Botnety jsou jednou z nevýznamnějších hrozeb, kterým dnes podnikové sítě čelí. Kyberzločinci s oblibou využívají tisíce i miliony infikovaných počítačů k proniknutí do firemních sítí, krádeži dat a identit, zahlcení systému nebo distribuci spamu.
Foto: Profimedia.cz
Až jedna čtvrtina všech osobních počítačů připojených k internetu je součástí nějakého botnetu, tedy sítě počítačů infikovaných speciálním software, většinou škodlivým, který je řízen z jednoho centra. V roce 2011 bylo v rámci botnetu TDL nakaženo 4,5 milionu počítačů a zhruba 100 000 unikátních adres denně. Současně v oblasti průmyslu zaznamenala polovina IT bezpečnostních profesionálů dramatický nárůst útoků škodlivým software, takzvaným malware.
Důležité milníky v růstu botnetů:
Z malwaru se stal velký byznys
Kyberzločinci již nejsou izolovanými amatéry. Jsou organizováni ve skupinách, které svou strukturou připomínají teroristické buňky - financováním, motivací a cíli. Mají dostatek zdrojů, času a znalostí, aby mohli využít boty k útokům, které ve výsledku stojí společnosti miliony.
Informace jsou pro hackery alfou a omegou. Finanční informace nejsou jedinými cennými daty, které stojí za odcizení. Je proto možno sledovat nárůst počtu útoků na obecné informace v porovnání s útoky na konkrétní finanční data nebo údaje o kreditní kartě. Tyto informace mají pro hackery velkou hodnotu, protože je mohou využít k dalším útokům a spamovým kampaním. Zároveň tím zvyšují úspěšnost útoků. Jako příklad lze uvést odeslání e-mailu 500 000 lidem s návrhem koupě několika výrobků. Pokud si zboží koupí každý tisící člověk, bude výsledkem 500 nových objednávek. Co teprve, pokud spammer pošle e-mail na 7 milionů adres.
Ukázkou, jak může být botnet silný, demonstroval „Rustock“, jehož armáda botů vytvářela 14 miliard nevyžádaných e-mailů za den. Botnet se podařilo odstavil v březnu 2011.
Růst sofistikovaných hrozeb
Firmy musí čelit různým druhům hrozeb, jakými jsou například viry, červi, trojské koně, spyware, adware a botnety. To vše jsou nástroje využívané kyberzločinci k pokročilým přetrvávajícím hrozbám (Advance Persistent Threats - APT), kdy jsou cílem útoku konkrétní osoby či podniky. Navíc polymofrní botnety na sebe mohou brát podobu například běžných aplikací, což ztěžuje odhalení pomocí signatur a tradiční antivirové programy tak v tomto boji selhávají. Podniky proto potřebují víceúrovňový systém ochrany.
Šíření ve velkém
Každá organizace má řadu rizikových vstupních bodů. Mezi ně patří především chybné zabezpečení webového prohlížeče, mobilních telefonů a vyměnitelných médií nebo nebezpečné přílohy. Současně s rozvojem Web 2.0 aplikací a používáním sociálních sítí jako součásti obchodní komunikace mají kyberzločinci široké možnosti, jak nalákat oběti ke kliknutí na škodlivý odkaz nebo „malvertising“, což je nebezpečná reklama běžící na legitimních webových stránkách.
V současnosti jsou botnety především zadními vrátky hackerů do společností. Jakmile jsou uvnitř, pracují velmi potichu, aby mohly odcizit co nejvíce informací, než bude jejich přítomnost odhalena. Jelikož jsou boty velmi nenápadné, firmy často nevědí o jakékoliv infekci svých počítačů. Mnoho bezpečnostních týmů nemá dokonce ani přehled o hrozbách, které botnety představují.
Dříve se předpokládalo, že nejpopulárnější botnety zneužívaly pouze počítače se systémem Windows. To už neplatí, ani systémy Linux a Mac nejsou imunní. Nové varianty botnetů jsou multiplatformní a lze očekávat více botnetů zaměřených na Apple, Android a další mobilní systém, které komunikují se servery prostřednictvím mobilní nebo Wi-Fi sítě.
Znepokojujícím trendem je využívaní sociálních sítí jako řídících a kontrolních center. Sociální sítě a internetové služby, jako je IM (Instant Messaging), jsou využívány k posílání příkazů škodlivým programům nainstalovaným na počítačích obětí. Kyberzločinci mohou touto cestou posílat zašifrované příkazy. Používání sociálních sítí umožňuje provést operaci rychle, aniž by bylo nutné nákladně spravovat celý server.
Útoky botnetů mohou v konečném efektu stát firmu od 25 000 až po 100 000 USD za jeden bezpečnostní incident. Nástroje pro úspěšné vytvoření botnetu lze přitom velmi snadno koupit na internetu. Bohužel je to vždy hra na kočku a myš. Pokaždé, když se objeví nová verze tradičního antivirového programu využívajícího pro detekci škodlivých kódů pouze signatury, odpovědí je nové verze malwaru. Zákonodárství, velké korporace a bezpečnostní experti začínají celou záležitost brát velmi vážně a snaží se zastavit botnety, právě jako je Rustock. Odstavením řídících serverů ztrácí operátoři botnetů kontrolu nad zombie počítači a zamezí se dalšímu šíření.
Autor pracuje ve společnosti Check Point Software Technologies.
