Ботнеты: беда, откуда не ждали |
07:08:2012 г. | |
Члены Industry Botnet Group (IBG, industrybotnetgroup.org), организации, созданной зимой 2012 года для борьбы с бот-сетями, решили самым активным образом обмениваться информацией и обучать заинтересованные стороны методам противодействия этой напасти. Представители IBG при поддержке департамента США по национальной безопасности, Федеральной торговой комиссии США и Национального альянса кибербезопасности начинают кампанию под девизом, который можно вольно перевести так: «Сохраним машину в чистоте» (Keeping a Clean Machine). Тяжелая артиллерия введена в бой не случайно, ибо локальными заплатками, похоже, решить проблему уже невозможно. Да и как не объявить войну, если сегодня, по оценке Майкла Де Чезаре (Michael DeCesare), сопрезидента по безопасности McAfee, только в США заражено порядка 5 млн компьютеров, что составляет около 10% национального компьютерного парка. Как сказал от имени IBG Лисил Франц (Liesyl Franz), вице-президент по политике кибербезопасности компании TechAmerica, «ни один субъект уже не может бороться с этими вызовами безопасности в одиночку». Его точку зрения вполне разделяет Ховард Шмидт (Howard Schmidt), координатор по кибербезопасности администрации Обамы: «Проблема ботнетов важнее, чем какая-либо индустрия или страна». Утверждение, возможно, и спорное, но все же.
Поскольку дело действительно нешуточное —раз уж вызвало обеспокоенность даже чиновников в Белом доме,давайте хотя бы в общих чертах ознакомимся с тем, что же это за новая мировая угроза, на борьбу с которой вострят копья даже мало кого боящиеся американские империалисты.
Ботнет — как явствует из названия —это сеть зараженных компьютеров, то есть компьютеров, превращенных в роботов (bot), находящихся под внешним управлением или под управлением зловредного программного кода, внедренного в систему тем или иным способом. Определение, конечно, не претендует на абсолютную точность, но позволяет понять общую идею. «Чистый компьютер» (воспользуемся термином, на котором настаивает IBG) находится под управлением программного обеспечения-системного и прикладного,в ходе функционирования которого юзер вносит те или иные коррективы (в частности, когда пользуется какой-то программой или же осуществляет настройку операционной системы). Ни компьютер как таковой (представляющий из себя, в сущности, груду пластика и металла), ни операционная система не имеют ни малейшего представления о том, что ход работы определяет и задает человек. На системном уровне есть только команды центрального процессора и более ничего. Поэтому центральному процессору, собственно, безразлично, кто ему послал ту или иную команду. Команда получена, надо ее выполнить. Подключенный к сети компьютер обменивается служебной информацией с сетью: может передавать потоки данных (например, во время FTP-сеанса), может получать данные, в том числе и команды. Никакого криминала в этом нет, пока выполняется одно условие, а именно: все эти операции должны осуществляться с санкции хозяина компьютера. Обычно для этого необходимо ввести логин и пароль. Однако, понятное дело, логин и пароль теоретически можно подобрать и получить удаленный доступ к компьютеру без ведома хозяина. Получив доступ, взломщик может загрузить на взломанный ПК специальную программу, которая в дальнейшем под чутким руководством злоумышленника позволит удаленно делать с компьютером все что угодно: скачивать с него любые файлы, загружать и запускать программы, редактировать реестр. Такие софтины, которые как бы предоставляют своему автору возможность открыть «заднюю калитку» в чужой компьютер, получили общее название Backdoor. Наиболее известны бэкдоры NetBus и Back0rifice2000, поразившие компьютерный мир в 1998-1999 годах.
