Botnet

Da Wikipedia, l'enciclopedia libera.

Una botnet è una rete formata da dispositivi informatici collegati ad Internet e infettati da malware, controllata da un'unica entità, il botmaster. A causa di falle nella sicurezza o per mancanza di attenzione da parte dell'utente e dell'amministratore di sistema, i dispositivi vengono infettati da virus informatici o trojan i quali consentono ai loro creatori di controllare il sistema da remoto. I controllori della botnet possono in questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo distributed denial of service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi agendo persino su commissione di organizzazioni criminali. I dispositivi che compongono la botnet sono chiamati bot (da roBOT) o zombie.

Applicazioni di botnet[modifica | modifica wikitesto]

Applicazioni legali[modifica | modifica wikitesto]

Le botnet legali sono usati per il calcolo distribuito che è un campo dell'informatica che studia sistemi distribuiti. Un sistema distribuito è un sistema software in cui i componenti si trovano su computer in rete tali che per comunicare e coordinare le loro azioni passando messaggi. I componenti interagiscono tra loro per raggiungere un obiettivo comune. Tre caratteristiche significative dei sistemi distribuiti sono: concorrenza dei componenti, la mancanza di un orologio globale, e fallimento indipendente dei componenti. il C&C può essere presente nel calcolo distribuito, ma nessun computer zombie è presente in questo tipo di sistema.

Applicazioni illegali[modifica | modifica wikitesto]

Le botnet a volte compromettono i computer in cui le difese di sicurezza sono state violate e il controllo è ceduta a terzi. Ogni dispositivo compromesso, noto come "bot", viene creato quando un computer viene penetrato da software di un distribuzione di un malware (malicious software). Controllore di una botnet è in grado di dirigere le attività di questi computer compromessi attraverso canali di comunicazione formate da protocolli di rete basati su standard, come IRC e Hypertext Transfer Protocol (HTTP).

Le botnet sono sempre affittati dai criminali informatici per una varietà di scopi.

Modalità di funzionamento e uso[modifica | modifica wikitesto]

I malware creati per far parte di una botnet, non appena assunto il controllo del sistema, devono poter fornire al proprio autore i dati relativi al sistema infettato. Per fare ciò spesso sfruttano i canali IRC (Internet Relay Chat) e si connettono ad un dato canale, situato su un dato server, il quale spesso è protetto da una password per dare accesso esclusivo all'autore. Tramite il canale di chat l'autore è in grado di controllare contemporaneamente tutti i sistemi infetti collegati al canale (i quali possono essere anche decine di migliaia) e di impartire ordini a questi. Per fare un esempio, con un solo comando potrebbe far partire un attacco DDoS verso un sistema a sua scelta.

Un altro sistema utilizzato dai botmaster per controllare i bot sono le reti peer-to-peer (tra queste è compresa la rete di skype). In questo caso la rete p2p viene usata come veicolo per le informazioni che il botmaster invia ai bot.

Le botnet vengono spesso utilizzate anche per altri scopi oltre al DDoS: questi virus sono spesso programmati in modo da spiare il sistema infetto e intercettare password ed altre informazioni utili. Possono anche offrire accesso alle macchine infette tramite backdoor oppure servizi proxy che garantiscono l'anonimato in rete.

Infine un altro uso delle botnet è come proxy verso un sistema compromesso. I bot infatti spesso vengono "ripuliti" e quindi di fatto non fanno parte più della botnet. Se un pirata installa un server su una di queste macchine e ne perde il controllo il danno è grave. Una tecnica usata recentemente è quella del fastflux[1] in cui una macchina fuori dalla botnet fa girare un finto server (per esempio per fare dello spoofing) e le macchine della botnet fungono solo da proxy verso questa macchina.

Una macchina compromessa può essere una miniera d'oro di dati per i cyber criminali. Questo è il motivo per cui ladri di informazioni è venuto per essere. La direttiva di questo tipo di malware è quello di rubare le informazioni fondamentalmente. Può essere password, documenti o qualsiasi altra informazione che l'utente malintenzionato può monetizzare. Questo è solitamente fatto con l'installazione di un componente ladro di informazioni a tutte le macchine compromesse che fanno parte di una botnet.

Una botnet è il cloud dannoso di un aggressore. E 'come avere enormi quantità di potenza di calcolo nel controllo dell'attaccante. Questa potenza di calcolo diventa a portata di mano. Un esempio è cracking delle password. Avere questa potenza di calcolo riduce il tempo necessario per capire una password con la forza bruta.

Meccanismi di protezione botnet[2][modifica | modifica wikitesto]

La botnet più grande forza è anche il suo anello più debole (C&C). L'infrastruttura C&C e i mezzi per accedervi devono essere protetti per crescere botnet perciò proteggere il canale di C&C è indispensabile e questo viene fatto attraverso Bulletproof hosting, Dynamic DNS, Fast fluxing, Domain fluxing.

