Botnety, obrovské sítě zavirovaných počítačů vybavených rootkity a trojany, mají podle všech předpokladů skvělou budoucnost. Kolik stojí ukradená data a jak vypadá správa botnetu?
Svět virů a malwaru se v posledních deseti letech významně proměnil. Zatímco v roce 1999 představoval škodlivý program klasický replikační vir, který nekontrolovatelně kopíroval svůj vlastní kód a svými klony znečišťoval diskety a později celý internet, dnešní viry jsou mnohem stabilnější a komplikovanější. Vlastně se už nechovají jako klasický biologický virus, ale jako stále dokonalejší programy pro distribuované výpočty.
Malwaru pomalu začíná vládnout kategorie univerzálních trojských koňů a rootkitů, které mají za úkol využít slabin ve vašem počítači, otevřít zadní vrátka, o kterých systém nemá nejmenšího tušení, a vpustit do vašeho počítače tunu nejrůznějších programů – zachytávačů stisku kláves, vyhledávačů hesel nebo analyzátorů práce s webovým prohlížečem. Pokud vše jde jak má, chovají se neobvykle organizovaně a váš počítač potají zapojí do botnetu – rozsáhlé sítě tisíců až milionů nešťastníků jako vy. O malwaru, botnetech, rootkitech a trojských koních si s námi nedávno popovídal i Toralv Dirro, bezpečnostní stratég laboratoří McAfee Avert Labs.

Vzdálenou správu a kontrolované nakažení počítače jsem si za dohledu Toralva Dirra vyzkoušel i já s Igorem Vidunou z časopisu Connect! Na druhém obrázku je pak patrný ústup klasických replikujících se virů
Botnet zneužívá, nebo krade
Samozřejmě se nabízí otázka, co se s takovým botnetem obrovského množství nakažených počítačů dá dělat. Je toho poměrně hodně. Obecně lze úkoly záškodnické sítě rozdělit do dvou kategorií. Botnet vás může buď zneužívat, nebo okrádat. V tom prvém případě se využije pouze výkon vašeho procesoru a internetová konektivita zpravidla k rozesílání obrovského množství nevyžádané pošty (ty nejlepší sítě jsou schopné rozeslat až 60 miliard spamů denně) nebo ke strojovému odhalování CAPTCHA testů. Druhý případ už může mít brutální dopady, správce sítě totiž od svých nakažených oveček sbírá osobní data a ty pak nabízí nejen na šedém marketingovém trhu. Počítač nakažený rootkitem může zpět vysílat stisky kláves, navštívené stránky ve webovém prohlížeči, vyplněné formuláře, umí skrytě přesměrovávat stránky e-bankingu na phishingové stránky a jiné lotroviny.
Zbojník Coreflood Typický sběračem osobních dat byl třeba trojský kůň Coreflood, který během pouhých šesti měsíců dokázal získat na 500 GB citlivých uživatelských dat. Na centrální server botnetu odeslal informace o 151 000 e-mailových účtů, zcizil více než 3 000 čísel kreditních karet nebo 58 000 účtů z nejrůznějších komunitních služeb. |
Takto získaná data jsou samozřejmě velmi cenná, a tak se v posledních letech na plné obrátky rozjela šedá kyberekonomika. Jako zákazník si můžete u poskytovatele botnetu objednat rozeslání třeba milionu nevyžádaných zpráv, případně můžete využít rozsáhlé databáze nasbíraných dat a koupit si třeba tisíc čísel kreditních karet. Zcela novému oboru se záhy začalo tak trochu cynicky říkat „malware as a service“ – malware jako služba.
Ceník
A kolik vlastně ty nejtypičtější „úkony“ stojí? Tým Toralva Dirra si zahrál na zákazníka a zjišťoval běžné ceny na undergroundových fórech.
- Odcizení peněz z účtu na klíč – 1 000 až 3 000 dolarů
- Pronájem botnetu (2 000 počítačů) – 125 dolarů měsíčně
- DoS útok (přetížení serveru) – 100 dolarů denně
- Přístup na cizí bankovní účet – 500 až 2 200 dolarů
- Deset čísel kreditních karet včetně CVV2 kódu, expirace aj. – 450 až 575 dolarů
- Milion rozeslaných spamů – 150 dolarů
- Milion rozeslaných spamů s phishingem – 250 dolarů

