”Taistelu bottiverkkoja vastaan voitettavissa”
0
Kaapatuista koneista kootut bottiverkot ovat erittäin suuri ongelma. Ne kehittyvät ja muuttavat muotoaan, taistelu niitä vastaan on jatkuvaa kissa-hiiri -leikkiä. Verkoihin kaapattujen koneiden lukumäärä lasketaan miljoonissa. Watchguardin verkkoturva-analyytikko Corey Nachreiner uskoo silti, että jonakin päivänä ne on kukistettu.
"Irc-kanavien kautta ohjattavista bottiverkoista on päästy jo aika hyvin eroon, tosin uusia uhkia tulee eteen. Mutta vähän kerrassaan tämä taistelu voitetaan", hän lupaa.
Nachreiner oli Helsingissä puhumassa yhtiönsä asiakastilaisuudessa ja selvitti bottiverkkojen ominaisuudet ja toiminnan perin pohjin. Verkon luominen näyttää olevan pelottavan helppoa.
Näin rakennat bottiverkon
"Irc-kanavia komento- ja yhteydenpitokanavanaan käyttäviä bottiohjelmien lähdekoodeja on helppo löytää, ei pitkään tarvitse Googlea käyttää. Edistyneempiä http-kommunikointiin käyttäviä joutuu kaivamaan vähän pidempään. Nyt bottiverkkojen ohjauksessa ollaan siirtymässä vertaisverkkotekniikan käyttöön, ja näiden bottiohjelmien löytäminen ei ole helppoa", Nachreiner kertoo.
Bottiohjelmien lähdekoodit ovat yleensä hyvin rakennettuja, niitä on verkon yläpitäjän helppo muokata tarpeidensa mukaisiksi. Siksi niiden tunnistaminenkin on vaikeaa. Alkuvalmistelujen jälkeen viritetään ohjauspalvelin toimimaan ja hankitaan jostain ensimmäinen uhri. Sen jälkeen kaikki rullaakin omalla painollaan, sillä jo kaapattuja koneita voidaan tehokkaasti käyttää uusien uhrien hankkimiseen.
Esimerkkinä nykyaikaisesta bottiverkosta Nachreiner esitteli Euroopan viime talven myrskyn jälkipuhureissa levitetyn Storm- eli Myrskymadon avulla luodun hirviön. Hän arvelee siihen kuuluneen pahimmassa vaiheessa viime kesänä 1-1,5 miljoonaa konetta.
"Tuo verkko rakennettiin p2p-periaatteella hitaasti. Koneille asennetut bottiohjelmat muuttivat koko ajan muotoaan, jotta niitä oli vaikea havaita. Ne osasivat hämätä virustorjunnan siten, että se käyttäjä luuli sen olevan toiminnassa, vaikka torjunta oli tosiasiassa tehty tehottomaksi. Ja Storm osasi myös puolustautua. Olen kuullut tapauksista, joissa kaapattuja koneita haistelevat tutkijat ovat saaneet silmilleen palvelun estohyökkäyksen", Nachreiner sanoo.
Lue lokia
Hän korostaa monikerroksisen suojautumisen tärkeyttä, kun koneita pyritään varjelemaan kaappauksilta: "Palomuuri, säännölliset ja vitkastelemattomat päivitykset, virustorjunta ja tunkeutumisenesto tietysti käyttöön. Suodatukset ovat myös hyödyksi, ylläpito voi estää exe-tiedostojen lataamisen koneisiin."
Elintärkeänä Nachreiner pitää käyttäjien kouluttamista. "Kun ymmärretään, että vaarassa ovat omatkin luottokorttitiedot, motivaatio nousee kummasti."
Hän neuvoo myös säätämään palomuurin niin, että se sallii vain luvalliset yhteydet. Jos yritysverkoista ei ole mitään asiallista asiaa irc-kanaville, niille ei myöskään tarvitse päästää. "Lokeja kannattaa seurata. Silmä oppii näkemään, miltä niiden pitäisi näyttää, poikkeuksellinen toiminta kuten roskapostitulva verkosta ulos erottuu kyllä."
Storm-mato levisi viime talvena sähköpostiviestien mukana.
