Botnet

Da Wikipedia, l'enciclopedia libera.

Una botnet è una rete controllata da un botmaster e composta da dispositivi infettati da malware specializzato, detti bot o zombie.[1]

I dispositivi connessi ad Internet al cui interno sussistono vulnerabilità nella loro infrastruttura di sicurezza informatica possono talvolta diventare parte della botnet, e, se l'agente infettante è un trojan, il botmaster può controllare il sistema tramite accesso remoto. I computer così infettati, possono scagliare attacchi, denominati, Distributed Denial of Service contro altri sistemi e/o compiere altre operazioni illecite, in taluni casi persino su commissione di organizzazioni criminali.[1]

Applicazioni delle botnet[modifica | modifica wikitesto]

Applicazioni legali[modifica | modifica wikitesto]

In generale il termine viene utilizzato per quelle reti in grado di agire con sincronia ed autonomia per fini illegali, ma esistono botnet legali usate per il calcolo distribuito e per studiare la diffusione del malware.

Applicazioni illegali[modifica | modifica wikitesto]

Le botnet a volte compromettono i computer in cui le difese di sicurezza possono essere violate, come per esempio, credenziali di accesso deboli o corte, firewall mal configurati o software server vulnerabili, per cui il controllo viene ceduto al botmaster, in grado di dirigere le attività di questi computer tramite protocolli di rete come IRC e HTTP/HTTPS.

Alcune botnet possono essere affittate da criminali informatici per una varietà di scopi, come ricatti, attentati e la conservazione di materiale illecito come ad esempio la pedopornografia.

Modalità di funzionamento e uso[modifica | modifica wikitesto]

Tali malware/trojan specializzati, non appena hanno assunto il controllo del sistema, devono poter fornire al proprio autore i dati fondamentali relativi al sistema infettato. Per fare ciò spesso sfruttano, per fornire un'accesso esclusivo all'autore, i canali IRC connettendosi ad un canale privato protetto da password. Tramite il canale di chat l'autore è in grado di controllare contemporaneamente tutti i sistemi infetti in ascolto sul canale, i quali possono essere anche decine di migliaia, e di impartire a questi ordini, richiedendo immagini dello schermo, indirizzo IP o, ad esempio, fornendo l'hostname/IP di una vittima da attaccare tramite DDoS. I botmaster possono anche controllare i computer zombie tramite le sofisticate reti peer-to-peer , persino con Skype, e quindi con protocolli binari e crittografati. Se il bersaglio si trova dietro un firewall ben configurato , per eludere i controlli, è anche possibile che venga usato il protocollo HTTP/HTTPS, dato che la porta 80 è si trova nella whitelist dei firewall di quasi tutti gli utenti: il collegamento sfrutta un server intermedio specializzato che supporta il protocollo direttamente o lo usa come incapsulamento per altri protocolli che devono restare nascosti.

Questi malware sono spesso programmati in modo da spiare il sistema infetto come se fossero spyware, intercettando password ed altre informazioni private ma utili all'attaccante. Possono anche offrire accesso alle macchine infette tramite backdoor oppure offrire servizi proxy che garantiscono l'anonimato in rete a discapito della banda della rete infetta.

Un uso più sofisticato delle botnet è come proxy verso un sistema compromesso: i bot infatti spesso vengono ripuliti dal malware, ma se l'attaccante installa un server su una di queste macchine e ne perde il controllo il danno per lui può essere rilevante. Per ridurre queste penalità, una tecnica usata recentemente è quella del fastflux[2] in cui una macchina fuori dalla botnet fa girare un finto server (per esempio per fare dello spoofing) e le macchine della botnet fungono solo da proxy verso questa macchina.

Con l'aumentare del numero di sistemi compromessi, l'attaccante può sfruttare sempre più potenza di calcolo al fine di indovinare le password dei sistemi che prima risultavano impervi tramite il calcolo distribuito.