I takhle může vypadat nabídka prodejce
čísel kreditních karet různých značek
Náš zákazník, náš pán
Stále dokonalejší a propracovanější nejsou pouze trojské koně a jejich botnetová infrastruktura, ale i přístup k zákazníkovi. Správa botnetu je stále snazší, poradí si s ní tedy i člověk bez znalosti nejrůznějších programovacích technik. Stále častějším znakem je také možnost reklamace, slevové balíčky, akce a samozřejmě garance jakés takés kvality. Náš zákazník, náš pán, chtělo by se říci.
Jak se cítí botmaster – správa testovacího botnetu

Toralv Dirro nakonec přítomným novinářům ukázal i správu testovacího botnetu. Oproti těm největším na světě byl naprosto zanedbatelný, čítal totiž pouhých čtrnáct set infikovaných počítačů. Divák si ale může udělat hrubou představu o tom, jak složité je získat z infikovaného počítače data a že odeslání spamu a zaslání řídicího příkazu všem nakaženým počítačům je otázka několika kliků myši.
V první záložce je statistický přehled. Dvě stovky nakažených počítačů jsou zrovna připojené k síti, 30 z nich se nakazilo dnes a 80 včera. V záložce „SETTINGS“ a „Botnet CONFIGURER“ může správce zavádět nové moduly počínaje keyloggery, které budou zaznamenávat stisknuté klávesy, a konče agenty, kteří budou zkoumat, jaké stránky jste navštěvovali v prohlížeči a jaká data jste zapisovali do webových formulářů včetně hesel.
V dalším přehledu „IP2LOCATION“ se můžete podívat, kde se nakažené počítače nacházejí. Čína sice filtruje přístup ke svobodným informacím, malwaru se zde ale daří výborně stejně jako v dalších jihoasijských zemích a Jižní Americe. I přes malý vzorek jsou tato čísla docela reprezentativní – chybí už jen země východní Evropy.
V posledním bloku „SEARCH“ se můžete podívat na to, co jste vlastně z nakažených počítačů vytěžili. Stačí zadat kritické slovíčko „bank“ a už se informace hrnou. V našem případě pak především z modulu IEGrabber, který zaznamenával aktivitu v Internet Exploreru. V praxi tedy webové stránky elektronického bankovnictví, nejrůznější platby, výpisy a s dalšími moduly i hesla a přístupová jména.
Chmurné vyhlídky
Software a operační systémy jsou stále dokonalejší, takže výroba záplaty na občasnou „díru do systému“ trvá desítky hodin až dny. Stále schopnější jsou ale i antivirové programy. Bohužel to skřípe především mezi židlí a klávesnicí – dokladem byla například aféra okolo medializovaného Confickeru. Tento v posledních šesti měsících velmi populární virus vybudoval obrovský botnet jen díky tomu, že na síti objevil obrovské množství neaktualizovaných systémů (nejprve mířil na nezabezpečenou Ukrajinu). Záplata na zranitelnost, které využila první generace Confickeru přitom byla hotova již na podzim minulého roku, v ideálních podmínkách by se tedy Conficker nikdy nedostal na přední stránky technologických webů.

Předpověď vývoje malwaru podle McAfee Avert Labs (2008): Všiměte si především posledního trendového sloupce. Dařit se má botnetům, torjským koním a rootkitům, současný trend tedy bude nabírat na obrátkách
Největším rizikem současného světa je tak vedle stále větší komercializace undergroundových skupin a programátorů virů zastaralý operační systém s vypnutou automatickou aktualizací. Při tak obrovské penetraci budou botnety slavit ještě velmi dlouho bujaré a nekončící hody.