Fast fluxing[modifica | modifica wikitesto]

Fast fluxing si riferisce ad avere un unico nome di dominio e i suoi indirizzi IP cambiano di frequente. Il risultato è più indirizzi IP assegnati a un unico nome di dominio. Un modo per raggiungere Fast fluxing è attraverso il round-robin DNS con ogni record di DNS (RR) con un breve valore di time-to-live (TTL). Così, invece di rispondere alle richieste di DNS con un solo indirizzo IP, viene restituito un elenco di indirizzi IP.

Domain Fluxing[2][3][modifica | modifica wikitesto]

Il C&C permette al botmaster di controllare i bot, i loro sforzi sono più concentrati sulla protezione del C&C ma semplicemente bloccando i domini che puntano al C&C previene l'agente di bot di comunicare con C&C. Non importa quanto sono sofisticate le tecniche utilizzate per nascondere il C&C se gli agenti di bot non hanno un modo di collegarsi al C&C e diventa inutile un'agente di botnet privo di controllo del botmaster. Poiché tagliando la comunicazione tra l'agente e C&C risulta l'agente non avendo la capacità per ottenere comandi aggiornati, continuerà a cercare di connettersi al C&C usando i suoi domini obsoleti e indirizzi IP già bloccati. Se l'agente di bot è in grado di creare il proprio insieme di domini senza fare affidamento su i file di configurazione e i comandi di aggiornamento dal botmaster, essa permette il malware a cercare attivamente un C&C vivo (live C&C). Questa capacità dei bot per generare nomi di dominio unici a intervalli di tempo regolari si chiama domain Fluxing.

Architettura di una Botnet[modifica | modifica wikitesto]

Le botnet sono creati per communicare e la archittetura di botnet è evoluto nel corso del tempo. Le Botnet usano topologie diverse per command and control. La tipologia avanzata sono più resistente di arresto, l'enumerazione o la scoperta. Tuttavia, alcune topologie limitano la commerciabilità del botnet ai terzi. Le topologie tipici sono stelle, multi-server, gerarchica e casuale.

Modello client-server[modifica | modifica wikitesto]

Una rete basata sul modello client-server, dove i singoli clienti richiedono i servizi e le risorse da server centralizzatidefault

Il modello client-server è apparso sui primi tipi di botnet su Internet ed è stato generalmente costruite su Internet Relay Chat o utilizzando i domini o i siti web che hanno i comandi elencati per la botnet da controllare. In IRC, i comandi vengono più semplice e botnet diventano più piccoli se sono costruiti su una rete IRC. Siccome le reti IRC richiedono bassa larghezza di banda e utilizzano metodi semplici per la comunicazione, essi sono stati utilizzati anche per ospitare botnet semplici perciò sono stati utilizzati più volte per coordinare gli attacchi DDoS o campagne di spam, mentre cambiando dei canali per evitare di essere tirato giù. Bloccando le determinate parole chiave a volte ha dimostrato efficace nel bloccare una botnet basata su IRC.

La maggior parte delle grandi botnet che sono stati costruiti tendevano ad utilizzare domini anziché IRC nella loro costruzione (Rustock botnet, Srizbi botnet). Quasi sempre sono stati ospitati con i servizi di hosting ben protetti (Bulletproof hosting). Di solito la maggior parte delle botnet basato sul modello client-server sono stati trovati in una questione di tempo, gli hacker si sono spostati verso il P2P come alternativa per evitare il blocco di botnet.

Server botnet sono in genere ridondanti per ridurre la minaccia di un atterramento e blocco.

Peer-to-peer[modifica | modifica wikitesto]

Una rete peer-to-peer (P2P), in cui interconnessa nodi ("peers") per condividere le risorse tra loro senza l'uso di un sistema amministrativo centralizzato

la maggior parte delle botnet basato sul modello client-server sono stati trovati in una questione di tempo, gli hacker si sono spostati verso il P2P come alternativa per evitare il blocco di botnet. Alcuni sono stati conosciuti per utilizzare la crittografia come un modo per proteggere o bloccare la botnet da altri, la maggior parte del tempo quando usano la crittografia è una crittografia a chiave pubblica e ha presentato le sfide sia in attuazione e la rottura.(Gameover ZeuS, ZeroAccess botnet)

Alcune botnet più recenti sono quasi interamente P2P. il comando e controllo è incorporato nella botnet piuttosto che basarsi su server esterni, evitando così ogni singolo punto di errore e di eludere molte contromisure. I comandanti possono essere identificati solo attraverso la chiave di sicurezza, e tutti i dati ad eccezione del binario possono essere crittografati. Ad esempio, un programma spyware può crittografare tutte le password sospette con una chiave pubblica che è hard-coded in esso, o distribuito con il software bot e solo con la chiave privata (conosciuta solo dagli operatori di botnet) possono i dati acquisiti dal bot essere letti.

