Alfonso Maruccia

PC zombie all'asta

Qualcosa che somiglia ad una borsa nera di botnet, un mercato ideale per chi in Rete vuole far danni. O soldi. Prezzi modici

Roma - Quanto costa un PC zombi? Poco, molto poco secondo le investigazioni di Finjan, società di sicurezza californiana che nel suo ultimo rapporto ha raccolto informazioni e cifre su Golden Cash, un hub sotterraneo in cui si incontrano esponenti di entrambe le parti del lucrativo business del cybercrime: venditori di network malevoli e acquirenti desiderosi di fare soldi in fretta, con una spesa minima e senza sforzo.

Su Golden Cash si vendono e si comprano botnet, sostiene Finjan, generalmente in blocchi da mille PC e con un prezzo variabile in proporzione alla parte del mondo in cui si vuole che il network sia operativo. Si tratta in ogni caso di cifre abbordabilissime da chiunque, fatte salve le notevoli differenze di prezzo per il paese scelto dall'acquirente: in Giappone 1.000 PC zombi costano 5 dollari totali, 50 se la botnet si trova negli USA e 100 in Australia.

Se non è presente il tipo di "prodotto" desiderato, il cybercriminale wannabe non deve far altro che piazzare una richiesta su Golden Cash e aspettare che qualcuno risponda con la quantità e la quantità di sistemi compromessi indicata.
Una volta ottenuto il controllo delle botnet l'acquirente è in grado di mettere in pratica ogni genere di crimine possibile in Rete, dallo spam al furto di informazioni personali e finanziarie. Tra i servizi previsti da Golden Cash c'è anche la possibilità di "migliorare" il prodotto aggiungendo nuovi sistemi di infezione, toolkit per exploit e per la creazione di malware con cui allargare il campo di influenza del network malevolo.

╚ anche possibile raccogliere credenziali di accesso per server FTP, avverte ancora Finjan, rendendo ancora più allettante un sistema che secondo le evidenze raccolte dagli analisti americani rappresenta una piattaforma di business altamente lucrativa, capace di offrire un veicolo di guadagno (ancorché illecito) sempre più attraente in un periodo di recessione economica come quello attuale. Qualcosa di simile, ma al confine tra ciò che è lecito e ciò che quasi non lo è più, si era già vista anche da quest'altra parte dell'Atlantico.

Alfonso Maruccia
90 Commenti alla Notizia PC zombie all'asta
Ordina
  • Se io controllo i log del firewall, nel mio caso Comodo, e nelle connessioni attive vedo soltanto il browser (presumendo che in quel momento ho solo il browser attivo) posso essere sicuro che niente altro sta comunicando attraverso il mio pc? Io controllo sempre i log di comodo e spesso analizzo gli ip che cercano di entrare nel mio sistema e che il firewall blocca (naturalmente blocca anche traffico in uscita verso ip vari)tramite servizi tipo whois cerco di capire chi sono questi ip spesso sono da ricondurre a telecom (ho una adsl alice) altre volte a reti cinesi ma questo tipo di interventi il firewall li fa solo se ho in attività programmi tipo utorrent oppure sono in internet con il browser (uso firefox)o comuque ho in attività un qualche programma che accede alla rete, altrimenti tutto tace, e anche un comando in console come netstat -ano e controllando il pid delle applicazioni attive risulta tutto regolare. Nonostante ciò io non mi sento sicuro possibile che non si riesca a trovare un mezzo per sapere con certezza che si è un pc zombie?
    non+autenticato
  • No se usi un software sul sistema che vuoi controllare non è al 100% affidabile perché potrebbero essere sfruttai servizi di sistema che non sono bloccati.

    La cosa migliore è mettere tra il tuo pc e internet un bel pc con livecd di linux che faccia da sniffer (wireshark).
    Li li vedi subito i pacchetti zombosi se ci sono.
  • Ho letto un miliardo di post che sostengono i Sistemi Linux impossibili da zombiezzare.

    Attenzione al falso senso di sicurezza perche' e' proprio quello che frega la maggior parte degli utenti ( sia quelli di sistemi Windows che credono di essere protetti dall'antivirus/firewall, sia gli utenti Linux che si sentono immuni ).

