Contro le botnet non c'è nulla da fare

La guerra tecnologica contro le reti di PC zombie controllati da remoto dai criminali informatici potrebbe essere già persa. Lo sostengono alcuni ricercatori

Roma - Le botnet? Impossibile combatterle. Gli attacchi basati sui PC zombie si evolvono tanto velocemente da rendere vani gli sforzi tesi ad approntare contrattacchi e sistemi di sicurezza efficaci. Gli esperti specializzati nella caccia a questa nuova genìa di "malware distribuito" esprimono tutta la loro frustrazione nel rilevare come ad ogni contrattacco corrisponda una contromossa dei coder criminali, tale da mettere fuori gioco quanto era stato fino a quel punto realizzato per neutralizzare la minaccia.

"Siamo a conoscenza della minaccia delle botnet da pochi anni ma solo ora stiamo realizzando come esse funzionino in concreto, e mi dispiace ammettere il fatto che potremmo essere due o tre anni indietro in termini di meccanismi di risposta", sostiene Marcus Sachs, in forze alla divisione Computer Science Laboratory dell'organizzazione di ricerca indipendente SRI International.

Che cos'è una botnet? È una rete di PC connessi su banda larga, caduti vittima di un'infezione durante un attacco di un worm, un trojan o altro agente virale, in cui è stato innestato un software di controllo remoto che connette la macchina infetta ad un server, in attesa di istruzioni da parte del burattinaio telematico che controlla la rete.
La diffusione dei PC zombie, sottratti al controllo dell'utente e totalmente assoggettati ad una volontà esterna, è in crescita esponenziale, dicono le stime delle società di sicurezza. Symantec ha rilevato come, durante i primi sei mesi del 2006, sia stata osservata in azione una media di ben 57.000 bot al giorno. Durante il suddetto periodo, la compagnia di Norton Antivirus ha contato 4.7 milioni di computer singoli catturati dalle botnet, impiegati in attività criminose quali attacchi DoS, installazione di malware, adware e spyware e attività di keylogging ai danni di dati finanziari sensibili.

Come riporta Punto Informatico, i danni causati dalle botnet (principalmente economici, ma non solo) alle infrastrutture e ai business di rete sono già stati notevoli. Ora alcuni esperti sostengono persino che la situazione non può far altro che peggiorare.

"Siamo riusciti a far refluire la marea, ma è stato per la gran parte un tentativo inutile", sostiene Gadi Evron, security evangelist della compagnia di sicurezza israeliana Beyond Security e uno dei protagonisti principali all'interno della community dei cacciatori di reti zombie. "Ogni volta che disabilitiamo un server di comando-e-controllo, la botnet viene immediatamente ricreata su un nuovo host. A quel punto non possiamo fare più niente", dichiara Evron in un intervista su eWEEK.

La tecnologia alla base dei network criminali evolve poi in continuazione, al punto da individuare i possibili punti meno performanti della rete, magari collegati con una connessione lenta in dial-up, per escluderli da attacchi complessi e relegarli alla semplice installazione di spyware o adware assortito. Le botnet moderne impiegano nuove tecniche di camuffamento per nascondere la propria presenza ai software di sicurezza e ai ricercatori.

Caso esemplificativo dell'incremento di complessità delle botnet è il trojan Sinit: basandosi su un principio di connessione peer-to-peer, ogni macchina infetta dal malware diventa un nodo capace di diffondere a sua volta l'infezione con l'invio di trojan aggiuntivi. La cosa che rende ancora più sofisticata la rete è il fatto che il codice trasportato dai bot è segnato digitalmente e quasi impossibile da decifrare.

Gadi Evron, che insegue le botnet dal 1996, sostiene che "si sono evolute al punto che non c'è nessun server di comando-e-controllo da trovare e spegnere". "Per un periodo, questa è stata la loro principale debolezza. Oggi, c'è sufficiente ridondanza e canali di controllo alternativi da poterle mantenere sempre attive".

Alfonso Maruccia
88 Commenti alla Notizia Contro le botnet non c'è nulla da fare
Ordina
  • Secondo me è molto più utile creare delle blacklist mondiali di IP come Spamhaus, Sorbs...

    Se un IP è blacklistato per un certo periodo di tempo, allora quel PC non potrà comunicare.
    Magari associare IP + MAC Address per ottenere una cosa combinata

    O, ad esempio, si potrebbero scasionare gli IP sospetti con un metodo per trovare possibili falle e, se fallati, escluderli da future comunicazioni fino a risoluzione del problema.

    Ma magari sto tralasciando qualcosa...

    bye
    non+autenticato

  • - Scritto da:
    > Secondo me è molto più utile creare delle
    > blacklist mondiali di IP come Spamhaus,
    > Sorbs...
    >
    > Se un IP è blacklistato per un certo periodo di
    > tempo, allora quel PC non potrà
    > comunicare.
    > Magari associare IP + MAC Address per ottenere
    > una cosa
    > combinata
    >
    > O, ad esempio, si potrebbero scasionare gli IP
    > sospetti con un metodo per trovare possibili
    > falle e, se fallati, escluderli da future
    > comunicazioni fino a risoluzione del
    > problema.
    >
    > Ma magari sto tralasciando qualcosa...
    >
    > bye

    Lode alle buone intenzioni, ma stai tralasciando che la maggior parte degli IP "casalinghi" è dinamico, e quindi un singolo PC finirebbe con l'invalidare centinaia di IP.
    Col MAC address sarebbe fatto un pelino meglio, ma il MAC address lo si può cambiare. Certo allevierebbe il problema, ma non lo risolverebbe alla radice.

    Scollegare l'utente/untore finché non sana la sua macchina, invece sarebbe un'ottima cosa.

    Ti vuoi collegare ad Internet?
    Bene!
    Svermina o fai sverminare quella cloaca putrescente piena di pus che chiami PC.
    Altrimenti ti attacchi! Ma non ad interner... Ficoso
    non+autenticato
  • A prescindere dall'accortezza degli utenti o dalla qualità dei singoli sistemi operativi... penso che se fra tutti i computer ci fosse una proporzione "equa" fra i SO e i software installati, anziché il 98% di solo Windows, virus/worm/trojan e quant'altro avrebbero molta più difficoltà a cercare un'altra vittima e infettarla.
    Ad esempio, se le proporzioni fossero anche solo 50%-25%-25% fra Win,Linux e Mac, un trojan per Windows avrebbe solo il 25% di possibilità di attaccare un altro Windows (sempre che non sia aggiornato...)
    Come insegna Madre Natura, la diversità delle specie aiuta a prevenire i contagi dalle malattie infettive.
    non+autenticato
  • Quello che non è abbastanza chiaro a noi utenti comuni e profani (e Punto Informatico nei suoi articoli non farebbe male a essere un po' più esplicito al riguardo) è fino a che punto un antivirus aggiornato possa essere efficace contro il pericolo di cadere vittima di un trojan o di un qualsiasi tipo di malware. Infatti, se come da profano mi pare di avere bene o male capito, un trojan e un virus sono due cose diverse, fino a che punto ho la certezza che un antivirus costantemente aggiornato (io uso AVG Free Edition, che mi ha sempre dato buone garanzie, ma sotto sotto tengo le dita incrociate) tenga al riparo il mio computer dal pericolo di diventare uno zombie? C'è magari qualcuno più esperto di me in questo forum che può cortesemente rispondere ai miei angosciosi dubbi? Grazie
    non+autenticato
  • a mio parere non basta.

    Ci sono orami troppe "bestioline" in giro per la rete e i software antivirus fanno fatica a riconoscerle proprio tutte. Non appena una bestiolina si installa, stai sicuro che la prima cosa che farà sarà aprire la porta anche alle altre bestioline, facendo bene attenzione che l'antivirus se ne stia zitto in un cantuccio.