Meccanismi di protezione botnet[3][modifica | modifica wikitesto]

I malware C&G (Command and Control), punto di forza dell'infrastruttura, possono essere anche una debolezza: i mezzi per accedervi devono essere protetti da altri pirati informatici. Questo livello di protezione è garantito tramite:

Domain Fluxing[3][4][modifica | modifica wikitesto]

Per evitare che i domini che consentono l'accesso alle macchine infette vengano bloccati, l'attaccante può usare software che genera dinamicamente nomi di dominio sempre differenti ed usa un proprio sistema DNS. Avendo il controllo sui record DNS, il malware può scambiare velocemente gli IP a cui puntano i nomi di dominio, puntare domini verso altri domini o ancora rinominare ad intervalli causali i domini seguendo un pattern prevedibile dal malware. Questi sono tutti elementi del domain fluxing, usato spesso assieme ad architetture robuste (come stella, multi-server, gerarchica e randomizzata) per evadere i blocchi delle autorità e degli Fornitori di Servizi Internet.

Modello client-server[modifica | modifica wikitesto]

Una rete basata sul modello client-server, dove i singoli clienti richiedono i servizi e le risorse da server centralizzatidefault

Il modello client-server è apparso sui primi tipi di Internet botnet ed è stato generalmente basato su IRC o su siti web contenenti liste di comandi predefinite. IRC è un protocollo testuale facile da implementare e le botnet basate su esso hanno agenti infettanti vantaggiosamente piccoli, che richiedono poca banda di rete e utilizzano metodi semplici per la comunicazione. Questo tipo di canale, però, può essere inibito da semplici filtri basati su parole chiave, anche se l'agente crea nuovi canali di chat casuali: infatti la maggior parte delle grandi botnet usavano domini ed hosting protetto anziché IRC nella loro costruzione (vd. Rustock botnet, Srizbi botnet).

Con il tempo il modello client-server è diventato troppo facile da bloccare ed i botmaster hanno optato per l'uso di protocolli peer-to-peer.


Peer-to-peer[modifica | modifica wikitesto]

Una rete peer-to-peer (P2P), in cui interconnessa nodi ("peers") per condividere le risorse tra loro senza l'uso di un sistema amministrativo centralizzato

la maggior parte delle botnet basato sul modello client-server sono stati trovati in una questione di tempo, gli hacker si sono spostati verso il P2P come alternativa per evitare il blocco di botnet. Alcuni sono stati conosciuti per utilizzare la crittografia come un modo per proteggere o bloccare la botnet da altri, la maggior parte del tempo quando usano la crittografia è una crittografia a chiave pubblica e ha presentato le sfide sia in attuazione e la rottura.(Gameover ZeuS, ZeroAccess botnet)

Alcune botnet più recenti sono quasi interamente P2P. il comando e controllo è incorporato nella botnet piuttosto che basarsi su server esterni, evitando così ogni singolo punto di errore e di eludere molte contromisure. I comandanti possono essere identificati solo attraverso la chiave di sicurezza, e tutti i dati ad eccezione del binario possono essere crittografati. Ad esempio, un programma spyware può crittografare tutte le password sospette con una chiave pubblica che è hard-coded in esso, o distribuito con il software bot e solo con la chiave privata (conosciuta solo dagli operatori di botnet) possono i dati acquisiti dal bot essere letti.

Nel metodo P2P di C&C il bot conosce un elenco di peer di cui si può inviare comandi al e che sono passati ad altri peers più in basso livello. L'elenco tende ad essere circa 256 colleghi, che permette di essere abbastanza piccolo per poter consentire i comandi e per essere rapidamente trasmessi ad altri peers e rende più difficile interrompere il funzionamento della botnet se i principali numeri di peers sono tirato giù.

Componenti principali[modifica | modifica wikitesto]

  • Componente Host
  • Componente di rete

Componente Host[modifica | modifica wikitesto]

I bot sono le macchine compromesse che il botmaster può controllare a distanza.Un agente dannoso, attiva nelle macchine compromesse, lo rende possibile. L'agente dannoso che consente una macchina compromessa per essere controllato a distanza da un botmaster è chiamato un agente di bot (bot agent). Un agente di bot può essere un componente di malware autonomo in forma di un file di libreria di collegamento dinamico (DLL) eseguibile o un pezzo di codice aggiunto al codice malware. La funzione principale dell'agente di bot sono: ricevere i comandi dal botmaster, eseguire attacchi, inviare dati al botmaster.