    Un malware per trasformare un PC in uno zombie non necessita dei privilegi da amministratore/root, difatti una botnet non serve ad avere il controllo di un determinato PC, ma principalmente a far passare traffico dati da quel PC ( o per usare potenziale di calcolo ).

    Riassumendo, per fare queste cose il malware non necessita privilegi da amministratore/root, anzi in generale non richiede neanche di essere loggato con un utente particolare.

    quindi beh.. state attenti al falso senso di sicurezza.
    non+autenticato
  • ma tu parli di un'entità il cui unico scopo è quello di fungere da relay per le comunicazioni

    però uno spywware non fa solo questo, ma ha tante altre funzioni tipo keylogging, rootkit, ecc....

    tutte queste funzioni necessitano di privilegi alti

    inoltre senza privilegi alti è praticamente impossibile sfruttare con successo una vulnerabilità rce

    l'unico caso è quello, molto diffuso anche nel mondo windows, dell'utonto che installa warez trojanizzato, ma su linux è più che raro installare qualcosa scaricato da un sito farlocco

    in sintesi linux non è invulnerabile, ma in ogni caso è almeno 10 volte meno vulnerabile di windows
  • Ok poniamo che io abbia un server/pc con linux sopra.
    Prendiamo di avere un malware come dici tu che non abbia necessità di avere i privilegi di root per fare da relay.

    Poniamo di averlo ricevuto via mail (!). L'utente deve comunque lanciarlo e per fare questo deve dargli i diritti di esecuzione.

    Ora, io uso Linux da qualche anno sui pc di casa e non mi verrebbe mai in mente di fare eseguire un file binario che mi arriva da chissà dove. Tantomeno penso lo farebbe un sistemista.

    Questa è la vera differenza tra linux e Windows secondo me.

    P.S: Fermo restando che in linea di principio sono d'accordo con te che la falsa sicurezza sia davvero la principale insicurezza.
    -----------------------------------------------------------
    Modificato dall' autore il 22 giugno 2009 15.42
    -----------------------------------------------------------
  • - Scritto da: AtariLover
    > Ok poniamo che io abbia un server/pc con linux
    > sopra.
    > Prendiamo di avere un malware come dici tu che
    > non abbia necessità di avere i privilegi di root
    > per fare da relay.

    > Poniamo di averlo ricevuto via mail (!). L'utente
    > deve comunque lanciarlo e per fare questo deve
    > dargli i diritti di esecuzione.

    Non solo, ma aggiungo che vuole la password di root anche per aprire la porta di rete.

    > Ora, io uso Linux da qualche anno sui pc di casa
    > e non mi verrebbe mai in mente di fare eseguire
    > un file binario che mi arriva da chissà dove.
    > Tantomeno penso lo farebbe un sistemista.

    > Questa è la vera differenza tra linux e Windows
    > secondo me.
    krane
    22544
  • - Scritto da: Daniele S.
    > Ho letto un miliardo di post che sostengono i
    > Sistemi Linux impossibili da zombiezzare.

    Non sono impossibili, ma ci vuole un hacker che se li studi e se li buchi, certo non si puo' scrivere un virus neanche con un bug 0day e sperare che si diffonda su macchine di cosi' diverso tipo e tra distro diverse.

    > Attenzione al falso senso di sicurezza perche' e'
    > proprio quello che frega la maggior parte degli
    > utenti ( sia quelli di sistemi Windows che
    > credono di essere protetti
    > dall'antivirus/firewall, sia gli utenti Linux che
    > si sentono immuni ).

    > Un malware per trasformare un PC in uno zombie
    > non necessita dei privilegi da
    > amministratore/root, difatti una botnet non serve
    > ad avere il controllo di un determinato PC, ma
    > principalmente a far passare traffico dati da
    > quel PC ( o per usare potenziale di calcolo ).

    Dimentichi che su linux solo l'aprire una nuova porta di rete richiede la pass di root, quindi che farebbe il tuo bot ?

    > Riassumendo, per fare queste cose il malware non
    > necessita privilegi da amministratore/root, anzi
    > in generale non richiede neanche di essere
    > loggato con un utente particolare.

    Riassumendo : certo che serve...

    > quindi beh.. state attenti al falso senso di
    > sicurezza.

