Lovci botnetů

Botnety, komplikované sítě infikovaných a propojených počítačů, trápí snad každého uživatele internetu. Jsou totiž zodpovědné za naprostou většinu spamu. Jsou nicméně lidé, kteří se specializují na jejich hledání a ničení, často tak činí zdarma a ve volném čase.

Lovci botnetů


Andre DiMino se již odmala zajímal o počítače a o počítačové sítě zvlášť. Postupně se jeho zájem přenesl na bezpečnost a nyní využívá získané znalosti v boji proti počítačové kriminalitě. Za zlomový okamžik své kariéry označuje dobu, kdy jako systémový administrátor poměrně rozsáhlé sítě musel řešit hackerský útok zvnějšku. Tehdy začal s důkladným studiem metod útoku a následně s širšími souvislostmi problému.

Nyní bojuje rovnou proti tomu, co trápí všechny z nás – proti spamu. Přes den je to profesionální forenzní počítačový analytik, nicméně boji proti internetové kriminalitě se věnuje i ve svém volném čase, je totiž předsedou Shadowserver Foundation, což je dobrovolnické sdružení mající za cíl lov a likvidaci kyberzločinců.

Organizace vznikla v roce 2004 a od začátku detailně zkoumá život malwaru, odkud se bere, jakými způsoby a s jakým cílem působí. A nejen to, DiMino a jeho kolegové také proti malwaru aktivně bojují.

Většinu jejich času zabere vyhledávání a sledování, botnetů, což jsou sítě viry či červy infikovaných počítačů, na kterých běží bez vědomí jejich uživatele malware rozesílající spam a sloužící jako nástroj phishingu, DDoS útoků (denial-of-service) a dalších zločinných činností. Takové sítě jsou ovládány jakýmsi „botmasterem“ a takřka výhradně jsou to počítače s Windows, i když začátkem roku byly hlášeny i takto napadené Macy.

Před pěti lety byla situace jiná. Botnety pracovaly poměrně jednoduše a hlavní metodou komunikace mezi nimi bylo IRC (Internet Relay Chat), takže DiMino či jiný lovec se mohli připojit na kanál botnetu, předstírat, že jsou kyberzločinci, a monitorovat komunikaci, která vypovídala o způsobu práce i architektuře systému. Poté upozornili hostitele dotyčných zasažených sítí, kteří následně botnety odpojili.

Postupně vytvořil DiMino skupinu bezpečnostních expertů se zkušenostmi z různých oblastí počítačových činností. V současnosti má Shadowserver 10 hlavních, prověřených a vysoce spolehlivých primárních lovců v různých místech světa, kteří tvoří jádro v boji proti botnetům.

DiMino popisuje dnešní obvyklý postup v lovu botnetů. Prvním krokem je nastražení návnad, tzv. „honeypots“, což jsou nezabezpečené systémy, které mohou útočníci, respektive automatizovaný malware, snadno vypátrat a infikovat.

Jakmile je systém infikován, začnou odborníci analyzovat provoz, a to pomocí opensource nástrojů jako Wireshark, Chaosreader či Argus. Postupně zachytávají přenášené škodlivé aplikace a spam, odkud a kam směřují, koho se malware snaží kontaktovat. Probíhá také testování, jak by mohly detekční nástroje co nejlépe a nejrychleji odhalit v zasažené síti činnost škodlivých aplikací, k tomu používají například program Snort.

Používání návnad je dnes standardním postupem lovců botnetů, kteří chtějí pochopit nové trendy v činnosti internetových zločinců. Čím více pastí je nastraženo, tím více dat je možné analyzovat, na druhou stranu jejich provoz přispívá k samotnému šíření malwaru a spamu, takže Shadowserver postupuje v této oblasti velmi citlivě a co nejméně nápadně. Dílem proto, aby se sami nepodíleli na šíření škodlivých aplikací, a dílem proto, že zkušenější botmasteři jsou schopní často sami identifikovat nastražené systémy a vyhnout se jim.

Získané analyzované informace jsou pak zkompilovány a zdarma dány k dispozici provozovatelům sítí, poskytovatelům připojení, policejním a dalším bezpečnostním složkám. Samozřejmostí je kontaktování správce napadané sítě, v níž jsou botnety provozovány. Jediným požadavkem Shadowserveru při dodávání analyzovaných informací hostitelům je, že botnety skutečně odpojí.

