Botnety jsou všude kolem nás

Online verzi zprávy OECD najdete na jejích stránkách [PDF, 1,56 MB], zkrácené shrnutí závěrů na webu New Scientist.

I když podle OECD je asi 93 % všech infikovaných počítačů v domácnostech, společnost Mi5 Networks uvádí, že boti se dnes usídlili dokonce i ve zhruba 2/3 podnikových sítí – a ve všech zkoumaných univerzitních. OECD uvádí, že malware se dnes nachází zhruba v polovině amerických PC (tedy nakaženo je asi 59 milionů počítačů). Úplně jiný postup sledování počítačů zvolila společnost Eset, výsledek však byl překvapivě podobný – infikována jich byla přibližně polovina.

Zpráva OECD kvantifikuje, že zombie-počítače jsou odpovědné za zhruba 80 % rozesílání spamu a útoků DDoS (více viz také článek Jak se dělá phishing). Tohle číslo může působit trochu zvláštně – kdo je odpovědný za zbytek, to spameři užívají své vlastní počítače? – ale na tom, zda je to 80 nebo 99 procent, zase tolik nezáleží. Zajímavé je, že OECD uvádí i odhadovanou cenu pronájmu počítače-zombie, který je součástí botnetu, a to na 33 centů. To je i dnes při poklesu cen hardwaru na pohled velmi málo. Pro „zájemce“ jsou tak zombie dobře dostupné, na trhu se zdá existuje spíše převis nabídky. I to ukazuje, jak jsou boti rozšíření. Jeden z největších botnetů zvaný Kraken by podle společnosti Tipping Point mohl zahrnovat až půl milionu počítačů. Zpráva OECD tvrdí, že největší botnety ovládají počítačů i přes milion.

Botnety a obdobné nástroje jsou dnes přitom prodávány jako služba; od časů script kiddies došlo k dalšímu posunu. Ekonomika kybernetického zločinu kopíruje ekonomiku legální (i méně inovativní odvětví ekonomiky nelegální). Například takový trojský kůň Zeus se nyní pronajímá i s doprovodnými službami, opravami, aktualizacemi a zákaznickou podporou. Sice těžko chápat, jak se někdo na takové „služby“ od může spoléhat, ale nakonec nějak asi funguje i byznys nájemných vrahů. Možná vzhledem k zákazníkům dodržují i nějakou profesionální etiku (alespoň to tvrdí část detektivní literatury).

OECD se domnívá, že proti zločinu, který působí přes hranice, mohou být jen těžko účinné akce omezené na jednotlivé země. Ne snad, že by takový postup nemohl nikdy fungovat, dokonce tu a tam přinese výsledek i v zemích, kde bychom to nečekali. Když nedávno Nigerijec Akeem Adejumo pronikl do sítě NASA, kontaktovala americká justice nigerijské orgány a soud v Lagosu poslal provinilce promptně do vězení. To byl nicméně jednoduchý případ individuální akce – proti botům působícím dnes prakticky odkudkoliv lze takto postupovat jen obtížně. Na koho by se vlastně měla policie ze státu, v němž došlo k útoku, obrátit o pomoc?

Bez ohledu na to, zda státy mají vlastní orgány určené speciálně pro boj s internetovou kriminalitou, bude problém podle OECD třeba řešit na mezinárodní úrovni. Jeden z takových kroků podniklo nedávno NATO, když zřídilo v Estonsku mezinárodní centrum určené pro boj s kybernetickými hrozbami. Nicméně organizace NATO současně uvedla, že jednotlivé státy jsou samy odpovědné za to, aby si chránily svoji kritickou infrastrukturu. Zde se nabízí otázka, co je to vlastně „kritická infrastruktura“  – kybernetické útoky v Estonsku směřovaly loni mj. proti bankám nebo největším deníkům; jsou kritickou infrastrukturou i sítě soukromých subjektů? Mezinárodním bojem proti kybernetickému zločinu se zabývá i iniciativa CSIRT, jejíž zastoupení nyní buduje i Česká republika.

Nicméně mezinárodní postup proti kybernetickému zločinu naráží na řadu těžkostí. Státy si pochopitelně žárlivě střeží své kompetence a suverenitu. V rámci stávajících mezinárodních úmluv musí policie jednoho státu nejprve kontaktovat policii státu jiného atd. I v případě existence nějakých mezinárodních kontaktních center je takový postup poměrně zdlouhavý. Navíc jej lze jednoduše použít jen v případě, že zločinec z jednoho státu provádí své rejdy jinde, jak ale takto postupovat proti mezinárodní síti botnetů?

Co se pak týče vlastního přijímání mezinárodních úmluv, příslušné procedury jsou zoufale pomalé – alespoň vzhledem k tomu, jak proměnlivý je samotný Internet. Například práce na Úmluvě o kybernetickém zločinu (iniciativa evropských zemí) začaly v roce 1997, první ratifikace se odehrály až o 4 roky později. V roce 2005 stále nebylo vyřešeno připojení ani jediné mimoevropské země. Existují i další překážky. Když výzkumníci z firmy Tipping Point podle svého tvrzení nedávno ovládli botnet Kraken, neodvážili se nakažené počítače čistit, protože by se tak vystavili možnému obvinění z neoprávněné manipulace s cizím zařízením.

Samozřejmě vůbec není jasné, zda by boj s kybernetickou kriminalitou mohla zastřešit nějaká mezinárodní organizace, zda by byla schopna postupovat efektivně a ke spokojenosti jednotlivých zemí. Jaká zde pak zbývají řešení? Pochopitelně s kybernetickou kriminalitou budeme nějak žít podobně jako s kriminalitou normální. Nicméně jedna varianta budoucího vývoje se zde přesto nabízí. Kybernetická kriminalita stojí hodně peněz například banky, které musí řešit reklamace, neustále jim hrozí ztráta kreditu (i v případě, že chyba je na straně uživatelů). Lze si proto představit, že v budoucnu bude třeba přístup k online bankovnictví omezen na zařízení, která splní určitá pravidla zabezpečení. Dalším, kdo by v těchto záležitostech mohl hrát aktivnější roli, jsou poskytovatelé Internetu a vlastníci fyzické infrastruktury. Spam a útoky DDoS dnes možná představují až 10 procent internetových přenosů. Firmy by měly také vyhubit boty ve své vlastní infrastruktuře, i když těžko říct, zda je efektivní něco takového vyžadovat zákonem.

A nakonec – blíží se doba, kdy PC ztratí dominantní pozici v roli internetového klienta. Samozřejmě, že chytré telefony a další zařízení s sebou přinášejí další bezpečnostní rizika, nicméně zde stále platí, že jsou z hlediska funkčnosti relativně omezená. Proto z nich snad nebude tak snadné udělat části botnetu.