    Ma state anche attenti a non sparare una marea di fuffa priva di fondamento.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Daniele S.
    > > Ho letto un miliardo di post che sostengono i
    > > Sistemi Linux impossibili da zombiezzare.
    >
    > Non sono impossibili, ma ci vuole un hacker che
    > se li studi e se li buchi, certo non si puo'
    > scrivere un virus neanche con un bug 0day e
    > sperare che si diffonda su macchine di cosi'
    > diverso tipo e tra distro
    > diverse.
    >
    > > Attenzione al falso senso di sicurezza perche'
    > e'
    > > proprio quello che frega la maggior parte degli
    > > utenti ( sia quelli di sistemi Windows che
    > > credono di essere protetti
    > > dall'antivirus/firewall, sia gli utenti Linux
    > che
    > > si sentono immuni ).
    >
    > > Un malware per trasformare un PC in uno zombie
    > > non necessita dei privilegi da
    > > amministratore/root, difatti una botnet non
    > serve
    > > ad avere il controllo di un determinato PC, ma
    > > principalmente a far passare traffico dati da
    > > quel PC ( o per usare potenziale di calcolo ).
    >
    > Dimentichi che su linux solo l'aprire una nuova
    > porta di rete richiede la pass di root, quindi
    > che farebbe il tuo bot
    > ?
    >
    > > Riassumendo, per fare queste cose il malware non
    > > necessita privilegi da amministratore/root, anzi
    > > in generale non richiede neanche di essere
    > > loggato con un utente particolare.
    >
    > Riassumendo : certo che serve...

    riassumendo non serve neppure il PC:
    http://blogs.cisco.com/consumer/comments/linksys_b.../

    P.S. notare il sistema operativo del routerA bocca aperta
    non+autenticato
  • Basa tutto sulla password ovvia del router stesso.

    Come disse RatMan: "io riesco a spostare un camion con un solo piede, vi chiedo solo la cortesia di lasciare le chiavi sul cruscotto"
  • > Basa tutto sulla password ovvia del router stesso.

    Falsa sicurezza, tanto ho linux!
    Sull'acher giournal dicono che sono al sicuroOcchiolino
    non+autenticato
  • - Scritto da: pippo
    > > Basa tutto sulla password ovvia del router
    > stesso.
    >
    > Falsa sicurezza, tanto ho linux!
    > Sull'acher giournal dicono che sono al sicuroOcchiolino

    Linux e' sicuro, il virus albanese funziona sull'utente non sul sistema operativo Rotola dal ridere
    krane
    22544
  • Prima ho risposto:

    "P.S: Fermo restando che in linea di principio sono d'accordo con te che la falsa sicurezza sia davvero la principale insicurezza."

    In ogni caso, se il firmware del router è basato su Linux ciò non vuole dire che Linux installato su pc è parimenti vulnerabileOcchiolino
    Anche perché password come "1234" per root sono abbastanza rare su installazioni desktopSorride
  • Infatti io ho come password di root "abc", mica "1234"!
    non+autenticato
  • Io uso il pc da tempo, utilizzo antivirus, antispyware, firewall.

    In che modo si può capire se si + entrati a far parte di una botnet?

    Temo che un semplice controllo antivirus serva a ben poco, o sbaglio?
    non+autenticato
  • - Scritto da: fango
    > Io uso il pc da tempo, utilizzo antivirus,
    > antispyware, firewall.
    Potevi anche dire: uso Windows
    >
    > In che modo si può capire se si + entrati a far
    > parte di una botnet?
    Non c'è bisogno: ci sei già
    >
    > Temo che un semplice controllo antivirus serva a
    > ben poco, o sbaglio?
    Esatto: l'unica è cambiare SOOcchiolino
    non+autenticato
  • Il modo più semplice è un controllo sul traffico di rete. Se hai il firewall software installato su Windows dovrebbe avvisarti che un nuovo programma sta cercando di connettersi a internet.

    Antivirus e antispyware dovrebbero rilevare qualche componente dannoso.

    Alla fine se diventi infetto non lo diventi per intervento divino. In qualche maniera devi infettarti, quindi email, programmini, crack, ecc. (tralasciando sempre i worm).

