Botnet (bezpieczeństwo komputerowe)

Z Wikipedii, wolnej encyklopedii
Skocz do: nawigacji, wyszukiwania

Botnet – grupa komputerów zainfekowanych złośliwym oprogramowaniem (np. robakiem) pozostającym w ukryciu przed użytkownikiem i pozwalającym jego twórcy na sprawowanie zdalnej kontroli nad wszystkimi komputerami w ramach botnetu. Kontrola ta pozwala na zdalne rozsyłanie spamu oraz inne ataki z użyciem zainfekowanych komputerów.

Historia[edytuj | edytuj kod]

2 listopada 1988 został uruchomiony robak Morris Worm, które potrafi automatycznie infekować inne systemy wykorzystując internet[1]. Zainfekował ponad 6 tys. komputerów, co stanowiło około 10% całego ówczesnego Internetu. Straty oszacowano na 10 do 100 mln dolarów[2]. Sprawca przyznał się do winy i został skazany na 3 lata obserwacji sądowej, 400 godzin prac społecznych i grzywnę w wysokości 10 tys. dolarów amerykańskich.

Pierwsze prawdziwe sieci typu botnet powstały w 1993 roku. Robaki te łączyły się z siecią IRC i były kontrolowane za pomocą przesyłanych przez tę sieć komunikatów. Jest to ciągle najpopularniejsza, choć już nie jedyna, droga kontrolowania botnetów.

W styczniu 2007 roku został zidentyfikowany Storm botnet. Na podstawie danych z września 2007 stwierdzono, iż ma możliwość odcięcia od internetu całego kraju i posiada potencjalną możliwość wykonywania większej liczby obliczeń na sekundę, niż najlepsze superkomputery[3]. 22 kwietnia 2009 świat firma Finjan poinformowała, iż botnet składa się przynajmniej z 1,9 miliona przejętych komputerów[4].

Największy botnet w historii powstał w maju 2009 roku - BredoLab miał ponad 30 mln komputerów[5]. Częściowo unieszkodliwiono go w październiku 2010 roku[6].

Botneta zainfekowanego trojanem bankowym Zeus, zawierającego 4,5 mln komputerów, FBI zniszczyło w grudniu 2011 roku aresztując 90 osób. Do tamtego czasu dzięki temu botnetowi skradziono 70 mln $[7]. W kwietniu 2012 roku na komputerze Edwarda Pearsona znaleziono dane o 200 000 kontach PayPal, 2 701 numerach kart kredytowych, 8 000 pracownikach Nokii i dane osobowe ponad 8 000 000 mieszkańców Wielkiej Brytanii. Były one warte 800 000 funtów (jednak haker zarobił na nich tylko 2351 funtów), a zdobyto je przy pomocy Spyeye i właśnie Zeusa[8]. Oba trojany połączyły się w kwietniu 2011 roku[9], a miesiąc później w kodzie pierwszego z nich znaleziono błędy[10] i 4 miesiące później udostępniono za darmo w sieci[11]. W lipcu 2011 roku zidentyfikowano wersję Zeusa atakującą system Android[12].

Specyfika działania[edytuj | edytuj kod]

Pojedynczy komputer w takiej sieci nazywany jest komputerem zombie. Całkowitą liczbę komputerów zombie na świecie szacuje się na kilka milionów – nie można jej dokładnie określić, ponieważ stale rośnie.

Robaki rozprzestrzeniają się wykorzystując różne błędy w oprogramowaniu lub niewiedzę użytkowników komputerów. Obecnie, oprócz najbardziej popularnej poczty elektronicznej, nowe robaki rozsyłają się także wykorzystując komunikatory internetowe jak np. Gadu-Gadu, MSN Messenger, ICQ, Konnekt, Jabber, Tlen.pl czy AIM.

Specjaliści wskazują na tendencję do tworzenia coraz mniejszych, a przy tym zdecydowanie trudniejszych do wykrycia botnetów. Już botnet składający się z około 3000-7000 komputerów może stać się przyczyną poważnych zagrożeń, jeśli tylko komputery do niego podłączone dysponują odpowiednio szybkim połączeniem z Internetem.

Zagrożenia[edytuj | edytuj kod]

Scalenie nawet kilkunastu komputerów podłączonych do Internetu może stanowić poważną broń w rękach crackera. Taka sytuacja czyni botnety największym zagrożeniem współczesnego Internetu i stawia w stan gotowości całą branżę komputerową[1].

W sieci do tej pory krążą robaki, które mogą być usunięte nawet przez najprostsze, często darmowe programy antywirusowe, co daje wyobrażenie o tym, jak wiele komputerów jest kompletnie niezabezpieczonych. Czasem nawet samo podłączenie "bezbronnej maszyny" do Internetu w celu ściągnięcia programu antywirusowego, bądź osobistej zapory sieciowej może skończyć się infekcją[1].

W większości przypadków botnety są wykorzystywane do[1]:

  • wysyłania niechcianej korespondencji – spamu bądź spimu
  • kradzieży poufnych informacji (np. danych osobowych, numerów kart kredytowych)
  • przeprowadzania ataków typu DDoS (Distributed Denial of Service)
  • sabotażu
  • oszustw internetowych
  • inwigilacji

Ataki typu DoS lub DDoS stały się groźną bronią w rękach przestępców wymuszających haracze za odstąpienie od ataku (co w przypadku firm zależnych od połączenia sieciowego jak np. portale czy sklepy internetowe stanowi niemałe zagrożenie). Do zwalczania tego zagrożenia potrzebna jest współpraca wielu ekspertów. Przykładem takiej udanej współpracy ekspertów z firm Kaspersky Lab, Microsoft oraz Kyrus Tech jest doprowadzenie w roku 2011 do skutecznego wyłączenia sieci zainfekowanych komputerów znanej pod nazwami Kelihos oraz Hlux [13].

Profilaktyka[edytuj | edytuj kod]

Stwierdzenie czy komputer stał się zombie nie jest proste. Pewnymi symptomami mogą być np.:

  • podwyższona aktywność dysku twardego
  • nadmierne użycie łącza sieciowego
  • część z typowych funkcji systemu nie jest dostępna (np. menedżer zadań)
  • e-maile od nieznanych osób.

Podstawowym sposobem zabezpieczenia się przed atakami jest posiadanie sprawnego i aktualnego programu antywirusowego, a także nie otwieranie plików z nieznanych źródeł (np. podejrzanych maili).

Zobacz też[edytuj | edytuj kod]

Przypisy