Jak łatwo zarazić się w sieci

Rozsyłanie spamu, kradzież danych, blokowanie serwisów internetowych – tym zajmowała się sieć 300 tys. komputerów podłączonych do Internetu na całym świecie. Podobno sterowało nimi dwóch hakerów z Polski – Xmax i Adx, zarabiając na swojej działalności nawet milion złotych rocznie. W drugiej połowie 2012 r. byli odpowiedzialni za 5,5 proc. wszystkich zarażeń złośliwym oprogramowaniem na świecie. Byli na szczycie, dopóki 23 polskich domen, dotąd kontrolowanych przez obu hakerów, nie przejęły w styczniu tego roku Naukowa i Akademicka Sieć Komputerowa (NASK, pełni funkcję krajowego rejestru nazw internetowych w domenie „.pl”) i będący jej częścią zespół ds. bezpieczeństwa internetowego CERT Polska. Tym sposobem udało się unieszkodliwić botnet o nazwie Virut. Botnety są tworzonymi przez cyberprzestępców zdalnymi sieciami komputerowymi, w których skład wchodzą komputery, a ostatnio nawet smartfony, należące do nieświadomych niczego właścicieli. W ciągu kilku lat opanowały Internet. Skali zjawiska nie da się dokładnie ocenić – wiadomo tylko, że jest ogromna. Szacuje się, że liczba komputerów należących do botnetów wynosi od kilku do kilkudziesięciu milionów w skali globalnej. O botnecie Storm (przestał działać w 2008 r.) eksperci mówili, że prawdopodobnie mocą obliczeniową w szczytowym momencie działalności dorównywał Blue Gene/L (478 teraflopów), najpotężniejszemu istniejącemu wówczas superkomputerowi na świecie. Z opublikowanego ostatnio przez PandaLabs, firmę zajmującą się bezpieczeństwem IT, dorocznego raportu wynika, że prawie 40 proc. polskich komputerów podłączonych do Internetu jest zarażonych szkodliwym oprogramowaniem (trojanem, robakiem, wirusem). Oznacza to, że również nasz może należeć do botnetu. – Z przeprowadzonych przeze mnie badań wynika, że po pierwszym uruchomieniu niechronionego komputera podłączonego do Internetu wystarczy 5–15 min, aby się czymś zaraził – mówi Krzysztof Cabaj, adiunkt w Instytucie Informatyki Politechniki Warszawskiej. – Obecnie napotykamy botnety specjalizujące się w atakach na polskich internautów. W ciągu ostatniego roku obserwujemy również wzrost liczby rejestracji domen internetowych w Polsce, które mają służyć wyłącznie sterowaniu botnetami – podkreśla Piotr Kijewski, kierownik zespołu CERT Polska. Złamać włamywacza Botnety nie są zjawiskiem nowym – przynajmniej nie dla specjalistów zajmujących się ich zwalczaniem. Rik Ferguson, dyrektor ds. badań nad bezpieczeństwem komunikacji w Trend Micro, japońskiej firmie zajmującej się bezpieczeństwem IT, wskazuje, że pierwsze pojawiły się już pod koniec lat 90. XX w. ZeuS, Koobface, Conficker, Srizbi, Grum to przykłady botnetów, które buszowały po Internecie w ostatnich latach. Najczęściej bywają wykorzystywane przez botmasterów, czyli ich twórców i/lub kontrolerów, do produkcji spamu, kradzieży pieniędzy z kont bankowych i newralgicznych danych oraz wyświetlania płatnych reklam. Radzenie sobie z botnetami to skomplikowana sprawa. Przykładowo: unieszkodliwienie Viruta odbyło się za pomocą tzw. sinkholingu. W uproszczeniu mówiąc, metoda ta polega na tym, że najpierw przejmuje się domeny należące do botnetu. Następnie, zamiast je wyłączyć, przekierowuje się z nich ruch sieciowy na komputery, np. CERT, i przejmuje kontrolę nad zarażonymi komputerami. Dlaczego opanowanego botnetu nie można po prostu wyłączyć? Otóż, po pierwsze, tym sposobem można się dowiedzieć, ile i jakie komputery wchodzą w jego skład. Poza tym jest to skuteczna metoda na utrudnienie odrodzenia się botnetu. W przypadku wyłączenia domen botmaster mógłby po prostu zarejestrować nowe i odzyskać za ich pomocą kontrolę nad zainfekowanymi maszynami. Inna sprawa, że zarażonych komputerów nie można również zwyczajnie uleczyć, podając przez Internet cyfrową szczepionkę. Powodem są kwestie prawne – zdalne próby naprawienia komputerów byłyby nielegalne. I może też niebezpieczne. – Co będzie, jeśli zainfekowany komputer używany jest podczas operacji w szpitalu i nagle, w czasie zdalnego oczyszczania, przypadkiem się zawiesi? Kto odpowie za skutki? – pyta Kijewski. Dlatego z reguły powiadamia się dostawców internetowych (ISP) o zarażonych użytkownikach będących ich klientami, i tyle. Większość unieszkodliwionych metodą sinkholingu botnetów zostaje