Kenkėjiška programinė įranga kuriama jau daugiau kaip 40 metų. Vis dėlto jos panaudojimas kompiuterių sujungimui tarpusavyje yra tik XXI amžiui būdingas reiškinys. Tai ir yra vadinamieji „botnet“ – kibernetinių nusikaltėlių sukurti nelegalūs kompiuterių tinklai. Būtent jų dėka įvykdyti vieni iš daugiausiai nuostolių atnešusių kibernetinių nusikaltimų per pastaruosius dešimt metų. Aptikimui, gynybai ir, jei tik įmanoma, tokių tinklų sunaikinimui iki šiol dedamos didžiulės pastangos.
ESET saugumo žvalgybos programos vadovas ir vienas iš šiųmetinį „Virus Bulletin“ Peter Szőr apdovanojimą atsiėmusių ekspertų Pierre-Marc Bureau pateikia išsamius atsakymus apie „botnet“ tinklus.
Kas yra „botnet“ tinklai?
Pats terminas „botnet“, kaip ir daugelis kompiuterinių sąvokų, yra kilęs iš anglų kalbos. Jis sudarytas iš dviejų žodžių trumpinių. „Bot“ reiškia robotą (angl. robot) – taip saugumo ekspertai tarpusavyje vadina virusų užkrėstus kompiuterius. „Net“ yra „tinklo“ (angl. network) trumpinys, reiškiantis grupę sistemų, sujungtų tarpusavyje. Taigi, „botnet“ – kenkėjiška programine įranga užkrėstų ir taip valdomų kompiuterių tinklas. Kaip aiškina P. M. Bureau, sukūrus ir paleidus veikti piktybinį programinį kodą, neįmanoma tiesiogiai prisijungti prie kiekvieno kompiuterio ir jį ten įdiegti. Todėl pasitelkiami „botnet“ tinklai, nuotoliniu būdu galintys sujungti tūkstančius ar net milijonus kompiuterių.
Kaip atpažinti, kad kompiuteris tapo „botnet“ tinklo dalimi?
Kai kompiuteris įtraukiamas į „botnet“ tinklą, jis gali pradėti savavališkai siųsti „spam“ laiškus ar nuolat perkrauti atidarytus tinklalapius. Tokie signalai gali būti aiškiai matomi vartotojams, kurie turi ribotą priėjimą prie interneto srauto.
Yra sukurta ir daugiau reikalingų įrankių, padedančių atpažinti „botnet“ grėsmę. Vienas patikimiausių – turėti gerą antivirusinę programą. Na, o kompiuteriniame pasaulyje labiau susigaudantys vartotojai gali pasinaudoti diagnostiniu įrankiu, tokiu kaip, pavyzdžiui, „ESET SysInspector“. Be to, galima tikrinti, kurie kompiuterio vykdomi procesai ar veikiančios programos neatitinka vartotojo nurodymų ir taip atsekti „botnet“ komandas.
Vis dėlto P. M. Bureau pripažįsta, jog esama atvejų, kai nustatyti kompiuterio įtraukimą į „botnet“ tinklą gali būti labai sunku.
Kas ir kodėl naudoja „botnet“ tinklus?
ESET ekspertas aiškina, jog „botnet“ tinklus galima naudoti pačiais įvairiausiais tikslais – nuo „spam“ žinučių siuntimo iki privačios informacijos vagysčių. Esmė ta, kad kuo didesni turimos informacijos kiekiai, tuo daugiau naudos iš jos galima išgauti. Kibernetiniai nusikaltėliai naudojasi „botnet“ tinklais kad pavogtų elektroninės bankininkystės prisijungimo duomenis ar vykdytų nusikaltimus. Įvairūs „pokštininkai“ išnaudoja „botnet“ šnipinėdami vartotojus per web kameras bei vykdydami panašius privatumo pažeidimus.
Koks yra pagrindinis serveris, jungiantis „botnet“ tinklus?
„Botnet“ tinklo valdymas, ypač pirmųjų pradėjusių veikti tokių tinklų, yra centralizuotas. Tai reiškia, kad visi į vieną tinklą įtraukti kompiuteriai valdomi vieno Komandų ir kontrolės serverio (angl. Command-and-Control server; C&C; C2). Sunaikinus tokį serverį, išjungiamas ir visas „botnet“ tinklas, nes jis visiškai priklauso nuo pagrindinio serverio komandų.
Vis dėlto esama ir išimčių. „Botnet“ tinklai gali būti valdomi ir decentralizuotu, vadinamuoju „peer-to-peer“ būdu. Tai reiškia, jog nėra vieno serverio, kurį pašalinus, būtų sutrikdytas „botnet“ veikimas.
Vis dažniau stebimas „botnet“ tinklų valdymas pasitelkiant ne vieną serverį. Tai – vienas iš sunkiausiai susekamų ir pašalinamų kontrolės būdų. Neretai serveriai išdėstomi įvairiose pasaulio šalyse, kuriose galioja skirtingi įstatymai. Taip kibernetiniai nusikaltėliai pasirūpina, kad jų „botnet“ tinklą išjungti taptų itin sudėtinga.
Kokią grėsmę „botnet“ tinklai kelia verslo ir privatiems vartotojams?