Nel metodo P2P di C&C il bot conosce un elenco di peer di cui si può inviare comandi al e che sono passati ad altri peers più in basso livello. L'elenco tende ad essere circa 256 colleghi, che permette di essere abbastanza piccolo per poter consentire i comandi e per essere rapidamente trasmessi ad altri peers e rende più difficile interrompere il funzionamento della botnet se i principali numeri di peers sono tirato giù.

Componenti principali[modifica | modifica wikitesto]

  • Componente Host
  • Componente di rete

Componente Host[modifica | modifica wikitesto]

I bot sono le macchine compromesse che il botmaster può controllare a distanza.Un agente dannoso, attiva nelle macchine compromesse, lo rende possibile. L'agente dannoso che consente una macchina compromessa per essere controllato a distanza da un botmaster è chiamato un agente di bot (bot agent). Un agente di bot può essere un componente di malware autonomo in forma di un file di libreria di collegamento dinamico (DLL) eseguibile o un pezzo di codice aggiunto al codice malware. La funzione principale dell'agente di bot sono: ricevere i comandi dal botmaster, eseguire attacchi, inviare dati al botmaster.

Componente di rete[modifica | modifica wikitesto]

Il componente di rete botnet è un qualsiasi risorsa online che una botnet utilizza per compiere la sua direttiva.

Esempi notevoli[modifica | modifica wikitesto]

Tra le decine di botnet nate negli anni 2000-2010 e di cui nel 2015 non sia ancora stata attestata completa dismissione, menzioniamo due esempi, entrambi, diffuse tramite trojan su piattaforme Microsoft Windows:

Le botnet e la criminalità[modifica | modifica wikitesto]

Le botnet sono diventate ultimamente fonte di interesse per la criminalità organizzata. Sono infatti un sistema per guadagnare soldi in modo illegale. I botmaster infatti vendono i servizi della botnet a clienti che vogliono compiere azioni illegali. Tra le azioni che le botnet hanno a "catalogo" ci sono:

  • Denial of service: attacco massivo contro qualcuno
  • Spam: campagne di spam con lo scopo di vendere prodotti (spesso illegali)
  • Phishing: campagne di spam con lo scopo di carpire credenziali a scopo di furto, riciclaggio, ecc.

Contromisure[modifica | modifica wikitesto]

Botnet è un problema complesso che richiede una soluzione complessa. Botnet è diverso da qualsiasi altra minaccia di malware in cui eliminare il malware nell'ospite elimina la minaccia. Una botnet è costituita da componenti che sono al di là del ospitante, in tal modo, eliminando il malware e fissando la macchina compromessa non uccide la botnet. Il processo rimuove semplicemente l'ospitante dalla botnet ma essa è ancora vivo perciò bloccando una botnet non fermerà i criminali informatici dalla distribuzione di una nuova. Questo è il motivo per cui la lotta contro la botnet è un combattuto su due fronti:

  • Il fronte tecnico
  • Il fronte legale

Il fronte tecnico[modifica | modifica wikitesto]

Il punto di vista tecnico si concentra la battaglia sui due componenti principali della botnet, host e la rete.

La dispersione geografica delle botnet significa che ogni recluta deve essere identificato individualmente/rinchiuso/riparato e limita i benefici di filtraggio. Alcune botnet utilizzano DNS liberi e i servizi di hosting come DynDns.org, No-IP.com, e Afraid.org per puntare un sottodominio verso un server IRC che ospita i bot. Mentre questi servizi DNS gratuiti non ospitano gli attacchi, ma forniscono punti di riferimento. La rimozione di tali servizi può paralizzare intero botnet. Alcune botnet implementano versioni personalizzate dei protocolli ben noti. Le differenze tra le implementazioni possono essere utilizzati per il rilevamento di botnet. Ad esempio, Mega-D dispone di una implementazione del protocollo SMTP leggermente modificata per la capacità di test di spam. Filtrare il server SMTP del Mega-D disabilita l'intero pool di bot che si basano sullo stesso server SMTP.

Il fronte legale[modifica | modifica wikitesto]

Le persone dietro una botnet devono essere ritenuti responsabili per le loro azioni in modo che sarà impedito di farlo di nuovo e di fungere da esempio per altri cyber-criminali ancora in libertà.

Note[modifica | modifica wikitesto]

  1. ^ (EN) Know Your Enemy: Fast-Flux Service Networks | The Honeynet Project
  2. ^ a b (EN) Elisan, Christopher, Malware, Rootkits & Botnets A Beginner's Guide, McGraw Hill Professional, p. 69, ISBN 0071792066.
  3. ^ (EN) Gunter Ollmann, Botnet Communication Topologies, Damballa Inc..

Voci correlate[modifica | modifica wikitesto]

Sicurezza informatica Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica