Le botnet hanno fatto la loro apparizione in pubblico agli inizi del
2000, quando un teenager canadese ha lanciato una serie di attacchi
denial-of-service contro diversi siti importanti. Nel giro di alcuni
anni, l’adolescente, sotto lo pseudonimo di Mafiaboy, ha attaccato
Yahoo, ETtrade, Dell, eBay e Amazon, tra molti altri, sovraccaricando i
server fino a farti esplodere. Sebbene Mafiaboy, il cui vero nome è
Michael Calce, non usasse una botnet per lanciare questi attacchi, gli
esperti di sicurezza IT si stavano già rendendo conto che gli attacchi
DDoS e le botnet (una grande rete di computer infettata da un malware
specifico) avrebbero ben presto iniziato ad essere una grande minaccia
per la stabilità e l’integrità di Internet. E gli esperti IT
difficilmente si sbagliano.
Definizione di Botnet
Con il termine botnet
si intende una rete di computer infetta e controllata da un hacker in
modalità remota. Le botnet generalmente sono create da un hacker o da un
piccolo gruppo di hacker attraverso un malware. I PC individuali che
sono parte di una botnet vengono spesso chiamati “bots” o “zombie” e non
c’è un minimo in base al quale possiamo iniziare a considerare una rete
di PC una “botnet”. In linea generale, una botnet di piccole dimensioni
è composta da una centinaia o migliaia di computer infetti, mentre una
botnet di grandi dimensioni può forse raggiungere vari milioni di PC.
Esempi di botnet conosciute, emerse di recente, includono Conficker, Zeus, Waledac, Mariposa e Kelihos.
In genere, ci si riferisce ad una botnet come se fosse una singola
entità; tuttavia, i creatori di malware come Zeus vendono i loro oggetti
a qualsiasi persona disposta a pagarli. Per questo motivo esistono
dozzine di botnet separate che usano lo stesso malware e operano allo
stesso tempo.
Metodi di Infezione
Ci sono due metodi principali attraverso i quali un hacker infetta i
PC per farli entrare nella botnet: drive-by download e e-mail. Gli
attacchi drive-by download si compongono di vari passaggi; il primo
step, vede l’hacker impegnato nella ricerca di una pagina web popolare
con una vulnerabilità che si possa sfruttare. In seguito, l’hacker
carica il codice malware nella pagina in questione e sfrutta la
vulnerabilità attraverso il browser usando, per esempio, Google Chrome o
Internet Explorer. Il codice ridirezione il browser dell’utente ad un
altro sito controllato dall’hacker dove l’utente, senza accorgersene,
scaricherà il codice bot e lo installerà sul suo computer. Il secondo
caso (posta elettronica) è molto più semplice. L’hacker invia una grande
quantità di spam con allegati contenenti file word o PDF con codici
infetti o con link che portano a un sito che ospita il codice dannoso.
Una volta che il codice è stato installato sul computer della vittima,
il PC è parte della botnet. L’hacker può gestire i comandi in forma
remota, caricare dati e scaricare nuovi componenti; in pratica ha il
controllo assoluto del computer.
Come vengono usate
Il modo più comune di utilizzare la botnet è attraverso attacchi DDoS.
Questi attacchi utilizzano la potenza del computer e la larghezza della
banda di centinaia o migliaia di PC per direzionare una grande quantità
di traffico a un sito specifico con l’intenzione di sovraccaricarlo. Ci
sono diversi tipi di attacchi DDoS, ma l’obiettivo è sempre lo stesso:
far collassare il sito. In genere, gli hacker sono soliti utilizzare
questa tecnica per mettere in ginocchio le pagine web del nemico.
Nonostante ciò, ben presto, hanno iniziato ad utilizzare questo metodo
per attaccare portali come Yahoo e MSN, negozi e banche online, nonché
siti del governo. Tra questi criminali si annoverano gruppi hacker, come
Anonymous e LulzSec. Inoltre, i cyber-criminali usano gli attacchi DDoS per colpire siti di banche online
con lo scopo di nascondere attacchi ben più gravi diretti alle stesse
banche. Le botnet vengono anche utilizzate in molte altre operazioni.
Gli spammer utilizzano le botnet per l’invio massivo di spam o per frodi
di carta di credito su larga scala.
Come difendersi
Ci sono diversi modi per proteggersi dagli attacchi DDoS che
utilizzano reti botnet, ma quasi tutti operano a livello di server o
ISP. Per gli utenti, la migliore difesa dalle botnet è tenere i propri
computer, dispositivi e software sempre aggiornati e con gli ultimi
patch in commercio, nonché prestare molta attenzione prima di cliccare
su di un link sospetto. Gli hacker approffitano dell’ingenuità degli
utenti che molto spesso cliccano su siti e aprono allegati pericolosi
senza rendersi conto di quello che fanno. Se gli utenti acquistassero
più consapevolezza e abilità, sarebbe molto più difficile per gli hacker
stabilire e usare botnet.
Nessun commento:
Posta un commento