tą drogą skazanych na dożywocie. To znaczy, że istnieją dalej, ale nie są aktywne. Pomimo tych ograniczeń sinkholing przynosi wymierne skutki. W 2008 r. Marshal, amerykańska firma zajmująca się bezpieczeństwem sieciowym, oceniła, że sześć botnetów odpowiada za 85 proc. spamu wysyłanego w Internecie. Specjalizująca się w zwalczaniu złośliwego oprogramowania firma Symantec w 2009 r. podwyższyła ten wskaźnik do 90 proc. Tę ocenę potwierdza analiza przygotowana przez Briana Krebsa, uznanego dziennikarza zajmującego się bezpieczeństwem IT. Ustalił on, że po zlikwidowaniu siedmiu największych botnetów natężenie spamu w Internecie spadło z sześciu trylionów wiadomości wysyłanych miesięcznie do nieco poniżej jednego tryliona. Elektroniczne śmieci to jednak zaledwie ułamek ich działalności. Na innych polach zmagania z botnetami przypominają walkę z wiatrakami. W dużej mierze dzieje się tak dlatego, że botmasterzy są często o krok przed ścigającymi ich ekspertami. Wyścig zbrojeń – Obserwujemy obecnie, że powstają coraz mniejsze botnety, aby trudniej je było wykryć – twierdzi Rik Ferguson. W Internecie od kilku lat pojawiają się również botnety wykorzystujące sieci rozproszone (peer-to-peer, p2p), czyli takie, które nie są kontrolowane z jednego serwera dowodzenia. Każdy wchodzący w ich skład komputer może pełnić tę funkcję, co powoduje, że trudniej ustalić tożsamość botmasterów i im przeciwdziałać. – To oznacza, że nie ma jednej wtyczki, którą wystarczy wyciągnąć, aby wyłączyć taki botnet – podkreśla Cabaj. W maju zeszłego roku na serwisie informacyjnym Reddit botmaster o pseudonimie throwaway236236 opisał, jak stworzył liczący ok. 10–15 tys. komputerów botnet Skynet, którym sterował przy użyciu sieci TOR (jest stosowana m.in. do omijania cenzury). – Takie rozwiązanie uniemożliwia ustalenie położenia serwerów dowodzenia i kontroli – wyjaśnia Candid Wüest, specjalista ds. bezpieczeństwa z firmy Symantec. Zmienia się również sposoby komunikacji z botnetami na takie, które wzbudzają mniej podejrzeń firm antywirusowych lub ISP. Pierwotnie używano do tego kanałów IRC, ale obecnie spekuluje się na temat wykorzystania w tym celu Twittera i innych sieci społecznościowych. Pojawiają się także botnety oparte na komunikacji poprzez protokoły HTTP i DNS. Są one trudne do wykrycia i zablokowania, bo z używanych przez nie protokołów korzystamy na co dzień przy przeglądaniu stron internetowych. Za tymi zmianami idzie także poszerzenie obszarów zainteresowania botmasterów. TigerBot to botnet kontrolowany za pomocą esemesów, zarażający telefony z systemem Android, CommWarrior atakuje urządzenia z systemem operacyjnym Symbian (np. Nokia), Zimo, czyli wariant znanego botnetu ZeuS, koncentruje się na platformach Blackberry. Pewien botnet w styczniu br. zaraził ponad milion smartfonów z Androidem w Chinach. A to zapewne dopiero początek. Urządzenia mobilne są atrakcyjnym celem dla cyberprzestępców, ponieważ są słabo chronione, zawierają wiele cennych danych (coraz częściej są przecież stosowane do obsługi naszego konta bankowego i płacenia w sklepie), a ich użytkownicy rzadko kiedy mają pojęcie o czyhającym na nich w sieci zagrożeniu. Trend Micro w 2012 r. zidentyfikowała ok. 350 tys. złośliwych aplikacji wymierzonych w system Android. Eksperci prognozują, że w 2013 r. ich liczba zwiększy się do miliona. Ogromna popularność produktu Google z pewnością będzie przyciągać cyberkryminalistów. Botnety pojawiają się także w roli głównych bohaterów o wiele groźniejszych historii niż kradzież pieniędzy z konta internauty. W styczniu 2013 r. rosyjska firma antywirusowa Kaspersky Lab ujawniła przed światem Czerwony Październik – sieć, która od 2007 r. szpieguje i wykrada sekretne informacje m.in. z komputerów urzędników państw członkowskich NATO. W październiku 2012 r. amerykańska firma RSA, specjalizująca się w cyberbezpieczeństwie, poinformowała o tzw. Projekcie Blitzkrieg. Miał to być skoordynowany atak botnetów należących do blisko 100 botmasterów, na 30 banków w USA. Akcja podobno została odwołana z powodu nagłośnienia całej historii przez media. Systemy nie nadążą Stosowanie najnowszych programów antywirusowych ani nawet sinkholing nie wystarczą do wygrania wojny z botnetami. – Główną motywacją w tworzeniu botnetów są pieniądze. Im krócej da się