ABC della sicurezza: “Botnet”

Lo abbiamo sentito ripetere sempre con maggiore frequenza negli ultimi anni: in rete le imprese devono prestare attenzione al tema della sicurezza perché hacker e malintenzionati possono creare non pochi problemi. Grazie a tecniche sempre più sofisticate di attacco e al proliferare di situazioni a rischio mano a mano che il digitale entra in tutte le attività quotidiane, nessuna organizzazione può dirsi veramente sicura a meno di non mettere in atto adeguate strategie di prevenzione. Tutto è possibile, oggi ai criminali informatici: rubare credenziali di accesso e password a servizi web e bancari; frodare i meccanismi pubblicitari online, inviare email di spam o di phishing. Con ingenti, e quantificabilissimi, danni. Tanto che Ponemon Institute, stima che in Italia una violazione di dati ha un costo medio di 146 dollari per ogni record sottratto, il che fa capire quanto le attività di mitigazione e prevenzione messe in atto dalle aziende siano importanti.

Ma cosa c’è dietro gran parte degli attacchi di cui oggi sentiamo parlare  e cosa fare per limitarne i danni?

computernetwork_iStock_000004660040XSmall-2

Le botnet

Una botnet è un insieme di dispositivi/computer che risultano connessi a Internet, controllati a distanza e che interagiscono fra loro al fine di portare a termine un compito distribuito e condiviso. Questa definizione di per sé non ha connotazioni negative ma il termine botnet si riferisce, nella maggior parte dei casi, a quei sistemi progettati e costruiti per portare a termine azioni illegali di diverso tipo e con differenti motivazioni. Tali sistemi complessi sono costituiti da macchine (computer, tipicamente) che vengono compromessi e “assimilati” da colui o da coloro che vogliono esercitare una forma di controllo sul sistema stesso. La compromissione dei PC avviene senza che il proprietario ne sia consapevole. Una volta “catturate” le macchine vengono definite appunto “bot”, zombie o droni e da quel momento saranno controllate da un “bot master” che a quel punto le governa per i suoi fini, tipicamente illegali. L’infezione dei PC avviene tramite l’utilizzo di un malware che viene inoculato tramite differenti  vettori (drive-by download, trojan horse ad esempio) nel sistema vittima. Il controllo esercitato dal “bot master” o “bot herder” sul proprio esercito di zombie o droni avviene a partire da un server, il server di “command–and-control” (abbreviato in C&C).

Una botnet tende a crescere nella sua estensione e nella numerosità degli zombie di cui dispone, ogni zombie ha subito un processo di exploit, infezione e assimilazione. Lo scopo del master è avere il maggior numero di zombie ai propri ordini perché questa condizione gli conferisce maggior potere, il reclutamento è quindi un processo fondamentale per il “bot herder” e può avvenire anche in maniera automatica attraverso processi malevoli definiti spreader che svolgono il compito di andare alla ricerca, tramite scansione di indirizzi IP, di altri PC vulnerabili al fine di assimilarli a loro volta (a differenza dei cosiddetti worm che si propagano in maniera incontrollata in questo caso il controllo esiste ed è esercitato dal master).

Il C&C è l’interfaccia fra il master e la botnet, in sostanza il master comanda il C&C e il C&C a sua volta comanda i bot. Il canale storicamente utilizzato per il controllo delle botnet è il protocollo IRC (Internet Relay Chat) un protocollo semplice, diffuso e flessibile. Il software (malevolo) a bordo del bot è progettato per contattare tramite IRC il server e ricevere quindi comandi dal master attraverso lo stesso canale. A sua volta il master per comunicare con il C&C può, a scopo precauzionale e a tutela della sua impunità, utilizzare la rete TOR. Altri metodi di comunicazione fra il C&C e i suoi bot sfruttano il protocollo http che ha il vantaggio di essere tipicamente consentito dai firewall.

Lo schema gerarchico del C&C che governa i bot non è l’unico paradigma possibile. Infatti nel corso degli anni è stato possibile assistere alla nascita di botnet basate su un controllo distribuito di tipo “peer-to-peer”. Tale modello risulta più resiliente, non confidando su un singolo C&C che rappresenta di fatto un “single point of failure”.

hacker

Quali attacchi e perché

Fra gli scopi illegali per cui vengono utilizzate le botnet è possibile citare l’esecuzione di attacchi di tipo DDOS (Distributed Denial of Service), che servono, ad esempio, per realizzare massicce campagne di spam o, come dicevamo prima, per il furto di credenziali bancarie o di dati riferiti a carte di credito e più in generale a portare avanti frodi di tipo finanziario. La diffusione del fenomeno è agevolata dalla crescente disponibilità globale di collegamenti a banda larga e all’aumento dei dispositivi connessi a Internet. Ma anche il Click Fraud, sistema di frodi legato ai falsi click su banner pubblicitari, il puro Keylogging, per catturare ciò che viene digitato sulla tastiera e carpire codici e password, o il Fast flux, per proteggere malware, fino al controllo del file system della macchina infetta. Intorno alla creazione del software necessario all’infezione e al governo delle botnet si è sviluppata nell’underground del cyberspace una fiorente economia criminale (si cita per approfondimenti e a titolo di esempio: The Underground Economy of Spam: A Botmaster’s Perspective of Coordinating Large-Scale Spam Campaigns). Sebbene alcuni malware corrispondenti a botnet siano classificati come di tipo “banking”, ciò non deve far abbassare la guardia alle aziende che operano in ambiti diversi da quello finanziario o bancario in quanto questo tipo di attacchi colpisce le organizzazioni in maniera trasversale attraverso tutti i settori).

Meglio prevenire

La contromisura più efficace al proliferare delle botnet, che possano arrivare a contare milioni e milioni di macchine infette, è – come spesso accade – la prevenzione e vale sia per gli utenti privati che per imprese e organizzazioni. PC con a bordo un antivirus aggiornato, un sistema operativo a cui vengono applicati aggiornamenti e patch in maniera regolare e programmi costantemente aggiornati costituiscono un ottimo punto di partenza per evitare l’infezione e quindi l’estensione delle botnet. Oltre la prevenzione esistono altri mezzi, degno di nota il progetto che riguarda le cosiddette honeynet attraverso le quali è possibile analizzare il comportamento dei bot master, ricostruirne le azioni, rilevare gli strumenti che utilizzano e le loro tecniche di attacco. Tutto questo allo scopo di effettuare il cosiddetto “takedown” cioè l’estinzione della botnet.

In sostanza il monito, anche in questo caso, come già emerso in passato, è prudenza.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here