł (np. podejrzanych maili).

Monitorowanie aktywności botnetów

Badacze bezpieczeństwa mogą podjąć bardziej zaawansowane akcje jak np. monitorowanie botnetów i analiza kodu botów. Z metod monitorowania sieci typu botnet można wymienić m.in. uruchomienie honeypot w celu złapania bota i analizy jego kodu, monitorowanie ruchu sieciowego czy dość nietypowy sposób polegający na dołączeniu swojego programu do botnetu^[14][15].

Zobacz też

• botnet (IRC)
• freeloading
• Koń trojański

Przypisy

1. Botnet od podszewki – heise Security Polska. [dostęp 2010-01-03]. [zarchiwizowane z tego adresu (2009-11-11)].
2. Artykuł na 20-lecia zdarzenia w dziale Internet serwisu Interia.pl.
3. Gaudin, Sharon. „Storm Worm Botnet Attacks Anti-Spam Firms”, InformationWeek, 18 września 2007.
4. Botnet contains 1.9 million infected computers, news.zdnet.com, 22 kwietnia 2009.
5. Researchers: Bredolab still lurking, though severely injured (Update 3). [dostęp 2012-04-13]. [zarchiwizowane z tego adresu (2012-04-30)].
6. Bredolab botnet taken down after Dutch intervention [online], www.scmagazineuk.com [dostęp 2017-11-22] (ang.).
7. Anonymous i ich zwolennicy padli ofiarą... hakerów – WP Tech [online], tech.wp.pl [dostęp 2017-12-02] (pol.).
8. 23 latek namieszał… – Niebezpiecznik.pl.
9. * SpyZeus; zmiany w kodzie – Niebezpiecznik.pl.
10. * SpyEye SQL injection – Niebezpiecznik.pl.
11. Exploit na botnet SpyEye – Niebezpiecznik.pl.
12. » ZeuS na Androida – Niebezpiecznik.pl [online], niebezpiecznik.pl [dostęp 2017-11-22].
13. Kaspersky Lab, Kyrus Tech oraz Microsoft skutecznie zamykają botnet Hlux/Kelihos w prnews.pl (dostęp: 2011-09-30).
14. Co to jest botnet? Sieć maszyn zombie. [dostęp 2022-05-26].
15. Tracking the Hide and Seek Botnet. [dostęp 2022-05-26].

Bibliografia

• Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), 2020 – Botnet. Krajobraz zagrożeń wg Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), ISBN 978-92-9204-354-4.
• Craig A. Schiller, Jim Binkley, David Harley, Gadi Evron, Tony Bradley, Carsten Willems, Michael Cross, 2007 – Botnets: The Killer Web App, ISBN 978-1-59749-135-8.
• Radware’s DDoS Handbook, 2015 – The Ultimate Guide to Everything You Need to Know about DDoS Attacks
• Michael Hale Ligh, Steven Adair, Blake Hartstein, Matthew Richard, 2011 – Malware Analyst’s Cookbook and DVD. Tools and Techniques for Fighting Malicious Code, ISBN 978-0-470-61303-0.

Kontrola autorytatywna (pojęcie):

• NKC: ph1108781

Encyklopedie internetowe:

• Britannica: topic/botnet