Botnety: nová internetová hrozba

Pohled do statistik je jasný: klasické viry jsou na ústupu, přicházejí záludnější kódy. Za rok 2005 bylo zaznamenáno 17.800 trojských koňů, ale pouze 995 klasických virů. Odborníci (Zpráva o virtuální kriminalitě) otevřeně hovoří o tom, že až 70 procent škodlivého kódu vzniká za účelem zisku a 65 procent tvoří nástroje umožňující kontrolu nad infikovanými počítači.

Co je botnet

Zrodil se bot – program, který umí plnit příkazy útočníka zadávané z jiného počítače. Termín bot je odvozen od slova českého původu „robot“ a stejně jako robot je využíván pro různé „práce“.

Bot je program, který je tajně nainstalován na uživatelském počítači, obsahuje komunikační a řídící modul a umožňuje neautorizovanému uživateli vzdáleně tento počítač ovládat a využít pro plnění různých příkazů.

Právě díky možnosti vzdáleného ovládání je bot velmi flexibilní. Dokáže totiž měnit svoji funkčnost přidáním nového kódu či změnou stávajícího. Pro počítač infikovaný botem se někdy používá termín „zombie“ (živá mrtvola) – stroj ovládaný útočníkem bez vědomí uživatele.

Počítače (mnoha různých uživatelů!) infikované stejným botem jsou sdružovány do sítě bot networks – botnet (viz encyklopedii Wikipedia), někdy označovanou jako armáda zombie, kterou lze automatizovaně řídit prostřednictvím nástrojů vzdálené správy pro spuštění koordinovaného ú­toku.

Svět botů

Programů typů bot se vyskytuje celá řada. Podle odhadů antivirových společností se počet botů blíží k tisíci v rozmezí od velmi jednoduchých až po velmi složité. Trendem dnešní doby je stírání hranic mezi jednotlivými typy malwaru. Některé boty mohou mít formu trojských koňů, jiné vykazují vlastnosti virů a jsou schopny se samy o sobě šířit; může se jednat i o kombinovanou hrozbu, např. spojení červa s botem.

Přes veškerou podobnost se však boty liší od virů, tak i od rootkitů. Klasický vir byl jednou naprogramován a má neměnnou funkčnost. Od rootkitů se boty liší masovým způsobem ovládání – jedním příkazem se komunikuje s řadou počítačů; u rootkitů tomu tak obvykle nebývá.

Řízení botnetu

Aby bot mohl plnit požadované příkazy, musí komunikovat se svým řídícím orgánem, nejčastěji s autorem–hackerem. Boty mohou být ovládány několika různými způsoby, např. přes P2P (Peer to Peer) sítě či diskusní skupiny, avšak nejběžněji přes chatovací kanály IRC (Internet Relay Chat). Protokol IRC je využíván především proto, že hackeři jej používají pro komunikaci mezi sebou, a tak jej velmi dobře znají. Navíc IRC serverů existuje velké množství a připojit se k nim lze víceméně anonymně.

Jakmile je bot aktivován, připojí se na předem dohodnutý IRC server a čeká na příkazy, které hacker zapisuje do chatovacího kanálu.

Způsoby šíření

"S jediným trojským koněm je systém děravý jako cedník a přístupný každému hackerovi.

První, po čem hacker pátrá, je nějaké slabé místo, které mu umožní proniknout do počítače a instalovat škodlivý kód, aniž by si toho uživatel všiml. Takové riziko představují „zadní vrátka“ (backdoor) do systému instalovaná různým malwarem (např. Bagle, MyDoom, Mytob). Tato otevřená zadní vrátka pak umožňují potenciální průnik, zpravidla tak, že otevírají některé porty a na nich naslouchají povelům zvenčí.

Stoprocentní bezpečnost neexistuje. Oblíbeným terčem hackerů je využití zranitelností produktů Microsoftu. Zákeřný kód se šíří prostřednictvím tzv. exploitů – programů, které využívají známou bezpečnostní chybu.

Další cesta šíření je přes webové stránky nebo přes protokol elektronické pošty SMTP, a to často za aktivní účasti uživatele. Hacker naláká uživatele k návštěvě webové stránky, která se tváří jako legitimní, nicméně skrývá zákeřný kód. V případě, že nejsou nainstalovány všechny záplaty pro prohlížeč, může být PC uživatele tímto kódem infikováno. Riziko dále představuje stahování a spouštění programů z neověřených zdrojů či otevírání podezřelých příloh v e-mailu.