P. M. Bureau pabrėžia, jog „botnet“ tinklai kelia tokį patį pavojų kaip ir bet kuri piktybinė programa. „Botnet“ tinklų veikimas gali būti labai platus – iš įrenginio gali būti pasisavinta svarbi informacija, duomenys, slaptažodžiai, prisijungimo vardai, schemos, planai ir pan. Be to, tokie kompiuteriai gali būti panaudoti kaip serveriai tinklo plėtimui ar komandų davimui.
Svarbiausia suprasti tai, jog kompiuteriui tapus „botnet“ tinklo dalimi, savininkui jis nebepriklauso, nors tebestovi ant jo stalo. Nuo šiol įrenginį kontroliuoja ir jo valdymą perima galbūt kitoje pasaulio pusėje esantys nežinomi asmenys. Tai, kokio masto kibernetiniams nusikaltimams vartotojo kompiuteris bus panaudotas, priklauso tik nuo jų.
Kurie pažeidžiami labiau – įmonės ar privatūs vartotojai?
Į šį klausimą vienareikšmio atsakymo nėra. Apskritai, pati riba tarp privačių ir verslo kompiuterių yra neapibrėžta. Juk ne vienas mūsų į darbą nešamės asmeninio naudojimo įrenginius, o darbo kompiuterį vežamės namo. P. M. Bureau šiuo klausimu neišskiria nė vienos vartotojų grupės. Anot jo, korporacijose dažnai dirba aukšto lygio kibernetinio saugumo specialistai, galioja griežtos įrenginių naudojimo taisykles, taigi, aptikti „botnet“ tinklą gali būti lengviau. Kita vertus įmonės daug labiau rizikuoja kompiuteriuose laikydamos itin svarbią vidaus informaciją.
Ar kuri nors vartotojų grupė gali būti labiau pažeidžiama nei kitos?
Kadangi kiekvienai vartotojų grupei kasdien sukuriama vis naujų grėsmių, galima teigti, jog visų jų rizika vienoda.
Kokie yra didžiausi ir geriausiai žinomi „botnet“ tinklai?
Vienas iš geriausiai istorijoje žinomų tinklų – „Conficker“. Šis „botnet“ junginys neįtikėtinai greitai įtraukė milijonus kompiuterių. Būtent dėl šios priežasties „Conficker“ iš karto patraukė specialiųjų tarnybų dėmesį ir kovai su juo buvo sudaryta speciali grupė. Taigi, „Conficker“ kūrėjai tinklo galimybėmis taip ir nepasinaudojo.
Kitas ryškus „botnet“ tinklas – „Storm“, daugiausiai naudotas siųsti „spam“ laiškams, ir TDSS (dar vadinamas „Alureon“). Pastarasis turėjo įdiegtą slaptą kenkėjišką programą, skirtą apsisaugoti nuo aptikimo, todėl išardyti šį tinklą buvo itin sudėtinga.
Ar ESET šiais metais pavyko aptikti „botnet“ tinklų?
ESET šiais metais ne tik aptiko vieną didžiausių „botnet“ tinklų savo istorijoje, bet ir už jo analizę laimėjo išskirtinį „Virus Bulletin“ Peter Szőr apdovanojimą. Šis tinklas – tai taip vadinama operacija Windigo (angl. Operation Windigo). Windigo per pastaruosius keletą metų įtraukė daugiau nei 25 tūkstančius serverių bei išnaudojo juos informacijos vagystėms, „spam“ laiškų siuntinėjimui ir vartotojų nukreipimui į užkrėstus tinklalapius.
Kokiose operacinėse sistemose gali veikti „botnet“?
Svarbu įsidėmėti tai, jog šie tinklai gali būti sukuriami iš bet kurią OS turinčių įrenginių. Android, Linux ar Mac naudojantys kompiuteriai gali būti sujungiami į vieną didelį tinklą. Kaip pavyzdį P. M. Bureau pateikia „Flashback“, virusą, kuris apkrėtė šimtus tūkstančių Mac kompiuterių.
Kaip galima efektyviai kovoti su „botnet“?
Kalbant iš technologinės pusės, esama daug įvairių būdų, kaip atpažinti ir atsijungti nuo „botnet“ tinklo. Galima stebėti tinklo srautą, tikrinti užkrėstų kompiuterių atmintį ar kietuosius diskus.
Vis dėlto P. M. Bureau mano, jog efektyviausias būdas kovoti su „botnet“ – tai vartotojų švietimas. Visuomenė, saugumo ekspertai turėtų dėti pastangas, kad tokia grėsmė kaip „botnet“ tinklas taptų visiems suprantama sąvoka. Anot P. M. Bureau, vartotojai turėtų suvokti, jog jeigu jų kompiuteris užkrečiamas, jis gali būti panaudojamas kaip įrankis tolimesnėms atakoms vykdyti. Taigi, nesvarbu, kada vartotojas supranta, jog jo kompiuteris veikia ne taip, kaip turėtų, šis turi būti tuojau pat atjungiamas nuo interneto, o į pagalbą kviečiami specialistai.
P. M. Bureau pabrėžia, jog tik vartotojų, saugumo ekspertų, interneto srauto tiekėjų ir valstybinių struktūrų bendradarbiavimo dėka galima iš tiesų efektyviai kovoti su „botnet“ tinklais. Tik taip šie kenkėjiški dariniai gali būti išardyti, o jų kūrėjai patraukti baudžiamojon atsakomybėn.