    Quello che serve è il buon senso, una firewall bidirezionale che ti avvisi se un programma non autorizzato sta cercando di accedere alla rete e soprattutto, un utente informato che sappia che non deve cliccare yes yes yes yes avanti ok riavvia ad ogni richiesta.

    madder
  • >qualcuno più esperto di me in questo forum che >può cortesemente rispondere ai miei angosciosi >dubbi? Grazie

    l'antivirus aggiornato non è sufficiente

    l'unica soluzione valida è al momento cambiare
    sistema operativo, passando a linux o osx

    poi, volendo, usare windows o virtualizzato, o staccato dalla rete

    ciao
    non+autenticato

  • - Scritto da:
    > Quello che non è abbastanza chiaro a noi utenti
    > comuni e profani (e Punto Informatico nei suoi
    > articoli non farebbe male a essere un po' più
    > esplicito al riguardo) è fino a che punto un
    > antivirus aggiornato possa essere efficace contro
    > il pericolo di cadere vittima di un trojan o di
    > un qualsiasi tipo di malware. Infatti, se come da
    > profano mi pare di avere bene o male capito, un
    > trojan e un virus sono due cose diverse, fino a
    > che punto ho la certezza che un antivirus
    > costantemente aggiornato (io uso AVG Free
    > Edition, che mi ha sempre dato buone garanzie, ma
    > sotto sotto tengo le dita incrociate) tenga al
    > riparo il mio computer dal pericolo di diventare
    > uno zombie? C'è magari qualcuno più esperto di me
    > in questo forum che può cortesemente rispondere
    > ai miei angosciosi dubbi?
    > Grazie

    L'antivirus non è sufficiente.
    Un antivirus e un buon firewall bidirezionale, sono appena sufficienti.
    Un buon antivirus, un buon firewall bidirezionale, più un utente non amministratore con permessi limitati, sono il minimo sindacale.
    Un buon antivirus, un buon firewall bidirezionale, un utente non amministratore con permessi limitati e software originale e di provenienza certa (non scaricato col mulo, o crackato col mulo) sono una discreta garanzia di sicurezza.
    Un buon antivirus, un buon firewall bidirezionale, un utente non amministratore con permessi limitati, software originale, di provenienza certa (non scaricato col mulo, o crackato col mulo) e open source (dal sistema opertivo, ai driver passando per ogni applicativo), sono decisamente sinonimo di ottima sicurezza (non solo assenza di codice maligno, ma anche una buona, pur se non assoluta, a meno di non spulciare o scrivere personalmetne tutto il codice del software che si usa, certezza di assenza di spyware, backdoor, hidden-features, ...). Credo comunque che questo non sia l'ultimo livello.
    non+autenticato
  • vi ringrazio per le vostre tre risposte, la cui unanimità mi pare altamente sintomatica di uno stato d'animo di sempre maggiore insicurezza ormai diffuso per tutta la rete (la terza poi sconfina quasi nel paradossale...). Osservo però che, se è certamente vero che un antivirus costantemente aggiornato può lasciarti sguarnito dal pericolo di diventare uno zombie, in teoria dovrebbe farlo solo per un tempo limitato (due giorni, una settimana, fosse pure un mese!), ma a un certo punto il programma dovrebbe mettere in grado l'utente di venire a conoscenza del fatto che ha delle backdoor aperte (altrimenti, a che serve l'aggiornamento?). In ogni caso, mi piacerebbe molto che Punto Informatico dedicasse qualche articolo a questo tema, e in particolar modo a spiegare con la chiarezza e l'abbordabilità che lo fa amare dai profani, fino a che punto un antivirus costantemente aggiornato è insufficiente a proteggersi dai pericoli del malware, e quali programmi si potrebbero/dovrebbero usare per diagnosticare eventuali "possessioni"... Infatti mi pare che il grande pericolo che tutti corriamo non è tanto quello di essere per uno, due o tre giorni dei veicoli inconsapevoli di un Bot che ti manovra, quanto il pericolo di esserlo per sempre senza mai accorgersene né averne il minimo sospetto... O NO????
    non+autenticato
  • No, perchè ormai, la maggior parte dei malaware, tra le attività che compiono, disabilitano in qualche modo subdolo l'antivirus, impedendo che si aggiorni, terminandone i processi di scansione, o anche semplicemente nascondendosi (rootkit).