Na Internetu se dnes pohybuje okolo jedné miliardy lidí. Podle bezpečnostního týmu společnosti McAfee není více než polovina všech počítačů připojených do Internetu správně zabezpečena a chráněna. Jednoznačným cílem hackerů se tak stávají zejména domácí počítače, které velmi často nemají kritické záplaty systému (již na známé chyby systému či aplikace), aktualizovaný antivirový program či nepoužívají firewall. Bohužel na Internetu je i hodně společností, které ochranu svých počítačů zanedbávají.

Dále ideálním terčem jsou pro hackery počítače, které jsou připojeny k Internetu trvale prostřednictvím širokopásmového připojení. A takových počítačů přibývá.

Dle zprávy společnosti Symantec o internetových hrozbách v druhé polovině roku 2005 mezi země nejvíce infikované botem patří USA (26 procent), Velká Británie (22 procenta) a Čína (devět procent). Průměrný počet infikovaných počítačů botem je kolem 9163 za den.

K čemu lze botnet využít

Síla botnetu spočívá v tom, že kompromitované počítače provádí na povel jednotné příkazy v jednom okamžiku. Díky botnetu lze provést nárazový útok automaticky, velmi rychle a zaútočit na velké množství obětí zároveň, což pochopitelně zhoršuje vyšetřování a sledování. Již relativně malá botnetová síť (cca 1000 počítačů) dokáže plnit celou řadu úkolů. Dle odhadu expertů ovládají útočníci sedm procent z celkového počtu počítačů na celém světě, tj. cca 47 milionů strojů. Za vše hovoří případ z praxe: v říjnu 2005 byli v Holandsku zatčeni tři muži, kteří měli k dispozici botnetovou síť obsahující neuvěřitelné číslo – přes 1.500.000 počítačů!

Sítě botů se podílejí na nebezpečných útocích Denial of Service (DoS, odepření služby). Jedná se o velkou hrozbu pro ty organizace, které spoléhají na Internet jako prostředek pro komunikaci a pro generování svého zisku. Společnost Symantec zaznamenala ve druhé polovině roku 2005 průměrně 1402 DoS útoků denně, což je nárůst o 50 procent oproti první polovině roku, a za vzestupem útoků stojí pravděpodobně majitelé botnetů.

Nejčastěji je ale botnet využíván pro šíření spamu (dle skupiny Gartner Group je 70 procent spamu rozesíláno právě z botnetů). Řada vlastních sítí spammerů se dostala na černé listiny, které jsou využívány pro filtrování nevyžádané pošty. Pro spamemry je daleko výhodnější rozesílat spam z obrovské distribuované sítě. Navíc jednotlivé počítače nejsou předem tak podezřelé a je jich tolik, že jejich odfiltrování je špatně proveditelné. Zvláště zákeřnou variantu spamu pak představuje phishing za účelem vylákání citlivých informací.

Mezi dovednosti botů patří i typicky spywarové funkce jako sniffing. Bot modul změní napadený počítač v odposlouchávací stanici, jejímž prostřednictvím monitoruje síťový provoz a získaná data posílá hackerovi. Velmi oblíbené je také rozšíření botu o „keylogger“, který registruje všechny vstupy z klávesnice. Takto může hacker získat uživatelská jména, hesla, čísla platebních karet, licenční klíče apod.

Sítě botů se stále častěji uplatňují při šíření nového malwaru, jak červů, tak virů. Pro hackera je důležité, aby se nový kód rozšířil co nejrychleji. Proto je nutné jej na počátku epidemie začít rozesílat z co největšího počtu míst.

Botnety se ale dají využít i pro takové rafinované podvody, jako zneužití reklamních systémů typu pay-per-click, kde počítače napadené botem jsou zneužívány pro automatické klikání na reklamní banery a tvůrcům botu tak nesou nemalé zisky. Infikované počítače mohou být navíc kontrolovány na dálku, a lze tak upravovat seznam reklamních serverů, na které se mají soustředit, a také maximální počet kliknutí z jedné IP adresy (viz případ z praxe).

Spojení botnetů a kriminality

V roce 2000 spáchali většinu počítačových deliktů jednotlivci. V posledních dvou letech si ale organizovaný zločin uvědomil sílu a anonymitu Internetu a možnost jeho využití pro páchání deliktů bez ohledu na zeměpisné hranice. Profesionální zločinci využívají každé příležitosti, jak zneužít zranitelnosti nových technologií a mezery v obecném povědomí o počítačové bezpečnosti.