    Il modo più sicuro per capire se sei infetto sarebbe sniffare il tuo traffico di rete e vedere se c'è qualche pacchetto anomalo, però anche li non hai la sicurezza al 100% perché magari il tuo pc pur infetto magari nel momento esatto in cui sniffi non sta lavorando per la botnet ma aspetta ordini.

    Come contromisure (ma qui bisogna vedere le tue esigenze e capacità) sarebbe evitare Windows che per vari motivi è quello più bersagliato e vulnerabile. Certo eprò che questa è una soluzione estrema che non è sempre applicabile.

    Direi che prevenire è meglio che curare. Se usi la testa e, come pare (visto che hai installato antivirus e antispyware e firewall) hai un minimo di conginzione su quello che stai facendo sul pc infettarsi è abbastanza difficile anche con Windows (anche se si dice il contrario).

    Ciao!

    Fan Atari
  • Quoto.
    Pc connesso a internet con zero applicazioni aperte, no browser, no mail-client, no torrent emule e simili.
    Se viene comunque generato traffico internet allora probabilmente c'è qualcosa che non va.
    Personalmente uso wireshark.
    non+autenticato
  • dipende dal tipo di malware che hai installato

    alcuni gli antispyware/antivirus e firewall riescono ad individuarli

    chiaramente ce ne sono taluni molto rognosi, ben nascosti, iniettati in servizi di sistema e con funzioni di rootkit che è praticamente impossibile individuare se non facendo un'analisi del traffico di rete tramite un software tipo wireshark
  • Se, in vita tua ha mai usato un crack, è sicuro al 100% che il tuo pc sia impestato (e l'antivirus ti protegge come ti protegerebbe un ombrello paracadutandoti da 3000 metri).
    Prova a darlo in pasto a virustotal.com o a http://virusscan.jotti.org/en e vedrai che qualcosa esce fuori.
    non+autenticato
  • Grazie amico: e io che pensavo di essere al sicuro. Praticamente ho il pc impestato. Mi tocca riformattare tutto. Eppure sembrava che andasse tutto ok, non si blocca, è fluido.
    Avete consigli su come comportarsi per il futuro?

    PS: ho un PC con Vista Sp1
    non+autenticato
  • cambia So!
    non+autenticato
  • sì, e magari metti quella chiavica di linux, eh?

    Torna in cantina, linaro! Chi ti ha fatto uscire oggi?

    Piuttosto pijate un mac!
    non+autenticato
  • - Scritto da: vitello tonnato
    > sì, e magari metti quella chiavica di linux, eh?
    >
    > Torna in cantina, linaro! Chi ti ha fatto uscire
    > oggi?
    >
    > Piuttosto pijate un mac!
    già! pijate un mac ed entra a far parte anche tu della nuova elitaria esclusiva schiera di ibot!
    ecco il link per partecipare A bocca aperta
    http://attivissimo.blogspot.com/2009/04/mac-infett...
    buon divertimentoOcchiolino
    lroby
    5311
  • Ah beh, se stai a sentire cosa dice attivissimo sei a posto. Mi sa che ti conviene chiuderti a chiave in casa di notte, potrebbero venire gli UFO a rapirti!
    non+autenticato
  • scusa ma non può uno dei "buoni" comprare la lista per il proprio paese, tutta la lista e fare una gigantesca segnalazione "SEI INFETTO, ORA TI FORMATTO TUTTO, IMPARA AD USARE UN COMPUTER"

    oppure "rivolgiti ad un esperto di sicurezza, il tuo pc è stato infettato"

    e simili?
    non+autenticato
  • Il primo caso non mi sembra molto da "buono", in quanto impedisci a una persona di usare il suo computer (mica tutti sanno rimettere a punto un pc).

