Botnetek: óriási harc dúl a PC-kért

Adam Meyers, az SRA International információbiztosítással foglalkozó mérnöke a Computer Security Institute konferencián vázolta fel a várható jövőt (ami részben már a jelen): a kutató szerint a cyberbűnözők, megvédendő pénztermelő botneteiket, egyre inkább igyekezni fognak elrejteni az észlelőeszközök figyelő tekintete elől működésüket – bevetik a titkosítás fegyverét is a harcban. A harcban, ami végső soron a mi pénzükért folyik: vagy a mindent elöntő, kéretlen reklámlevelek révén igyekeznek pénzt kisajtolni az internetezőkből, vagy a bizalmas adatok, bankkártyaszámok és azonosítók eltulajdonításával kísérlik meg ellopni anyagi javaink egy részét.

Habár áttételesen, de a jelenség már ma is tapasztalható: a Sony nagy botrányt kavart rootkitjének óvó szárnya alá már bebújt az első trójai program. Amint arról már többször is írtunk, a multinacionális kiadóvállalat lassan egy éve olyan zenei CD-ket hozott forgalomba az Egyesült Államokban, amelyekről titokban egy speciális digitális kártevő (rootkit) települ fel, ami igyekszik ellehetetleníteni a felhasználó számítógépén a(z illegális) másolást. Az XCP technika révén azonban más, rosszindulatú programok is elbújtathatók a malware-ek után kutató rendszervédelmi szoftverek elől.

Titkosított kommunikáció

Visszatérve a hétfői bejelentésre: a közeljövőben egyre inkább természetes lesz az, hogy a botok titkosítást alkalmaznak, így a hálózati adatforgalmat monitorozó eszközök számára is nehezebb lesz észlelni a tiltott adatforgalmat. Jelenleg az a leginkább elterjedt gyakorlat, hogy a hálózatokba szerveződő, botok által megfertőzött számítógépeket a digitális fenyegetés alkotója (angol terminológiában bot herder, azaz botpásztor) IRC-n keresztül irányítja: ezt a kommunikációt azonban viszonylag könnyen be lehet azonosítani.

Még. Meyers szerint nemsokára megjelenhetnek az SSH, SSL, ROT13 stb. titkosítást alkalmazó kártevők, és ez még a jobbik eset – felbukkanhat ugyanis saját fejlesztésű titkosítás is. Más szakértők ugyanakkor rámutattak, hogy a botpásztorok már 1999 óta alkalmazzák a titkosítást – néhány bot ugyanis az ezredforduló előtt is rendelkezett ilyen képességgel. Igaz, eddig nem volt általános ennek használata.

Egy adat a közelmúltból, hogy könnyebben képet alkothassunk a veszély nagyságáról: nemrég Hollandiában felszámoltak egy olyan botnetet, amely 1,5 millió (!) számítógépből állt. Azaz másfélmillió olyan PC volt egyetlen hálózatba szervezve, amelyen – az egyes gépek tulajdonosainak tudta, hozzájárulása nélkül – tiltott tevékenység, például spamtovábbítás, DoS-támadásban való részvétel stb. folyt.