Powstają botnety peer-to-peer

Analitycy bezpieczeństwa ostrzegają iż hackerzy znaleźli sposób na działania policji, likwidującej sieci przejętych przez złośliwy kod komputerów - botnety. Obecnie budują oni botnety w taki sam sposób jaki tworzone są sieci wymiany plików - peer-to-peer

Botnety są jednym z największych zagrożeń sieciowych. Sieci o tej nazwie składają się z przejętych komputerów przy pomocy złośliwego kodu lub oprogramowania typu trojan. Mariposa - największy dotąd istniejący botnet - zlikwidowany 2. grudnia 2009 roku, dzięki działaniom ekspertów bezpieczeństwa z firmy Panda Security oraz organów ścigania min. Defence Intelligence, FBI i hiszpańskiej Straży Obywatelskiej, liczył 13,7 mln przejętych na całym świecie komputerów tzw. zombie.

Według raportu analityków bezpieczeństwa z firmy Symantec, Polska jest na 8. miejscu na świecie pod względem ilości komputerów zombie, włączanych do botnetów. Botnety używane są do ataków blokujących działanie (DDOS) skierowanych na usługi, portale i strony internetowe firm, do wykradania haseł i numerów kart kredytowych, rozsyłania spamu i fałszywych e-maili od instytucji finansowych - phishingu.

Dotychczas hakerzy budowali botnety, korzystając z klasycznej architektury sieciowej klient-serwer. W tej architekturze jeden komputer - serwer zapewnia usługi dla wielu innych komputerów - klientów. Komputer-klient komunikuje się z serwerem wysyłając żądanie obsługi. Serwer przetwarza je i wysyła odpowiedź, w której może być zawarta instrukcja. W ten sposób zdalne serwery mogą zarządzać sieciami składającymi się z milionów komputerów.

Jak pisze Technology Review, działania ekspertów bezpieczeństwa oraz walczących z cyberprzestępczością agend rządowych przeciwko botnetom polegały na poszukiwaniu centralnego serwera bądź serwerów zarządzających poszczególnymi odcinkami sieci i wyłączaniu ich. W ten sposób botnety traciły swoje centra zarządzania i kontroli i ulegały dezintegracji.

Naukowcy ostrzegają, że hackerzy znaleźli sposób na działania policji. Zlikwidowany w połowie kwietnia br. przez FBI botnet Coreflood miał strukturę bardziej rozproszoną niż inne botnety i przez to był trudniejszy do likwidacji. "Jeśli taktyką agend rządowych w zwalczaniu botnetów będzie nadal poszukiwanie ich serwerów kontroli i zarządzania, hakerzy będą tworzyć botnety wyłącznie w architekturze peer-to-peer" - ostrzega Cliff Zou, ekspert bezpieczeństwa sieciowego z University of Central Florida w USA.

Peer-to-peer (P2P) to technologia komunikacji, w której węzłem sieci, czyli jej hostem może być każdy komputer. Pełni on jednocześnie rolę klienta i serwera. W programach do wymiany plików w internecie, będących najpopularniejszą implementacją systemu peer-to-peer, każdy host spełnia jednocześnie rolę serwera - przyjmuje połączenia od innych użytkowników sieci - oraz klienta, łącząc się, wysyłając i pobierając pliki z innych hostów działających w tej samej sieci P2P. Pliki są wymieniane bezpośrednio między hostami, a wielkość sieci i jej struktura zależna jest od tego, ile i w jakim miejscu pracuje w niej aktywnych hostów.

Botnety zbudowane w architekturze P2. składają się z komputerów-zombie, z których każdy posiada listę węzłów - innych komputerów w sieci - i przesyła im informacje. Aby zarządzać takim botnetem, wystarczy wprowadzić komendy do któregokolwiek węzła lub kilku węzłów w sieci. Botnet taki jest jednak możliwy do likwidacji - przez wprowadzanie do jego sieci przez policję i agendy do zwalczania cyberprzestępczości fałszywych komunikatów, komend i plików.

Jak odkrył zespół naukowców z Los Alamos National Laboratory pod kierownictwem Stephana Eidenbenza, hakerom udało się pokonać tę przeszkodę. Zespół wymodelował bowiem na podstawie dostępnych informacji o tworzeniu botnetów, nowego typu system komputerów-zombie w sieci peer-to-peer.

Jest ona tworzona z przejętych komputerów losowo układających się w hierarchię, przy czym sieć akceptuje tylko polecenia od tych komputerów, które znajdują się wyżej w hierarchii. Jednak przejęcie nawet jednego z komputerów wysoko stojących w hierarchii daje niewiele, bowiem sieć rekonfiguruje się codziennie i hierarchia się wtedy zmienia. W przypadku często stosowanego przez botnety silnego szyfrowania komunikacji pomiędzy komputerami, sieć taka jest trudna do namierzenia i zniszczenia. Jak ostrzegają Zou i Eidenbenz, powstanie wielkich botnetów tego typu jest tylko kwestią czasu.