Analitycy bezpieczeństwa ostrzegają iż hackerzy znaleźli sposób na działania policji, likwidującej sieci przejętych przez złośliwy kod komputerów – botnety. Obecnie budują oni botnety w taki sam sposób, jaki tworzone są sieci wymiany plików – peer-to-peer – poinformował magazyn Technology Review.
Botnety są jednym z największych zagrożeń sieciowych. Sieci o tej nazwie składają się z przejętych komputerów przy pomocy złośliwego kodu lub oprogramowania typu trojan. Mariposa – największy dotąd istniejący botnet – zlikwidowany 23 grudnia 2009 roku dzięki działaniom ekspertów bezpieczeństwa z firmy Panda Security oraz organów ścigania min. Defence Intelligence, FBI i hiszpańskiej Straży Obywatelskiej, liczył 13,7 mln przejętych na całym świecie tzw. komputerów zombie.
Według raportu analityków bezpieczeństwa z firmy Symantec, Polska jest na 8 miejscu na świecie pod względem ilości komputerów zombie, włączanych do botnetów. Botnety używane są do ataków blokujących działanie (DDOS) skierowanych na usługi, portale i strony internetowe firm, do wykradania haseł do kont i numerów kart kredytowych, rozsyłania spamu i fałszywych e-maili od instytucji finansowych – phishingu.
Dotychczas hackerzy budowali botnety korzystając z klasycznej architektury sieciowej klient-serwer. W tej architekturze jeden komputer – serwer zapewnia usługi dla wielu innych komputerów – klientów. Komputer-klient komunikuje się z serwerem wysyłając żądanie obsługi. Serwer przetwarza je i wysyła odpowiedź, w której może być zawarta instrukcja. W ten sposób zdalne serwery mogą zarządzać sieciami składającymi się z milionów komputerów
Jak pisze Technology Review działania ekspertów bezpieczeństwa oraz walczących z cyberprzestrzępczością agend rządowych przeciwko botnetom polegały na poszukiwaniu centralnego serwera bądź serwerów zarządzających poszczególnymi odcinkami sieci i wyłączaniu ich. W ten sposób botnety traciły swoje centra zarządzania i kontroli i ulegały dezintegracji.
Naukowcy ostrzegają, że hackerzy znaleźli sposób na działania policji. Zlikwidowany w połowie kwietnia br. przez FBI botnet Coreflood miał strukturę bardziej rozproszoną niż inne botnety i przez to był trudniejszy do likwidacji. “Jeśli taktyką agend rządowych w zwalczaniu botnetów będzie nadal poszukiwanie ich serwerów kontroli i zarządzania, hackerzy będą tworzyć botnety wyłącznie w architekturze peer-to-peer” – ostrzega Cliff Zou, ekspert bezpieczeństwa sieciowego z University of Central Florida w USA.
Peer-to-peer (P2P) to technologia komunikacji, w której węzłem sieci czyli jej hostem może być każdy komputer. Pełni on jednocześnie rolę klienta i serwera. W programach do wymiany plików w Internecie będących najpopularniejszą implementacją systemu peer-to-peer, każdy host spełnia jednocześnie rolę serwera – przyjmuje połączenia od innych użytkowników sieci – oraz klienta, łącząc się, wysyłając i pobierając pliki z innych hostów działających w tej samej sieci P2P. Pliki są wymieniane bezpośrednio między hostami, a wielkość sieci i jej struktura zależna jest od tego, ile i w jakim miejscu pracuje w niej aktywnych hostów.
Botnety zbudowane w architekturze P2P składają się z komputerów-zombie, z których każdy posiada listę węzłów – innych komputerów w sieci – i przesyła im informacje. Aby zarządzać takim botnetem wystarczy wprowadzić komendy do któregokolwiek węzła lub kilku węzłów w sieci. Botnet taki jest jednak możliwy do likwidacji – przez wprowadzanie do jego sieci przez policję i agendy do zwalczania cyberprzestępczosci fałszywych komunikatów, komend i plików.
Jak odkrył zespół naukowców z Los Alamos National Laboratory pod kierownictwem Stephana Eidenbenza, hackerom udało się pokonać tą przeszkodę. Zespół wymodelował bowiem na podstawie dostępnych informacji o tworzeniu botnetów nowego typu system komputerów-zombie w sieci peer-to-peer.
Jest ona tworzona z przejętych komputerów losowo układających się w hierarchię, przy czym sieć akceptuje tylko polecenia od tych komputerów, które znajdują się wyżej w hierarchii. Jednak przejęcie nawet jednego z komputerów wysoko stojących w hierarchii daje niewiele, bowiem sieć rekonfiguruje się codziennie i hierarchia się wtedy zmienia. W przypadku często stosowanego przez botnety silnego szyfrowania komunikacji pomiędzy komputerami, sieć taka jest trudna do namierzenia i zniszczenia. Jak ostrzegają Zou i Eidenbenz, powstanie wielkich botnetów tego typu jest tylko kwestią czasu.