Klasické zločiny – vyděračství, vymáhání výpalného, zastrašování, krádež identity – jsou digitalizovány. Je třeba si uvědomit, že internetový zločin se zaměřuje bez rozdílu na firmy i jednotlivce.

Hackeři přišli na to, že vytváření botnetů je velmi výnosný byznys. Na Internetu se dají koupit práva k funkčním bot sítím čítajícím pět až deset tisíc počítačů za cenu 500 až 1000 dolarů. Kdo je kupuje? Třeba rozesílatelé nevyžádané pošty, jejichž příjmy nejsou malé.

Zisk může být i z pronajmutí botnetu (5 US centů za počítač) či prodeje získaných důvěrných informací, pokud nejsou přímo zneužity. Zločinci také vydírají obchodní uskupení hrozbou masivních DoS útoků a vyžadují po svých obětích výpalné. Pokud společnost nezaplatí, hrozí, že útok provedou.

Přitom k přesunu finančních částek dnes stačí pár kliknutí myší, díky čemuž je pro policii obtížné sledovat a orientovat se ve finančních transakcích zločineckých skupin.

Infekce botem

Infekce botem je v mnoha směrech podobná infekci virem. Díky velké flexibilitě však mohou boty snadněji odolávat detekci antivirových programů a odstranění botu pak může být podobné odstranění neznámého viru. Pokud přesně nevíte, co daný kód v systému provádí a jak se v operačním systému ukrývá, je v mnoha případech nejefektivnější počítač raději kompletně přeinstalovat. Přeinstalovaný počítač můžete samozřejmě připojit k Internetu až po té, co nainstalujete všechny bezpečnostní záplaty operačního systému a ostatních aplikací.

Ochrana systémů

Proti útokům je účinná aktivní ochrana, tj. udržování svého PC v „aktuálním“ stavu:

• včasné záplatování operačního systému a aplikací (zejména internetového prohlížeče),
• automatická aktualizace antivirového a antispywarového programu,
• ve firemní síti víceúrovňová antivirová ochrana prostřednictvím síťové antivirové brány a personálních antivirových systémů na uživatelských stanicích,
• ochrana připojení firewallem pro zjišťování neobvyklého provozu na síti: firewall musí být správně nakonfigurován, nesmí propustit komunikaci na žádných neotevřených portech dovnitř ani ven,
• využití systémů detekce (IDS) a prevence narušení (IPS), které upozorní na nestandardní stavy, jež mohou být způsobeny právě činností zákeřného kódu.

Útočníci se často snaží komunikovat s nezabezpečenými porty počítačů. Doporučuje se hlídat a blokovat následující porty:

• 6666 a 6667: používají se pro IRC,
• 136, 137, 138, 139: umožňují komunikaci aplikacím na různých PC,
• 593: umožňuje komunikaci mezi počítači na Internetu,
• 445: umožňuje sdílení souborů (otevřený port zneužívá škodlivý kód Sasser, Agobot, Zotob),
• 1024 a vyšší, které bývají vyhrazeny pro volné použití.

Sledujte podezřelý provoz: celá řada útoků se projeví neočekávaným nárůstem přenášených dat. To platí jak pro datové přenosy z Internetu dovnitř, tak naopak (může jít např. o komunikaci trojských koňů nebo komunikaci botů s IRC servery).

Větší množství pravidelně se objevujících chyb je podezřelé. Vyplatí se pravidelně analyzovat všechny důležité logy, případně využít automatické upozornění na potenciálně nebezpečné akce.

Při surfování na Internetu je nutné dodržovat základní bezpečnostních pravidla:

• přistupovat pouze k důvěryhodným webovým stránkám,
• neinstalovat neověřené nebo neznámé aplikace,
• před potvrzením volby řádně prostudovat, o co jde,
• nereagovat na nevyžádané e-mailové zprávy,
• neotevírat nevyžádané nebo neznámé přílohy e-mailů.

Závěr

Uživatelé osobních počítačů si často nejsou vědomi toho, že jejich počítač někdo vzdáleně ovládá, a slouží tak pro provádění neetické a často i nelegální činnosti. Kompromitace těchto počítačů pak představuje nebezpečí i pro ostatní uživatele Internetu a může mít za následek provedení útoku i na vás jako jednotlivce. Základní ochrana proti těmto útokům je tradiční – prevence a zlepšování bezpečnostního povědomí uživatelů.

Až budete zase usedat k počítači, uvědomte si, že nemusíte být jeho jedinými uživateli. Váš nezvaný a nevítaný host může sedět na opačné straně planety. Udělejte ale vše pro to, aby počítač říkal pane jen vám.