Bývá to ale nevděčná práce. I když provozovatel sítě botnet vyřadí z činnosti, jednotlivé počítače často zůstávají nadále infikovány a botmasteři je často znovu sestaví v nový botner. Příkladem budiž případ webhostingové společnosti McColo Corp., která hostovala několik masivních spamových botnetů. Společnost byla na základě práce lovců uzavřena a množství spamu pokleslo vzápětí o 65 %, nicméně během několika týdnů se objem nevyžádané pošty vrátil na předchozí úroveň. DiMino k tomu říká, že jejich činnost je sice často frustrující, na druhou stranu oceňuje rostoucí spolupráci ze strany policie, soudů, bezpečnostních organizací i dalších zainteresovaných skupin.

Práce lovce je pro lidi s extrémní trpělivostí, odhodláním a ochotou investovat svůj volný čas pro internetovou komunitu bez nároku na finanční odměnu a často bez toho, aniž by jejich zásluhy byly oceněny širší veřejností. DiMino říká, že někteří členové jejich skupiny věnují boji proti botnetům i 12 hodin denně vedle práce či studia, které jsou jejich hlavní činností.

Steve Santorelli je členem jiné podobné organizace Team Cymru čítající 35 členů. Počítačové bezpečnosti se začal věnovat ve Scotland Yardu v oddělení boje proti počítačové kriminalitě, později začal dělat podobnou práci pro Microsoft.

Jako zlomový okamžik ve vývoji kyberzločinu popisuje dobu, kdy se místo osamělých hackerů a autorů zlomyslných virů vynořily sítě dobře organizovaných zločineckých gangů. Stalo se to přibližně ve stejné době, kdy začaly světové banky ve větší míře nabízet on-line služby. Není to náhoda, on-line bankovnictví a používání platebních karet je totiž ideálním prostředím pro krádež osobních údajů a jejich zneužití.

Boj s botnety popisuje Steve Santorelli jako velkou a komplikovanou strategickou partii šachu. Stejně jako zbrojí a manévrují protivníci na politickém či vojenském poli, i zde jednotlivé strany připravují opatření a protiopatření. Peer-to-peer botnety, například nechvalně známé Storm a Conficker, podle něj vystupňovaly boj na novou úroveň soupeření, a jediným řešením, jak si skutečně účinně poradit s dobře propracovaným zločineckým botnetem, je vystopovat a zavřít dotyčné zločince. Ti přitom jen pasivně nečekají, co vymyslí lovci, ale sami zkoumají způsoby, jakým organizace jako Cymru fungují, a snaží se jejich metody obejít. To znamená například vyhýbat se nastraženým pastem.

Santorelli také zmiňuje právní problémy. I když se lovcům podaří proniknout do botnetu, mohou ho sice z technického hlediska jednoduše odstranit, nicméně například americký soudce nemůže povolit neautorizované zásahy do počítače v Číně, která je největším světovým centrem botnetů. Nicméně je možné, že jednou přijde doba, kdy i takové zásahy budou státními orgány přinejmenším tolerovány.

Bojem proti botnetům se nezabývají jen neziskové skupiny nadšenců, ale i dobře financovaná oddělení velkých softwarových bezpečnostních firem, jako je Symantec. Její bezpečnostní divizi zodpovědnou za rychlou reakci na aktuální hrozby vede Vincent Weafer. Říká, že denně doručí 100 000 nových virových signatur. Budoucnost globálního boje proti botnetům nevidí příliš optimisticky, alespoň v krátkodobém výhledu. Podle analýz Symanteku se počet botnety infikovaných počítačů zvýšil mezi lety 2007 a 2008 na průměrných 75 158 denně.

Časy se mění, jak zdůrazňuje Vincent Weafer. Už neplatí stará představa, že viry si lidé do počítače typicky „natahají“ navštěvováním porno a warez stránek. Dnešní oblíbenou metodou zločinců je vyhledávání špatně zabezpečených běžných webových stránek a jejich infikování. Zvláště ohrožené jsou weby přebírající reklamu z externího zdroje. Ty mohou obsahovat skripty a být snadno napadeny, aniž by si provozovatel webové stránky čehokoli všiml.

