Spamu sice relativně ubývá, obrovské botnety zavirovaných počítačů ale slaví svůj triumf. Jsou stále větší, nabízí stejný luxus jako velké reklamní služby a jeden si postavila i BBC.
Dostali jste do své elektronické schránky v únoru méně spamu než v lednu? Tak to pak odpovídáte celosvětovému průměru – alespoň podle únorové bezpečnostní zprávy MessageLabs. Ačkoliv totiž absolutní počet nevyžádané pošty roste, relativně jejich míra v celkové poštovní výměně poklesla o 1,3 procenta a při pohledu na několikaletou časovou osu je zřejmé, že se snad blýská na lepší časy.
Na vítězný pokřik je ale stále příliš brzy, v posledních letech se totiž novým podmínkám na internetu začíná přizpůsobovat i kyberzločin, který vytvořil nový obchodní model, který by se dal s trochou nadsázky nazvat jako CaaS – Cybercrime as a Service.
Podle MessageLabs míra spamu v celkové poštovní výměně od začátku roku 2007 dlouhodobě klesá
Škodlivý CaaS je analogií obchodního modelu SaaS – Software as a Service, který se na webu uplatňuje už několik let. Doslovný překlad „Programy jako služby“ mluví za vše. Aplikace jsou hostované u poskytovatele a zájemce si je pronajímá zpravidla za paušál. Do této kategorie patří obrovské množství nejrůznějších webových CRM systémů, ale i mnohem populárnější Google Apps. Do skupiny SaaS nakonec z principu patří i populární webové aplikace.
Jaké možnosti má internetový prodejce Viagry?
Vžijte se nyní do role internetového prodejce populárních léků Cialis nebo Viagry, který chce svůj byznys propagovat pomocí spamu. Můžete samozřejmě spamovat své známé nebo nahodilé e-mailové schránky, pokud ale nebudete mít po ruce skutečný spambot, bude to boj s větrnými mlýny. Dobrá tedy, zaplatíte několik set dolarů a najmete si chudého ruského studenta, který vám napíše jednoduchého spamovacího robota. První dny a týdny budou možná celkem úspěšné, počítač, na kterém bude robot pracovat, se ale brzy dostane na některou z komunitních černých listin (např. The Spamhaus Project). Tento osud potkal třeba rozsah IP adres, které svým zákazníkům přiděluje superpočítačový webový hosting Amazon EC2.
Zatímco v roce 2005 byl zavirovaný každý 13. e-mail, dnes je v průměru zavirovaná pouze každá 305. zpráva
Naštěstí (v uvozovkách) je tu ale ještě jedno řešení. Existují nejrůznější hostingy. Hostovat můžete webový server, databázový server, hostovat ale můžete i svá data a v rámci SaaS i aplikace. Proč tedy na webu nenabízet na klíč i nějaký robustní spamovací systém? Stačí zaplatit paušál, napsat e-mail a vložit jej do systému. Bez znalosti programování a bez zbytečných starostí.
Podobná řešení skutečně existují, na Googlu je ale jen tak nenajdete. Není se čemu divit, není to v zájmu ani jejich autorů, ani Googlu samotného, který podobný obsah zpravidla neindexuje nebo jej alespoň nezahrnuje do statistik.
Botnet se může skládat z desítek tisíc počítačů
Autoři podobných CaaS systémů nejdříve postaví velký botnet – síť zcela běžných nakažených počítačů s připojením na internet, který začne sdílet jejich systémový výkon a konektivitu k rozesílání spamu, DoS útokům, případně k realizaci nějakého toho phishingu či rozesílání malwaru. Takový botnet je vlastně čirou ukázkou cloud-computingu a analogií datového a výpočetního centra velké webové služby, jen se neskládá z rackových skříní, ale třeba i z vašeho nakaženého počítače.
Rozsáhlý botnet se rozkládá po celém světě: oranžově jsou znázorněny oblasti s infikovanými počítači, klienty botnetu, hvězdičkou je pak označen operátor, majitel botnetového serveru, ze kterého se posílají instrukce do sítě
Jakmile je podobný botnet hotov, může se skládat i z desítek tisíc počítačů rozesetých po celém světě (ideální rozložení pro globální distribuované spammerské útoky). Dále je potřeba vytvořit nějaké pěkné a srozumitelné rozhraní pro zákazníky, kteří automaticky nemusí být unixoví hackeři, a nakonec stačí sepsat lákavou obchodní nabídku, které se s trochou nadsázky nevyrovná ani marketingové oddělení velkého softwarového výrobce.
I šedá kyberekonomika nabízí slevové balíčky
Ostatně šedá kyberekonomika má i jakousi obchodní úroveň, čili je zajištěna odpovídající zákaznická podpora, o čemž se naši redaktoři přesvědčili osobně, když si v zimě 2007 objednali z internetu pirátská Windows. Reakce „zákaznické linky“ na menší problém byla tehdy rychlejší než oficiální zákaznický servis Microsoftu. Více si o pirátských Windows Vista můžete přečíst v tomto článku.
Pokud budete chtít po botnetu rozeslat sto milionů e-mailů, připravte si dva tisíce dolarů
Majitel komerčního botnetu tedy nabízí i QA (Quality Assurance), záruku kvality, a mnozí uznávají i reklamaci, pakliže vám systém neodeslal předplacených 10 000 000 spamů. Připadá vám číslo až příliš vysoké? Pozor! Milion spamů lze dnes odeslat i za částku okolo 100 dolarů, což je při kurzu americké měny pakatel.