Недостаток бэкдоров заключался в том, что их владелец сам должен был индивидуально подключаться к взломанному компьютеру для проведения тех или иных манипуляций с ним. Когда взломана пара-тройка компьютеров, особой проблемы нет. А если речь пойдет о десятках, сотнях, а то и тысячах? Само собой, явилась идея о том, что было бы удобно таким образом модифицировать бэкдор, чтобы взломанный компьютер сам выходил на связь в момент подключения к сети. Например, чтобы десятки зараженных компьютеров самостоятельно подключались к компьютеру хозяина, который видел бы их online, при помощи какого-нибудь сетевого протокола типа Telnet. Такую сеть зараженных компьютеров было организовать тем проще, что уже с начала 90-х существовал протокол IRC (Internet Relay Chat), позволявший обмениваться сообщениями в режиме реального времени. Таким образом, вся технология создания первых ботнетов заключалась в следующем: необходимо было каким-то образом внедрить вредоносный код (основу которого составлял бэкдор), после чего этот код при каждом сеансе связи подключал зараженную машину к некоей IRC-сети, а владелец этой сети «видел» все включенные в нее машины. Соответственно, хозяин сети через установленный IRC-канал мог посылать зараженным машинам —их несколько театрально стали называть машины-зомби —команды, причем как всем зомби сразу, так и каждому в отдельности. Подобные IRC-сети (т. е. первые ботнеты) еще не представляли такой угрозы, чтобы на них обратили внимание в администрации Белого дома. Зато, как вспоминают старожилы, IRC-сетями заинтересовались другие злодеи. В полном соответствии со святой заповедью всякого вора —про смену признака владения дубинкой —некоторые злоумышленники «воровали» сами IRC-сети, которые в поте лица создавали другие злоумышленники. Для этого похититель искал IRC-канал, где было очень тесно от посетителей (что всегда подозрительно), анализировал причину такой активности, перехватывал управление и становился новым владельцем. Всего и делов-то.
Прежде чем мы двинемся дальше в изучении истории и принципов функционирования современных ботнетов, зададимся вопросом: а что такого «полезного» может дать ботнет своему хозяину, чтобы стоило тратить силы на его создание, поддержку и модификацию? Более детально с криминальной индустрией зомби-сетей мы познакомимся в отдельной статье, а сейчас «галопом по Европам» коснемся основных фишек. Итак, что же может осуществить злоумышленник, имея в руках ботнет, в который включены тысячи компьютеров? Первое, что приходит на ум, —это, разумеется, старый добрый спам. Как считают эксперты из уважаемой «Лаборатории Касперского», сегодня более 80% спама рассылается при помощи ботнетов. Среднестатистический спамер зарабатывает своим ремеслом около $100 ООО в год. Впрочем, некоторые считают, что эта цифра сильно занижена. Ботнеты широко используются также для проведения DDoS-атак (Distributed Denial of Service —распределенная атака типа «отказ в обслуживании»), В ходе атаки тысячи зараженных машин, включенных в зомби-сеть, отправляют ложные запросы на конкретный сервер, перегружая его и делая недоступным для пользователей. Иногда целью атаки является шантаж —за некую мзду хозяин ботнета готов «решить возникшие проблемы» хозяина сервера, подвергшегося атаке. Нередки также и случаи выведения из строя социальных сетей, с тем чтобы мешать активным массам пользователей координировать свои действия (многие уверены, что неполадки в российском сегменте известного блог-сервиса LiveJournal.com накануне массовых выступлений оппозиции связаны с DDoS-атаками правительственных служб).
Также ботнеты служат для следующих видов киберпреступлений: фишинг, т. е. подмена страниц для получения, например, номеров кредитных карт; анонимный удаленный взлом, когда несанкционированный доступ к вебсайтам или воровство денежных средств со счетов осуществляется через зараженные машины, входящие в ботнет; кража конфиденциальных данных, наконец, владельцы ботнетов могут сдавать в аренду или продавать свои сети (например, для осуществления тех же DDoS-атак). Но продолжим рассказ об истории ботнетов. Думаю, нет ничего странного в том, что с ростом интернета злоумышленники, занимающиеся ботнетами, перенесли свои усилия во Всемирную паутину. Первоначально средства удаленного управления стали разрабатываться на основе популярных языков Perl и РНР. Оно (управление) основывалось на установлении HTTP-соединения с сервером. Таким образом, стали появляться веб-ориентированные ботнеты. Они хороши тем, что управление ими не обязательно осуществлять через компьютер как таковой. Для доступа к веб-ориентированным ботнетам подойдет любое мобильное устройство с выходом в интернет, поддерживающее WAP / GPRS, да хотя бы тот же мобильный телефон. В процессе создания ботнетов разработчики (будем называть их этим термином, хотя правильнее называть их бандитами) пришли к выводу, что классическая топология ботнета —один управляющий центр с множеством подключенных зомби-машин —в высокой степени уязвима. Достаточно соответствующим службам, борющимся с киберпреступностью, вычислить и заблокировать управляющий центр, как вся бот-сеть становится потерянной для хозяина. Таким образом, киберпреступники естественным образом пришли к идее построения ботнетов на основе децентрализованных сетей р2р (peer-to-peer). Первый крупный проект ботнета на основе р2р появился в 2007 году. Он вошел в историю под названием «Штормовой ботнет» и доставил немало головной боли службам, борющимся с подобными творениями «человеческого гения». |
« Системы контроля доступа | Как защитить данные на компьютере? » |
---|