Význam v tomto hraje i návštěvnost jednotlivých webů, nové a neznámé tak bývají zpočátku ušetřeny, teprve později si ti pozornější z jejich návštěvníků mohou všimnout, že jejich počítač se začal chovat divně. Tedy ti pozornější – mnoho lidí pokládá zpomalující se a chybující počítač za něco běžného, a problém s malware neřeší – pro škodu svou i ostatních uživatelů internetu.

Jak přiznávají samotní bezpečnostní experti, mít nejnovější operační systém s aktuálními záplatami a jeden z běžných antivirových programů a firewall nemusí být vůbec dostačující k ochraně počítače před malware. Útočníkovi k infikování počítače stačí, aby si uživatel spustil jednoduchý skript, ať již vědomě, či nevědomě návštěvou závadných stránek se špatně nastavěným prohlížečem. Často přitom není potřeba sofistikovaných metod, mnozí lidé si dobrovolně nainstalují a spustí malware maskovaný například jako urychlovač internetového připojení. Velmi drzé je v tomto směru například maskování malware za zdarma nabízený antivirový či anti-malware program, který ve výsledku dělá přesně pravý opak, než slibuje.

Stažený škodlivý program sestává přitom jen málokdy z jednoho malware, většinou je jich v něm vícero a ty se po aktivaci rozlezou po počítači, kontaktují svůj domácí server a začnou si stahovat další a další podobné aplikace, takové nežádoucí příbuzenstvo, kterého se uživatel jen tak nezbaví. A které z počítače udělá součást botnetu.

Na rozdíl od tvůrců virů minulosti, kteří se snažili o co nejmenší nápadnost svého programu, tedy do chvíle, než začal páchat účel, pro který byl vytvořen, dnešní malware bývá dosti hrubý a neotestovaný, mnohdy se napadený počítač a připojení k internetu zpomaluje, aplikace padají, nakonec se zasekne celý operační systém.

Botnety jsou součástí dobře organizovaného obchodu. Kdo je vytváří a udržuje, botmaster, nemusí být ten, kdo jejich služeb nakonec využívá. Místo toho jejich kapacitu pronajímá ve formě podobné Software-as-a-Service (SaaS), uživatelé pak jejich prostřednictvím šíří podvodné nabídky o lécích, zvětšení penisu, výhodném investování či převodu peněz z Nigérie. A nevypadá to, že by „Botnet-as-a-Service“ jen tak z prostředí internetu zmizel.

Jak DiMino, tak Santorelli popisují obrovský rozmach botnetů, kterému hodně napomohl i širší veřejnosti známý červ Conficker. Santorelli s obavami dodává, že Conficker se rozrůstal dosud nevídanou rychlostí, která vyděsila řadu lidí. Kvůli tomu vyvolal i obrovské mediální pozdvižení a rozsah ohrožení si uvědomila i řada běžných laických uživatelů. Nicméně DiMino dodává, že rozrůstání červu se postupně podařilo zvládnout, nicméně za mnohem vážnější pokládá, že ve skutečnosti není známo, k čemu má vybudovaná síť sloužit, ještě nebyla použita pro nějakou činnost jinou než další řízení viru. Rozsáhlá botnetová síť nemusí být využita jen pro běžné šíření virů a internetové podvody, mohou si ji pronajmout i teroristické skupiny s cílem vyřadit z provozu důležitá internetová centra.

Nicméně boj proti botnetům přináší i úspěšné momenty. V listopadu 2009 se podařilo pracovníkům malé kalifornské bezpečnostní firmy FireEye zasadit vážnou ránu botnetu známému jako Mega-D či Ozdok. Po pečlivé analýze vnitřního fungování botnetu se rozhodli analytici firmy konat a koordinovaně postupovat s dalšími zainteresovanými stranami, hlavně poskytovali připojení a doménovými registrátory. Poté spustili akci, při které postupovali proti botnetu tak rychle, že botmasteři nestihli podniknout jakoukoli odvetnou akci. Všechny hlavní kontrolní a ovládací servery Mega-D se podařilo vyřadit. Tento botnet se přitom loni řadil k deseti nejaktivnějším aktivním spambotům a díky tomuto zásahu se jeho podíl zmenšil asi na jedno procento.

Pokud nedojde k zásadním změnám ve fungování internetu a elektronické pošty, bude jen těžko možné se botnetů zcela zbavit. Nicméně díky vítězství, jako je to dosažené FireEye, je možné jejich řádění alespoň omezit.





Komentáře