Componente di rete[modifica | modifica wikitesto]

Il componente di rete botnet è un qualsiasi risorsa online che una botnet utilizza per compiere la sua direttiva.

Esempi notevoli[modifica | modifica wikitesto]

Tra le decine di botnet nate negli anni 2000-2010 e di cui nel 2015 non sia ancora stata attestata completa dismissione, menzioniamo due esempi, entrambi, diffuse tramite trojan su piattaforme Microsoft Windows:

Le botnet e la criminalità[modifica | modifica wikitesto]

Le botnet sono diventate ultimamente fonte di interesse per la criminalità organizzata. Sono infatti un sistema per guadagnare soldi in modo illegale. I botmaster infatti vendono i servizi della botnet a clienti che vogliono compiere azioni illegali. Tra le azioni che le botnet hanno a "catalogo" ci sono:

  • Denial of service: attacco massivo contro qualcuno
  • Spam: campagne di spam con lo scopo di vendere prodotti (spesso illegali)
  • Phishing: campagne di spam con lo scopo di carpire credenziali a scopo di furto, riciclaggio, ecc.

Contromisure[modifica | modifica wikitesto]

Botnet è un problema complesso che richiede una soluzione complessa. Botnet è diverso da qualsiasi altra minaccia di malware in cui eliminare il malware nell'ospite elimina la minaccia. Una botnet è costituita da componenti che sono al di là del ospitante, in tal modo, eliminando il malware e fissando la macchina compromessa non uccide la botnet. Il processo rimuove semplicemente l'ospitante dalla botnet ma essa è ancora vivo perciò bloccando una botnet non fermerà i criminali informatici dalla distribuzione di una nuova. Questo è il motivo per cui la lotta contro la botnet è un combattuto su due fronti:

  • Il fronte tecnico
  • Il fronte legale

Il fronte tecnico[modifica | modifica wikitesto]

Il punto di vista tecnico si concentra la battaglia sui due componenti principali della botnet, host e la rete.

La dispersione geografica delle botnet significa che ogni recluta deve essere identificato individualmente/rinchiuso/riparato e limita i benefici di filtraggio. Alcune botnet utilizzano DNS liberi e i servizi di hosting come DynDns.org, No-IP.com, e Afraid.org per puntare un sottodominio verso un server IRC che ospita i bot. Mentre questi servizi DNS gratuiti non ospitano gli attacchi, ma forniscono punti di riferimento. La rimozione di tali servizi può paralizzare intero botnet. Alcune botnet implementano versioni personalizzate dei protocolli ben noti. Le differenze tra le implementazioni possono essere utilizzati per il rilevamento di botnet. Ad esempio, Mega-D dispone di una implementazione del protocollo SMTP leggermente modificata per la capacità di test di spam. Filtrare il server SMTP del Mega-D disabilita l'intero pool di bot che si basano sullo stesso server SMTP.

Il fronte legale[modifica | modifica wikitesto]

Le persone dietro una botnet devono essere ritenuti responsabili per le loro azioni in modo che sarà impedito di farlo di nuovo e di fungere da esempio per altri cyber-criminali ancora in libertà.

Note[modifica | modifica wikitesto]

  1. ^ a b FORTINET, Anatomy of a Botnet, p. 1,2,3,4.
  2. ^ (EN) Know Your Enemy: Fast-Flux Service Networks | The Honeynet Project
  3. ^ a b (EN) Elisan, Christopher, Malware, Rootkits & Botnets A Beginner's Guide, McGraw Hill Professional, p. 69, ISBN 0071792066.
  4. ^ (EN) Gunter Ollmann, Botnet Communication Topologies, Damballa Inc..

[1]Voci correlate[modifica | modifica wikitesto]

Sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica
  1. ^ Jone Pierantonio, Botnet Hunters, quei cacciatori che setacciano il web (e vanno a caccia di malware), chefuturo.it.