    Il secondo caso dall'utente medio verrebbe vista solo come una notifica fastidiosa (tipo quelle del WGA).
    non+autenticato
  • Beh, ad esempio potrebbero acquistarli gli attivisti politici e usarli per fare propaganda...
    non+autenticato
  • e secondo te come fanno gli attivisti in Iran e Cina a bypassare la censura? proprio con questi mezzi
  • > e secondo te come fanno gli attivisti in Iran e
    > Cina a bypassare la censura? proprio con questi
    > mezzi
    Si, certo comprano botnetArrabbiato
    Allora è tutto merito di windows se possono liberarsi dalla censuraAngioletto
    non+autenticato
  • infatti è merito di windows anche il fatto che miriadi di tecnici stracampino sulle formattazioniA bocca aperta
  • > infatti è merito di windows anche il fatto che
    > miriadi di tecnici stracampino sulle
    > formattazioni
    >A bocca aperta
    Vedi anche il diavolo fa del beneA bocca aperta
    non+autenticato
  • - Scritto da: pabloski
    > infatti è merito di windows anche il fatto che
    > miriadi di tecnici stracampino sulle
    > formattazioni
    >A bocca aperta
    bah. io è da 1 tempo che faccio anche qualche assistenza tecnica/nuova installazione a clienti che vogliono usare o usano già linux.
    e probabilmente mi comprerò un mac mini per imparare a fare assistenza ANCHE su MAC, dopodichè invece che 98% assistenza Windows e 2% Linux un giorno potrei scoprire di avere 33% Windows , 33% Linux e 33% Mac
    Non sarebbe nemmeno male considerando che su Linux e peggio ancora su Mac in giro di gente in gamba non se ne vede poi molta (onestamente nemmeno su Windows, però di gente che smanetta senza saper fare un buon lavoro cè ne tantaA bocca aperta )
    lroby
    5311
  • - Scritto da: lroby
    > 33% Linux

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    non+autenticato
  • tralasciando la quisquiglia che il "buono" starebbe facendo una cosa illegale, ovviamente ... ;-P
    non+autenticato
  • Oppure usarle per Folding@home
    non+autenticato
  • vediamo, vediamo, fatemi indovinare:

    solaris? acqua.
    MAC OSX? acqua.
    linux? acqua.

    Mah, chissa quale mai sara' 'sto sistema operativo... ehhhh...

    OK, ok, risparmiatevi la solita menata "e' diffuso al 99% ecco perche' e' il piu' infettato"
    non+autenticato
  • Ma di server zombie se ne trovano diversi anche linux...
    non+autenticato
  • fonte?
    te l'ha detto tuo cugggino?
    non+autenticato
  • - Scritto da: mbohpz
    > fonte?
    > te l'ha detto tuo cugggino?
    più o menoCon la lingua fuori
    Purtroppo tutti i giorni ho a che fare con sistemi mantenuti col cu*o, sia windows che linux
    non+autenticato
  • e i sistemi linux mantenuti col cu*o diventano zombi facenti parte di botnet in quanto vulnerabili a virus e spyware?
    non+autenticato
  • Ma è una domanda seria?
    non+autenticato
  • Si... tu hai detto che si trovano dei server linux zombi...
    io per zombi intendo che fanno parte di botnet in quanto infettati da malware... e non ho mai sentito di sistemi linux facenti parte di botnet...
    Voglio capire
    non+autenticato
  • > Si... tu hai detto che si trovano dei server
    > linux
    > zombi...
    > io per zombi intendo che fanno parte di botnet in
    > quanto infettati da malware... e non ho mai
    > sentito di sistemi linux facenti parte di
    > botnet...
    > Voglio capire
    Vai su golden cash e chiedi un bel blocco di 1000 pc con linux, aspetta la rispostaA bocca aperta
    non+autenticato
  • Cito wikipedia:
    "A zombie computer (often shortened as zombie) is a computer attached to the Internet that has been compromised by a hacker, a computer virus, or a trojan horse."

    http://en.wikipedia.org/wiki/Zombie_computer
    non+autenticato
  • - Scritto da: mbohpz
    > Si... tu hai detto che si trovano dei server
    > linux
    > zombi...
    > io per zombi intendo che fanno parte di botnet in
    > quanto infettati da malware... e non ho mai
    > sentito di sistemi linux facenti parte di
    > botnet...
    > Voglio capire
    capisci questo allora:
    http://attivissimo.blogspot.com/2009/04/mac-infett...
    non sono Linux ma la sorpresa è ancora + alta a scoprire che sono stati usati "gli inviolabili" ovvero i macA bocca aperta
    lroby
    5311
  • - Scritto da: mbohpz
    > fonte?
    > te l'ha detto tuo cugggino?

    sarà lo stesso cuggino che l'ha detto al flamer iniziale
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)