20. leden, 2010 | Blog

Botnety útočí!

Boti mohou fungovat v operačních systémech Windows, Unix, Linux, Mac nebo v podstatě na jakémkoliv univerzálním počítači. Bota lze naprogramovat tak, aby poslouchal příkazy zadávané přes internet a aby plnil nejrůznější úkoly. Vlastně neexistuje nic, co by bot na počítači uživatele nedokázal.

Jak bylo uvedeno výše, většina prvních botů představovala užitečné prográmky sloužící k dobrým účelům. Současní boti jsou naprogramovaní tak, aby automaticky prováděli určité úkony a aby navíc poslouchali příkazy zadávané přes internet. To znamená, že botovi lze přikázat, aby provedl několik úkonů, a že takový příkaz lze velice rychle změnit. Server, který botovi říká, co má dělat, se obvykle nazývá Command and control (C&C). Osoba, která botovi říká, co má dělat, se obvykle nazývá „botmaster“ nebo „botherder“. Pokud máte několik počítačů, v každém je nainstalovaný bot a každý bot poslouchá stejný „command and control centre“, vznikne takzvaný botnet.

Takovou situaci si lze snadno představit na příkladu armády. Bot je voják. Každý voják přísluší k určité armádě a poslouchá rozkazy jednoho velitele. Vojáci švýcarské armády poslouchají švýcarského velitele. Vojáci americké armády poslouchají amerického velitele a tak dále.

Největší botnet na světě má Microsoft

Než se začneme věnovat odvrácené stránce botů, podíváme se na největší botnet na světě. Pokud používáte systém Windows, je váš počítač pravděpodobně součástí tohoto botnetu. Každé druhé úterý v měsíci se stovky milionů počítačů „probudí“ a začnou automaticky stahovat aktualizace zabezpečení. Většina uživatelů o tom ani neví.

Tomuto procesu se říká automatická aktualizace. Microsoft by hypoteticky mohl všem těmto počítačům přikázat, aby začaly provádět i škodlivé procesy. Například by mohl všem počítačům dát příkaz, ať smažou data. Všem počítačům s Windows by se mohl dát příkaz, ať napadnou síť Apple! Počítačům by se dále mohlo přikázat, ať rozešlou milionům uživatelů spamy. To vše hypoteticky řečeno. Skutečnost je taková, že Microsoft nic takového neudělá. To ovšem nemění nic na faktu, že Microsoft řídí největší potenciální botnet na světě.

Odvrácená strana

Jak je tedy možné, že se boti přidali na špatnou stranu? Předchůdce dnešních škodlivých botů, a tím pádem i botnetů, byl program zvaný RAT. Je to akronym pro Remote Access Tool. Smyslem tohoto programu je, že správce systému může řídit počítače v určité firmě, ale přitom nemusí sedět u každého počítače osobně.

Tvůrci malwaru si ovšem spočítali, že kdyby se jim podařilo nainstalovat klienta (malware) na cizí počítač, mohli by ho ovládat odkudkoliv na světě. Boti jsou v podstatě dálkové ovladače naprogramované k tomu, aby poslouchaly a automaticky prováděly dané pokyny.

Hromadní škůdci

Boti a botnety plní několik hlavních cílů a navíc mají i jiné potenciálně široké využití. Jejich nejběžnějším smyslem je rozesílat spamy. Pokud uzavřu s určitou společností smlouvu na rozeslání sto milionů spamů, bude to mému počítači trvat dost dlouho. Až si začnou lidé stěžovat, zablokuje mi poskytovatel internetu počítač, abych nemohl spamy dál rozesílat. Když ovšem přikážu 50 000 počítačů ve stovce nejrůznějších zemí, aby každý rozeslal 2 000 emailů, bude dost těžké jim v tom zabránit a mně nebude hrozit téměř žádné nebezpečí, že bych mohl být vystopován. Další výhodu představuje skutečnost, že se můj počítač nemusí s rozesíláním těchto emailů namáhat a já ho mohu využít k jiné práci.

Online vyděrači

Nebo jiný příklad. Každý server připojený k internetu dokáže v určitou dobu přijmout jen určité množství dat. Botmaster nebo botherder disponující 50 000 počítači může svoji armádu donutit, aby na webovou stránku zaslala obrovské množství dat. Takovému útoku se říká DDoS (Distributed Denial-of-Service). Na jeden počítač neútočí jiný počítač, nýbrž desetitisíce počítačů najednou a napadená webová stránka nedokáže poskytovat uživatelům své služby. Proč by někdo podnikal takový útok? Existuje hned několik důvodů. Například vydírání. Jakmile útočník zahájí útok, spojí se anonymně s majitelem webové stránky a nabídne mu, že útok zastaví výměnou za určitý finanční obnos. Gamblerská stránka přichází o peníze každou minutu, kterou není schopna poskytovat služby zákazníkům. Jindy zase rozesilatelé spamů spustí útok DDoS na antispamový web, aby nemohl dál blokovat spamy.

Nejznámější je Conficker

Jedním z největších botnetů současnosti je ten tvořený známým červem Confickerem. Síť tohoto botnetu tvoří přibližně 10 milionů počítačů po celém světě, a protože je Conficker stále nejčastěji šířenou hrozbou, toto číslo neklesá. Podle odhadů může botnet tvořený Confickerem denně rozeslat až 10 miliard spamů.

Botnet jako nástroj pomsty

Další motivací může být například pomsta. Propuštěný zaměstnanec by se mohl chtít pomstít bývalému zaměstnavateli a mohl by zvolit právě DDoS. Boty lze dále použít k útokům, jež jsou velice nebezpečné pro uživatele infikovaného počítače. Chce-li botherder prodávat přístup k ilegálním hudebním souborům nebo dětské pornografii, je pro něj přechovávání těchto ilegálních souborů na jeho počítači příliš nebezpečné. Počítači s nainstalovaným botem lze přikázat, aby tyto ilegální soubory stáhl a sdílel. Pachateli pak hrozí jen minimální nebezpečí. Pokud policie tyto soubory odhalí, stane se tak na počítači oběti. Následně může dojít k zatčení, soudu a odsouzení nevinných jedinců. Policisté často nemají dostatečné technické znalosti, a tak jim nemusí dojít, že přítomnost určitého programu v počítači neznamená, že si ho do něj nainstaloval uživatel.

Boj proti botnetům probíhá, například hostingové společnosti odpojují podezřelé servery, ale i přesto zhruba 50–60 % veškerého spamu mají na starosti tyto na dálku ovládané sítě. Jako velký botnet je možné označit síť, která má více než 100 tisíc ovládaných počítačů. Z pohledu antivirové společnosti probíhá boj proti botnetům na základní úrovni, tedy odhalováním nových, na dálku ovládaných škodlivých kódů. A to jak pomocí účinné heuristické analýzy, tak samozřejmě vytvářením nových vzorek (aktualizace virových databází). Protože pokud nedojde k infikování počítače malwarem, jen těžko může vzniknout nějaký bot respektive botnet.