    Quindi, una volta infettato, l'antivirus è bello che fregato e inutile

    madder
  • A chi la vogliono dare a bere? Non ci sono soluzioni? nulla da fare? Andatelo a dire agli ignoranti. Per sistemi come Windows, sistema close source, forse può essere vero dire che non c'è nulla da fare. Ma per un sistema operativo open source, e per programmi open source, dove il codice sorgente di tutti i progranni è aperto e a disposizione di tutti, si può fare molto contro le bot net. Tuttavia esiste una volontà superiore che non vuole promuovere soluzioni open source per paura di perdere i privilegi acquisiti. Sta all'utente finale scegliere se farsi inchiappetare o meno. Scegliamo l'open source e dormiremo tranquilli.
    non+autenticato

  • - Scritto da:
    > A chi la vogliono dare a bere? Non ci sono
    > soluzioni? nulla da fare? Andatelo a dire agli
    > ignoranti. Per sistemi come Windows, sistema
    > close source, forse può essere vero dire che non
    > c'è nulla da fare. Ma per un sistema operativo
    > open source, e per programmi open source, dove il
    > codice sorgente di tutti i progranni è aperto e a
    > disposizione di tutti, si può fare molto contro
    > le bot net. Tuttavia esiste una volontà superiore
    > che non vuole promuovere soluzioni open source
    > per paura di perdere i privilegi acquisiti. Sta
    > all'utente finale scegliere se farsi
    > inchiappetare o meno. Scegliamo l'open source e
    > dormiremo
    > tranquilli.


    Non è affatto vero, la colpa in questo caso non sta dalla sola parte di zio bill, la colpa (o il merito?) sta nel fatto che le tecnologie sono sempre più facili da usare e al contempo chi le usa è sempre meno preparato. Questo anche in ambito lavorativo.

    Prendiamo l'ambito web, se da una parte è facile installare un software open source come il forum phpbb (chiunque con un minino di voglia ci riesce) dall'altra è altrettanto facile subire attacchi. Chi è meno preparato non ha la voglia/conoscenza di tenere aggiornato il software per evitare gli exploit.

    Anche questi sono veicoli di diffusione delle botnet, con gli esploit vengono installati sul server web vittima dei veri e propri client irc pronti ad essere comandati da remoto.

    Come vedi l'opensource non ti protegge affatto, l'unica cosa che puo' proteggerti da una botnet è una bella botta di C##O

    non+autenticato
  • > Come vedi l'opensource non ti protegge affatto,

    Certamente che l'open source non protegge di per sè, ma se il phpbb è bacato, per esempio, io e migliaia di altri sviluppatori nel mondo ci possiamo mettere il naso dentro e vedere quali sono i punti deboli, correggerli e migliorarlo nella sicurezza, se è open source, e rendere disponibile la versione corretta. Se invece è closed non è possibile migliorarlo e ce lo teniamo bacato.
    non+autenticato
  • le tecnologie NON sono facili da usare... ti fanno credere che lo siano e ti mostrano come l'inizio della curva di apprendimento sia piatta... poi sale, e sale ripidamente.

    vediamo: per inviare un e-mail clicca su "componi", inserisci l'indirizzo del destinatario, scrivi il messaggio e clicca su "invia". Facile no?

    Prova a chiedere allo stesso utente di configurarsi da solo il server pop e smtp.

    madder
  • Per alimentare la polemica (ed io concordo essenzialmente con quanto da te detto): qui c'è una mia piccola esperienza, che mostra come l'ignoranza sia radicata e voluta dalle 'alte sfere'.

    http://groups.google.it/group/it.comp.os.linux.sys...