Samozřejmostí jsou i překladatelské služby. Autor botnetu zpravidla využije některou z volně dostupných webových překladatelských služeb, pokud jste se tedy loni zasmáli „drahouškovi zákazníkovi“, což byl strojový překlad „Dear customer“ při pokusu o masivní phishingový útok na Českou spořitelnu (více o kauze v tomto článku), poděkujte Googlu, že má jeho automatický překladač textů Translate ještě určité lingvistické mezery.
CaaS botnety nabízí luxusní prostředí pro správu undergroundových reklamních kampaní
Je libo rozeslat milion spamů každý den? (Zdroj: Dancho Danchev's Blog)
Spamovat se dá i na komunitních webech
Spamovat se dá ale dnes velmi efektivně i na Twitteru (odhady mluví o 5 – 7 milionech uživatelů) nebo Facebooku (okolo 180 milionů uživatelů). Zatímco na Facebooku zasílají reklamy nejrůznější aplikace, respektive velmi bryskně skrývají reklamu a potažmo spam za zajímavou funkci, která s Facebookem jako takovým nemá nic společného, masivním rozesíláním reklamy na Twitteru se pro změnu živí služba Tweet Tornado. Na jejích webových stránkách najdete přehled renomovaných webů „Psali o nás“, kde narazíte na ZDNet nebo Yahoo! Tech. Nutno podotknout, že ani jeden zmiňovaný web aplikaci Tweet Tornado nechválil, naopak před jejími možnostmi varoval.
Cybercrime as a Service nicméně nenabízí pouze spam a phishing. Portfolio aplikací je skutečně obrovské. Některé botnety nabízí jednoduše výkon, jiné speciální slevové balíčky, kde zpravidla najdete několik milionů odeslaných spamů, pár exploitů pro všechny majoritní webové prohlížeče a jako pomyslná třešnička na dortu poslouží DoS útok, tedy zahlcení serveru obrovským množstvím požadavků. V nedávné minulosti se obětí takového masivního útoku staly třeba největší webové stránky ruské gey komunity.
BBC vybudovala svůj vlastní botnet a nakazila 22 tisíc počítačů
Dříve či později si musí každý zákonitě položit otázku, jestli to skutečně funguje, respektive jestli se nejedná pouze o strašáka výrobců antivirových řešení, pro které jsou botnety jedinou záchranou, klasický virus totiž pomalu ale jistě mizí – proč ostatně jen tak z plezíru někomu poškozovat systém, když mohu úsilí a programátorské znalosti investovat do programování trojských koňů, které stojí na začátku celého potravního řetězce kyberzločinu – využívají bezpečnostních děr a otvírají zadní vrátka do systému, kterými se do Windows již dostane botnetový klient pro distribuované výpočty – klient, který čeká na povel od záškodnického serveru, nic vám ale v počítači nesmaže a nezničí, vždyť by se sám prozradil.
Fungují tedy botnety? Podle statistiky MessageLabs jednoznačně ano, v roce 2008 totiž stály za devadesáti procenty veškeré odeslané nevyžádané pošty. Jiné způsoby rozesíláni spamu jsou v tomto světle naprosto neefektivní.
To všechno jsou sice fakta, vyzkoušet si ale botnet na vlastní pěst je přeci jen poněkud jiný kalibr. Stejného přesvědčení nabyli i autoři technologického pořadu Click na BBC a vyslali do světa vlastní botnet. Počítače čtenářů na webových diskuzích byly postupně infikované trojským koněm a zapojily se do prvního veřejnoprávního botnetu na světě. Po určitém čase nabobtnala síť do velikosti 22 tisíc počítačů a redaktoři pořadu Click začali testovat její možnosti. Zaplnili své poštovní schránky na Gmailu tisíci nevyžádanými zprávami a způsobili předem domluvený DoS útok na web bezpečnostní společnosti Prevx. BBC botnet fungoval bez problému a přestože jej autoři posléze zlikvidovali a na webu se dušují, že na klientských počítačích program nesbíral žádné soukromé informace, odborná veřejnost se přirozeně zhrozila praktik veřejnoprávní televize.
Spam Apps Enterprise & Phishing Live Pro
CaaS je na vzestupu, ačkoliv se relativní množství virových nákaz i rozeslaného spamu neustále zmenšuje. Mnohem lépe je na tom phishing, který sice v posledních měsících kolísal, nic ale nenasvědčuje tomu, že by měl v příštích letech z internetu vymizet.
Česká republika je naštěstí díky svému malému trhu a pro hackery exotickému jazyku poměrně izolovaná, pokud se ale zlepší strojové internetové překladače, případně tuzemští záškodníci objeví potenciál ruských komerčních botnetů, možná se brzy dočkáme bravurně přeložených phishingových stránek, chytrých nákaz, ještě schopnějších trojských koňů a službám Windows Live nebo Google Apps možná budou konkurovat CaaS balíky Spam Apps Enterprise nebo Phishing Live Pro.
Doufejme, že se jedná jen o pesimistickou vizi a malwaru začne v příštích letech ubývat nejen relativně, procentuálně, ale i absolutně.
Zajímavé zdroje:
