Ameninţări pe internet: reţelele de boţi
V-am obişnuit ca la sfârşitul săptămânii (de obicei în ziua de vineri) să prezint un scurt clip video, venit în compensaţia articolele stufoase şi prin care sper să aduc să aduc o pată de culoare, pe un blog altfel destul de tern. Aşa s-a născut ideea articolelor grupate în colecţia VINERI E VIDEO, o iniţiativă de care nu m-am dezis, însă căreia din păcate, nu i-am acordat atenţia cuvenită.
Încerc să revin la vechile obiceiuri (a nu se citi năravuri) şi vă propun un video realizat de Symantec, dedicat unei categorii de ameninţări care poate afecta orice sistem conectat la internet, şi anume reţelele de boţi> (eng. botnets).
Nu este pentru prima dată când acest termen apare într-un articol pe blogul Stefa Media, iar dacă vă mai aduceţi aminte, cu aproximativ un an în urmă, explicam (destul de succint, ce-i drept) că un bot nu este nimic altceva decât un calculator controlat ilegal de la distanţă.
Mai multe astfel de calculatoare, formează o reţea de boţi (botnet) ce este folosită îndeosebi pentru activităţi infracţionale: atacuri de tip DDoS (mulţumesc @bcman), trimiterea de mesaje nesolicitate / SPAM, tentative de phishing, răspândirea unor aplicaţii de tip keylogger, şi nu numai.
Vă las să urmăriţi filmuleţul, apoi revenim la discuţia despre despre boţi şi botnets.
Ghidul Symantec al ameninţărilor de pe internet. Reţelele de boţi (botnets)
Sunt convins că prezentarea v-a smuls cel puţin câteva zâmbete, însă v-aş propune să redevenim serioşi, şi să vedem ce-ar fi important de reţinut.
În primul rând, reţele de boţi constituie una dintre cele mai serioase ameninţări informatice.
În al doilea rând, boţii (sau roboţii) sunt programe autonome care instalează pe calculatorul gazdă, fără ştirea utilizatorului. Un astfel de sistem, devenit parte a unei reţele de boţi, mai poartă denumirea de zombi (eng. zombie), sarcina lui fiind în principal, coruperea altor sisteme şi îngroşarea rândurilor armatei de boţi.
Aceste reţele de boţi sunt controlate de către un botmaster şi folosite în activităţi criminale. De exemplu, conducătorul reţelei de boţi (botmaster-ul) poate cere sistemelor din reţea să transmită mesaje de tip spam (Symantec lansează cifra de 40% din totalul spamurilor, adică 320 de milioane de mesaje pe zi, ca fiind contribuţia reţelelor de boţi), sa lanseze atacuri DDoS (distributed denial-of-service), sau aşa cum spuneam mai devreme, sa „culeagă” informaţii confidenţiale de pe calculatoarele victimelor (date ale cărţilor de credit, conturi, parole).
Din păcate, numărul reţelelor de boţi este în continuă creştere, iar metodele de control dezvoltate de atacatorii – din ce în ce mai sofisticate. Botmasterii pot controla aceste reţele fie centralizat, P2P (peer to peer) sau aleator. Cea mai des folosită este prima prima variantă, modelul controlului centralizat, şi-am să vă explic (pe scurt fiindcă voi reveni cu un articol dedicat) ce presupune acest model.
Botmaster-ul alege dintre calculatoarele compromise pe acela care care îi conferă o capacitate de procesare importantă şi care este conectat la o reţea ce permite trafic nelimitat şi de mare viteză. Acel sistem devine centrul de comunicaţii şi control, şi prin rularea unor servicii IRC sau HTTP este folosit de botmaster pentru a ţine legătura cu toate celelalte staţii (zombii care apar în filmuleţul Symantec). Orice sistem calculator, imediat ce a devenit parte a reţelei de boţi, semnalizează centrul de comunicaţii şi control că este gata de acţiune şi aşteaptă ordine.
De cele mai multe ori, comunicaţiile dintre staţii şi centru sunt protejate printr-o parolă cunoscută doar de botmaster, aşa că este destul de dificilă interceptarea informaţiilor transmise. Nu „vedeţi” ce ordine primeşte calculatorul vostru, dar puteţi observa semne, precum timpul creşterea timpului de încărcare al paginilor web sau imposibilitatea de a accesa anumite adrese şi, în general, calculatorul nu mai răspunde aşa cum trebuie la comenzi.
Ce se poate face, ca să nu deveniţi parte a unei reţele de boţi ?
Cel mai bine este să adoptaţi un comportament preventiv, amintit în articolul despre ce sunt viruşii, viermii de internet sau troienii, material bazat de asemeni pe un clip video Symantec.
Cel mai important sfat ar fi ca atunci când primiţi mesaje electronice (e-mail-uri) şi nu cunoaşteţi expeditorul, ori acestea conţin ataşamente bizare (chestionare, felicitări electronice, fişiere pps) SĂ NU LE DESCHIDEŢI. Ştiţi ce a omorât pisica ? Curiozitatea.
Folosiţi un FIREWALL şi aveţi grijă ca acesta să rămână activat. Comodo este unul dintre cele mai bune produse de aceste fle, plus că este GRATUIT.
Actualizaţi-vă sistemul de operare şi nu instalaţi softuri provenite din surse îndoielnice.
Folosiţi o soluţie de securitate performantă şi repet acest lucru fiindcă am văzut sisteme ce încă mai folosesc versiuni arhaice ale unor antiviruşi consacraţi, doar pentru simplul motiv că au fost buni la vremea lor.
Deloc surpinzător, Symantec ne recomandă Norton Internet Security sau Norton Antibot (disponibil într-o variantă de încercare pentru 15 zile), în eu îmi permit să fiu ceva destins în recomandări şi vă spun că orice soluţie de securitate premium (adică plătită), dar şi unele dintre cele disponibile gratuit, pot fi folosite cu succes pentru combaterea acestei ameninţări informatice.
În loc de încheiere…
Discuţia despre boţi şi botnets este una mai largă, iar scopul acestui material este ca pentru început să conştientizaţi că această ameninţare există şi orice sistem conectat la internet, în lipsa unor măsuri de protecţie, poate deveni o victimă, transformându-se într-un zombi. Chiar dacă v-a plăcut filmul lui George Romero, Night of the Living Dead, sunt convins că aţi prefera să rămâneţi spectatori şi să NU deveniţi protagonişti.
Şi nu uitaţi. Toate filmuleţele Symantec sunt prezente pe canalul de Youtube al blogului Stefa Media. Vă aştept !
Materiale bibliografice:
- http://ro.wikipedia.org/wiki/Securitatea_re%C5%A3elelor_de_calculatoare
- http://www.gecadnet.ro/securitate/stiri/156.Retelele-botnet—atacul-comanda-si-controlul.html
- http://www.malwarecity.com/site/Main/listDictionary/B/
- http://en.wikipedia.org/wiki/Botnet
- http://www.avocatnet.ro/content/articles/id_67/Atacuri/DDOS.html
- http://www.symantec.com/connect/blogs/kneber-zeus
Salut Andrei.Mda,iată ceva cât se poate de serios,de luat în seama. Cresc pericolele pe zi ce trece,însă unii nu conștientizează deloc,ca pot deveni extrem de ușor victime….Întrebarea mea este: ce se poate face,cum poate fii conștientizat fiecare individ,ca lumea nu e asa cum pare tot timpul? Adevărat ce spui, rețelele de boți sunt periculoase,din păcate,se extind de la o zi la alta….Symantec atrage atenția de mai mult timp,asupra pericolului! Este binevenit articolul,așteptam o prezentare a fenomenului! STIMA.
E posibil ca placa noastra video sa fie folosita de un alt computer?
Salut. Vă mulţumesc pentru comentarii
@sergiu
Ai dreptate când spui că lucrurile nu sunt aşa de simple cum par şi tocmai de aceea am decis să tratez aspectele generale, mergând apoi pe ideea că ce este universal valabil se aplică şi în cazurile particulare.
Amabil ca întotdeauna
@ads
Destul de criptică întrebarea. Bănuiesc că te referi la folosirea neautorizată a unor resurse „remote”, în genul celor descrise în articol. Posibilitatea există, însă e foarte puţin probabil, fiindcă nu placa video reprezintă cea mai valoroasă resursă.
Bun articolul!
Saptamana trecuta am avut de-a face cu un astfel de botnet. Cineva a avut acces la un cont de hosting de pe un server si a incarcat un script care era apelat apoi de la mai multe IP-uri si trimitea prin POST siteul care trebuia atacat. Am ajuns sa blochez din firewall mai mult de 3500 de IP-uri care trimiteau cererile de atac.
Salut Agkelos
Mulţumesc pentru aprecieri. Articolul este menit să tragă un semnal de alarmă, însă mi-e teamă că tot cei care au avut de-a face cu acest de probleme sunt atenţi… restul mergând pe deja clasicul principiu al „formatării”.
Ieri citeam o ştire despre autorităţile din Spania care au reuşit să aresteze 3 suspecţi în cazul „Mariposa”, cea mai mare reţea de boţi. Aproape 13 milioane de calculatoare au fost infectate, fiind afectate peste 1000 de companii şi 40 bănci importante, atacatorii obţinând date extrem de importante. http://hosted.ap.org/dynamic/stories/U/US_TEC_BOTNET_BUSTED?SITE=AP&SECTION=HOME&TEMPLATE=DEFAULT&CTIME=2010-03-02-14-26-32
ok. nu stiu de are legatura neaparat cu articolul in cauza dar acum aproximativ 2 luni am avut parte de un “conflict ip” generat de faptul ca un mic hacker (ratat, dar consecvent in a-si atinge scopurile) mi-a scanat (cu un soft specializat, presupun) ip-ul si mac-ul. la vremea respectiva minimizam importanta unui firewall (“n-am nush ce date sa-i intereseze pe altii”) si nu aveam decat antivirus …si ala mse
. insa omuletul respectiv nu era interesat de date ci sa descarce fisiere de pe torrente de pe ip-ul meu. consecinta a fost ca accesul meu la retea a devenit imposibil : google se incarca in 5 min.
intrebarea este : un firewall (online armor folosesc acum, cu setari standard) te poate proteja impotriva atacurilor de genul asta?
@happyday
Asta e o problemă care ţine exclusiv de cei care gestionează reţeaua, ei fiind obligaţi să protejeze intimitatea fiecărui client. Faptul că respectivul a putut să cloneze mac-ul şi să utilizeze acelaşi IP (dar dintr-o altă locaţie / nu cred că eraţi vecini), arată că există o problemă în ce priveşte securitatea respectivei reţele. Am păţit-o şi eu, cel mai eficient mijloc de protecţie este folosirea unu sistem PPPoE (cu identificare Şi prin parolă, nu doar prin MAC).
@andrei
Daca controlezi o retea de boti (botnet) atacul astfel realizat este DDoS (distributed denial of service) nu DoS (denial of service). In rest foarte bine realizat articolul. Tot timpul mi-au placut aceste filmulete de la Symantec
Salut @bcman
Mulţumesc pentru comentariu şi pentru faptul că mi-ai atras atenţia. Am corectat, şi în plus, am găsit un articol destul de bine realizat despre atacurile DDoS.