    Scionforbai
  • - Scritto da:
    > A chi la vogliono dare a bere? Non ci sono
    > soluzioni? nulla da fare? Andatelo a dire agli
    > ignoranti. Per sistemi come Windows, sistema
    > close source, forse può essere vero dire che non
    > c'è nulla da fare. Ma per un sistema operativo
    > open source, e per programmi open source, dove il
    > codice sorgente di tutti i progranni è aperto e a
    > disposizione di tutti, si può fare molto contro
    > le bot net. Tuttavia esiste una volontà superiore
    > che non vuole promuovere soluzioni open source
    > per paura di perdere i privilegi acquisiti. Sta
    > all'utente finale scegliere se farsi
    > inchiappetare o meno. Scegliamo l'open source e
    > dormiremo
    > tranquilli.


    Parole Sante
    Quoto per intero Angioletto
    non+autenticato
  • Se esiste la mappatura dei pc infetti esiste anche la possibilità di sapere chi sono i proprietari. Un accordo in tal senso tra autorità e provider dovrebbe essere studiato prima di applicare tutte le vaccate antiqua e antilà approvate negli Usa, tantpo per fare un esempio.
    Una volta individuato l'utente avvertirlo consigliandogli la formattazione del pc con la previa raccomandazione di salvare i dati importanti. Dopodichè gli si intima la pulizia del pc di ogni malefica invadenza,   dopodoch, se non ottempera a quanto intimato, lo si isola togliendogli la connessione.
    1,2,3,4,5,6,50 utenti e i finti tonti cominceranno a diminuire
    non+autenticato
  • FORMATTA! E' UN ORDINE!!

    Rotola dal ridere

  • - Scritto da: logiq
    > FORMATTA! E' UN ORDINE!!
    >
    > Rotola dal ridere

    cariiiiiiinooooo

    potrebbero anche apparire i "giustizieri della notte" che individuano i punti delle botnet e formattano loro eh...Occhiolino


    se ne fregano, non sono forze dell'ordine ma guerrieri dell'altra "forza" ... (criminali anch'essi, dal punto di vista dell'ordine costituito)

    magari ti fanno apparire un bel BSOD con "scaricamento della memoria in corso, attendere" e intanto il tuo hardiskino viene formattato a basso livelloSorride
    non+autenticato
  • >
    > cariiiiiiinooooo
    >
    > potrebbero anche apparire i "giustizieri della
    > notte" che individuano i punti delle botnet e
    > formattano loro eh...
    >Occhiolino
    >
    >
    > se ne fregano, non sono forze dell'ordine ma
    > guerrieri dell'altra "forza" ... (criminali
    > anch'essi, dal punto di vista dell'ordine
    > costituito)
    >
    >
    > magari ti fanno apparire un bel BSOD con
    > "scaricamento della memoria in corso, attendere"
    > e intanto il tuo hardiskino viene formattato a
    > basso livello
    >Sorride

    fiiiiiiiiigooooooooooo
    ("kawaiiiiiiiiiii" in nihonji[giappo])

    quasi quasi mi metto al lavoro...
    come chiamiamo questo gruppo?

    i formatter ribelli?
    i cavalieri erase?
    i formattoidi?
    l'ordine del delete?
    oppure i devastatori di MBR?

    Newbie, inespertoA bocca aperta
    non+autenticato

  • - Scritto da:
    <cut>
    > Una volta individuato l'utente avvertirlo
    > consigliandogli la formattazione del pc con la
    > previa raccomandazione di salvare i dati
    > importanti. Dopodichè gli si intima la pulizia
    > del pc di ogni malefica invadenza,   dopodoch,
    > se non ottempera a quanto intimato, lo si isola
    > togliendogli la connessione.
    >
    > 1,2,3,4,5,6,50 utenti e i finti tonti
    > cominceranno a
    > diminuire

    Approvo in pieno!
    Cosi', piano piano, si isoleranno tutti i client windoz del pianeta.
    Mi pare geniale come idea.
    Eeeeh? Fantasma
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)