Una botnet (contrazione dell'inglese "ro bot net ": "rete di robot") è una rete di robot informatici , programmi connessi a Internet che comunicano con altri programmi simili per eseguire determinati compiti.
Storicamente, le botnet si riferivano alle botnet IRC . Il significato di botnet si è esteso alle reti di botnet , utilizzate in particolare per il mining di criptovaluta ma anche per scopi dannosi , come l'invio di spam e virus informatici o attacchi denial of service (DDoS).
Su IRC, il loro utilizzo è per gestire canali di discussione o per offrire agli utenti vari servizi, come giochi, statistiche sul canale, ecc. Essere connessi a una rete consente loro di darsi reciprocamente lo stato di operatore di canale in modo sicuro, per controllare efficacemente gli attacchi di inondazione o altri attacchi . La condivisione di elenchi di utenti, divieti e tutti i tipi di informazioni li rende più efficienti.
Esistono altri usi legittimi delle botnet, come l' indicizzazione web : il volume di dati da esplorare e l'uso necessario della parallelizzazione richiede l'uso di reti di bot .
Le prime derive apparvero sulle reti IRC: le botnet IRC ( Eggdrop nel dicembre 1993, poi GTbot nell'aprile 1998) furono usate durante gli scontri per prendere il controllo del canale.
Oggi, questo termine è molto spesso usato per designare una rete di macchine bot , perché IRC è stato uno dei primi mezzi utilizzati dalle reti dannose per comunicare tra loro, deviando l'uso primario di IRC. Il primo a cui si fa riferimento è stato W32 / Pretty.worm, chiamato anche PrettyPark, che prendeva di mira gli ambienti Windows a 32 bit e riprendeva le idee di Eggdrop e GTbot. All'epoca non erano considerati molto pericolosi e solo nel 2002 diverse botnet dannose (Agobot, SDBot e poi SpyBot nel 2003) fecero parlare di loro e la minaccia decollò.
Qualsiasi macchina connessa a Internet rischia di diventare un obiettivo per diventare una macchina zombie : macchine Windows, che rappresentano la maggior parte delle macchine contaminate, ma anche, in misura minore, Linux, macchine Apple, persino console di gioco o dispositivi router.
Nel 2007, Vint Cerf ha ritenuto che un computer su quattro facesse parte di una botnet.
Recentemente questo fenomeno si sta sviluppando sui terminali telefonici di tipo smartphone ed in particolare sul sistema operativo Android dove nel dicembre 2010 è apparso il trojan cinese "Geinimi".
La caratteristica principale delle botnet è il raggruppamento di più macchine distinte, a volte molto numerose, che rende l'attività desiderata più efficiente (dato che abbiamo la possibilità di utilizzare molte risorse) ma anche più difficile da fermare.
Le botnet dannose vengono utilizzate principalmente per:
Spam : per inviare più mail.
DDoS : invia più attacchi a un server per farlo smettere di funzionare.
BruteForcing : trovare una password più velocemente.
Motivazione economicaL'aspetto economico è fondamentale: la dimensione della botnet e la capacità di essere facilmente controllata sono elementi che contribuiscono ad attrarre attività criminali, sia per il proprietario della botnet (a volte chiamato "botherder" o "botmaster") che per utenti, che il più delle volte assumono i servizi di una botnet per l'esecuzione di un compito specifico (invio di spam, attacco informatico, denial of service, furto di informazioni, ecc.). Nell'aprile 2009, una botnet di 1.900.000 macchine scoperta dalla società finlandese ha generato un reddito stimato di 190.000 dollari al giorno per i suoi "botmaster".
Motivazione ideologicaA prescindere dall'aspetto economico, gli attacchi informatici possono diventare un'arma di propaganda o di ritorsione, soprattutto durante i conflitti armati o durante eventi simbolici. Ad esempio, durante il conflitto tra Russia e Georgia nel 2008, la rete georgiana è stata attaccata in più forme (per renderla indisponibile o per sconfiggere i siti ufficiali). Nel 2007 ha avuto luogo anche un grande attacco contro l' estone : la motivazione degli hacker sarebbe stata lo spostamento di un monumento ai soldati sovietici dal centro della capitale estone. All'inizio del 2010, si ritiene che il Vietnam sia dietro una botnet volta a mettere a tacere il dissenso politico.
Motivazione personaleAnche la vendetta o il ricatto possono far parte della motivazione degli aggressori, senza che l'aspetto finanziario sia necessariamente di primaria importanza: un dipendente mal pagato o giocatori online sconfitti possono cercare vendetta sul datore di lavoro o sul vincitore del gioco.
Composte da personal computer o server, le botnet ora sono anche costituite da smartphone o qualsiasi tipo di oggetto connesso .
Una botnet ha diverse fasi di vita. Un design modulare permette di gestire queste fasi con formidabile efficienza, soprattutto non appena la macchina target viene compromessa. La fase di infezione è ovviamente sempre la prima, ma la sequenza di queste fasi non è sempre lineare e dipende dal design della botnet.
Infezione della macchinaQuesta è logicamente la fase iniziale. La contaminazione spesso comporta l'installazione di uno strumento software principale, che non è necessariamente lo strumento finale. Questa contaminazione della macchina utilizza i classici meccanismi di infezione:
Una volta installata, questa base software può dichiarare la macchina ad un centro di controllo, che poi la considererà attiva . Questa è una delle chiavi del concetto di botnet, vale a dire che la macchina infetta può ora essere controllata in remoto da una (o più) macchine di terze parti. In alcuni casi sono necessarie altre fasi (autoprotezione, aggiornamento, ecc.) Per entrare nella fase operativa.
AggiornareUna volta che la macchina è stata infettata e l'attivazione è stata completata, la botnet può aggiornarsi, auto-modificarsi, aggiungere funzionalità, ecc. Ciò ha impatti significativi sulla pericolosità della botnet e sulla capacità degli strumenti di controllo di fermarla, perché una botnet può così modificare la sua firma virale e altre caratteristiche che possono portarla a essere scoperta e identificata.
Auto protezioneIn origine, o dopo una fase di aggiornamento, la botnet cercherà di dotarsi dei mezzi per continuare la sua azione oltre che dei mezzi di occultamento. Ciò può includere:
La dimensione di una botnet fornisce efficienza e valore aggiunto agli sponsor e agli utenti della botnet. È quindi comune che dopo l'installazione, la macchina zombie cerchi di estendere la botnet:
Una volta installata e dichiarata la botnet, la macchina zombie può obbedire agli ordini che le vengono impartiti per eseguire le azioni desiderate dall'aggressore (con, se necessario, l'installazione di strumenti aggiuntivi tramite aggiornamento remoto):
Ecco il principio di funzionamento di una botnet utilizzata per inviare e-mail :
È estremamente difficile disporre di cifre affidabili e precise, poiché la maggior parte delle botnet può essere rilevata solo indirettamente. Alcune organizzazioni come shadowserver.org cercano di stabilire i numeri dall'attività di rete, dal rilevamento dei centri di comando (C&C), ecc.
Numero di reti (botnet)A febbraio 2010, è stato stimato che ci fossero tra 4.000 e 5.000 botnet attive. Questa cifra dovrebbe essere considerata una fascia bassa, dal momento che le botnet stanno guadagnando furtività e il monitoraggio dell'intera rete Internet è impossibile.
Dimensioni della reteLa dimensione di una botnet varia, ma sta diventando comune che una rete sia composta da migliaia di macchine zombie . Nel 2008, durante la conferenza RSA, le prime 10 reti includevano da 10.000 a 315.000 macchine, con una capacità di invio di e-mail che andava da 300 milioni a 60 miliardi al giorno (per Srizbi, la più grande botnet in questo paese).
Alla fine del 2009, MessageLabs ha indicato la seguente top 10:
Nome botnet | Numero di macchine | Capacità in messaggi al minuto |
---|---|---|
Rustock | Da 540.000 a 810.000 | 14.000.000 |
Cutwail | Da 1.100.000 a 1.600.000 | 12.800.000 |
Bagle | Da 520.000 a 780.000 | 12.000.000 |
Bobax | Da 110.000 a 160.000 | 10.000.000 |
Grum | Da 580.000 a 860.000 | 6.800.000 |
Maazben | Da 240.000 a 360.000 | 1.5 milioni |
Festi | Da 140.000 a 220.000 | 900.000 |
Mega-D | Da 50.000 a 70.000 | 690.000 |
Xarvester | Da 20.000 a 36.000 | 615.000 |
Gheg | Da 50.000 a 70.000 | 300.000 |
Nel suo rapporto del 2009, MessageLabs ha anche stimato che 5 milioni di macchine sono state compromesse in una rete botnet di spam .
La stessa costituzione di una botnet, a volte composta da moltissime macchine, rende difficile la tracciabilità delle azioni e delle fonti. Più grande è la botnet, più difficile diventa anche arrestarla e fermarla, poiché è necessario sia fermare la diffusione degli agenti che attivano la botnet sia pulire le macchine compromesse.
Le generazioni precedenti spesso facevano affidamento su un centro di controllo centralizzato o facilmente disattivabile (l' indirizzo IP fisso o il nome di dominio possono essere banditi, il canale IRC può essere chiuso, ecc.). Ora, il peer-to-peer consente una resilienza del sistema di comunicazione e le funzioni Web 2.0 dirottate rendono l'intercettazione molto complessa: la botnet cerca una parola chiave sul web e la utilizza per determinare l'ubicazione del data center. deve ricevere i suoi ordini.
Diverse azioni concertate in cui è stato fortemente coinvolto il dipartimento di sicurezza di Microsoft hanno reso possibile lo smantellamento di due reti principali: Waledac e Rustock (operazioni chiamate rispettivamente b49 e b107). A marzo 2011, Rustock aveva circa 1 milione di macchine che generavano il 47,5% dello spam globale (secondo Symantec ) e il suo codice sorgente utilizzava 106 indirizzi IP per il suo controllo.
Solite misure di protezione della macchina (antivirus, HIDS / HIPS, password, gestione dei diritti utente, antispam, gestione degli aggiornamenti, ecc.)