Gondolatok a botnetekről

A botnet kifejezést használjuk olyan, általában vírusokkal vagy férgekkel fertőzött zombigépek hálózatára, amelyeket rossz szándékkal használnak fel készítői, irányítói. A fertőzött gépek száma ma már milliárdos, a különböző botnetek mérete pedig akár a több tízmillió gépet is elérheti. A hálózat "tulajdonosai" a botnet elsöprő erejét különböző támadások hatékony kivitelezésére használják fel: általában spam küldésre, e-mail cím adatbázisok feltöltésére vagy elosztott túlterheléses (DDOS) támadásokra, illetve az ezzel való zsarolásra

A zombi gépek természetesen nincsenek folyamatosan támadásokkal elfoglalva, helyette igyekeznek gépeinken észrevétlenek maradni (akár hetekig, hónapokig aktivitás nélkül rejtőzködnek), illetve saját maguk terjesztésén dolgoznak. Érdemes észrevenni a hasonlóságot a jó szándékkal működő elosztott számítási projektekkel, amelyek a több millió résztvevő számítógép kihasználatlan teljesítményéből szerveznek szuperszámítógépekhez mérhető számítási kapacitást. A legismertebb ilyen projekt a SETI@home volt, amely világűrből érkező rádióhullámokban keresett földönkívüli civilizációktól származó üzeneteket.

Az utóbbi időben a botnetek vezérlése figyelemreméltó fejlődésen ment keresztül, amely eredményeképp rendkívül megnehezedett az ellenük való védekezés.

Korábban egyszerű ICMP üzenetekkel irányították a zombi gépeket. (A TCP/IP hálózatok kontroll protokollja, például az 'ehco request' paranccsal ellenőrizhetjük, hogy egy gép éppen kapcsolódik-e a hálózatra.) Később IRC csatornákat és más azonnali üzenetküldő rendszereket használtak (pl. MSN vagy ICQ) a zombihadsereg irányítására. Napjainkban a botnetek peer-to-peer alapokon kommunikálnak, amit a jól ismert fájlmegosztó hálózatok is használnak. Az új technológiák alkalmazása miatt nehezebbé vált a botnetek blokkolása, mert többé nem használnak irányítóközpontot. Sajnos a botnetek "szolgáltatásait" a világhálón kereskedelmi szolgáltatásként értékesítik, avatott személyek pedig vevők rá. Tanú erre például mindnyájuk postafiókja.

Miért is rossz ez nekünk?
A botnetek által árasztott spam ugyan mindenki számára idegesítő, de a vállalatokat megbénító támadások látszólag nem érintenek minket. (Titkon sokan örülnek is talán!) Pedig - a közfelfogással ellentétben - mindannyian áldozatok vagyunk! A spamek, phishing levelek naponta megtömik postafiókjainkat, és amennyiben meg szeretnénk szabadulni tőlük, az munkát, energiát és eszközöket, végső soron költséget jelent. De az üzemeltetett szervereken is folyamatosan töltik a naplókat, hamis vagy valós incidenseket generálva a hálózati behatolásérzékelő rendszereinken (nIDS). Manapság a világhálón közlekedő levelek 90 százaléka spam, ami egyben azt is jelenti, hogy a spamek miatt sok helyen tízszeres kapacitást kell üzemeltetniük a cégeknek.

Amennyiben infrastruktúránkba férkőzik valamely féreg, a tőlünk kiküldött spamek miatt az e-mail rendszerek valamelyik fekete listájára (úgynevezett RBL listákra) kerülhetünk, ami további komoly veszteségeket okozhat.

A botnetek igazi veszélye ugyanakkor abban rejlik, hogy bárki áldozattá válhat, még az is, aki a saját informatikai rendszerét a legkörültekintőbben védi. A botnetek ugyanis a hagyományos vírusokkal ellentétben nem a megfertőzött gépekre veszélyesek igazán, hanem azokra, amelyek ellen bevetik őket. Egy jól irányzott DDOS támadás például órákra, napokra blokkolhat informatikai rendszereket - nem csupán az érintett szervezet számára, de áttételesen nemzetgazdasági szinten is komoly károkat okozva. A XX. század végére kialakult, csúcsra járatott globális gazdasági rendszer rendkívül sérülékeny, néhány elem kiesése már katasztrofális lehet, és a hatás gyorsan képes más régiókba, más iparágakba is átterjedni.

A közelmúltban már meg is történt az első átfogó támadás egy ország ellen, amit nyugodtan tekinthetünk főpróbának vagy akár erődemonstrációnak is. Január 5-én körülbelül 3500 fehérorosz vállalat informatikai rendszere omlott össze ugyanabban a pillanatban, egy összehangolt DDOS támadás következtében. A hatóságok nem voltak képesek azonosítani az elkövetőket, bár annyi kiderült, hogy érintettek voltak bizonyos orosz internetszolgáltatók hálózatai.

Kérdés, lehet-e védekezni ellenük?
Jogi úton sajnos nem sokat tehetünk. A botnetek ugyanis nem ismernek határokat, mint ahogyan az internet sem. A jog és a politika sajnos igen. Egy távoli országból vezérelt botnet ellen jogi eszközökkel nem sokat tehetünk, és amennyiben lenne rá mód az is csak utólagos kármentés lenne. Az igazi megoldás jobb minőségű szoftverek fejlesztése lenne, ami a legtöbb gyártónak nem érdeke, hiszen a piac nem kényszeríti ki azt. (A jó szoftver jelen esetben a megfelelően tervezett és tesztelt alkalmazásokat jelenti, melyek fejlesztése időigényes, és természetesen drága is.)

Ahogy a világ országai próbálnak jogi úton fellépni egyes szoftvergyártók monopóliuma ellen, a gyártókat ugyanúgy biztonságosabb, jobban tesztelt termékek előállítására lehetne szorítani. (Jó példa erre az ABS kötelezővé tétele az EU-ban).

Próbálkozhatunk valamilyen preventív módszerrel, és természetesen szigorú tűzfalszabályokkal is, melyekkel a katasztrófa elodázható, de rejtett csatornák (úgynevezett covert chanelek) mindig lesznek, illetve bizonyos protokollok használata az üzleti életben elkerülhetetlen. Rejtett csatornák ellen pedig csak a csípőfogó és az áramszünet nyújt száz százalékos védelmet.

Érdekes ötlet egy ellenvírus indítása, amely ugyanazokat a sebezhetőségeket kihasználva ugyanazokat a gépeket fertőzné meg, mint a botnet, és leirtaná róluk a férget. Nyilván nem tudná teljesen megsemmisíteni a botnetet, de már az is elég, ha egy kritikus szám alá csökkenti a méretét. Az elgondolás technikailag ugyan megvalósítható, de számos jogi és etikai kérdést vet fel. (Arra is kíváncsi lennék, vajon mennyi idő alatt születne meg egy "jó botnet irtó gonosz botnet").

A hozzászólásokat a szerző a BalaBit IT Security Blog oldalra várja.