Af chefkonsulent Preben Andersen, UNI-C, leder af DK-CERT.
Hvem har kontrollen over din pc? Måske er det kun dig selv ? men den kan også være fjernstyret af andre, uden at du ved det.
Det er konsekvensen af, at botnet bliver stadig mere udbredte. Et botnet er et netværk af pc'er, såkaldte "robotter" eller "zombies". Disse robotter kan en hacker fjernstyre ved at sende kommandoer til dem.
Ifølge den seneste halvårsrapport fra sikkerhedsfirmaet Symantec deltager over 10.000 pc'er hver dag i botnet. Det er mere end en fordobling i forhold til andet halvår 2004, hvor tallet var knap 4.500 pc'er.
I DK-CERT mærker vi også, at botnet er blevet mere udbredte. Et typisk tegn er, når en pc begynder at kommunikere til en server på TCP-port 6667. Den port anvendes af chatprotokollen Internet Relay Chat (IRC).
Fjernstyres via chat
Men i botnetsammenhæng bliver IRC ikke brugt til uskyldig chat. Når en pc bliver overtaget af en botnet-orm, kobler den sig på en IRC-chatkanal. Herefter venter den. På et tidspunkt logger bagmanden sig på kanalen ? den er som regel passwordbeskyttet, så udenforstående ikke kan få adgang.
Bagmanden kan nu sende chatbeskeder til alle pc'erne i botnettet. Disse beskeder fortolker botnetprogrammet på den enkelte pc som kommandoer, den skal udføre.
For eksempel kan alle pc'erne få besked på at starte et ude-af-drift-angreb på en bestemt IP-adresse. Det kan ske som led i pengeafpresning: Bagmanden iværksætter et angreb, standser det, og kontakter offeret. Han kræver at få penge fra offeret, ellers starter han angrebet igen.
Angrebet består som regel i millioner af datapakker, der har forfalskede afsenderadresser. Derfor er det svært at finde angriberne. Og finder man endelig frem til dem, har man alligevel ikke fundet bagmanden, kun hans uafvidende hjælpere.
Endvidere udsendes meget spam gennem pc'er i botnet. De hackere, der etablerer botnet, udlejer eller sælger dem til spam-bagmændene.
Spredes via orme
De pc'er, der deltager i botnet, er som regel blevet smittet af en botnet-orm. Det kan være en mail-baseret orm, der indeholder botnet-teknologi. Også traditionelle orme, der udnytter sårbarheder, kan etablere botnet. Det så vi for nylig med Zotob-ormene, der udnyttede en plug-and-play-sårbarhed i Windows. De koblede sig til en IRC-server og havde mulighed for at downloade og køre programmer.
Da der er penge at tjene på at udleje botnet, er bagmændene interesseret i at holde lav profil. Det kan være årsagen til, at vi ikke længere ser de massive udbrud af mail-baserede orme, som nettet tidligere led under.
Under et angreb kan op til 20 procent af alle mails være inficeret, men for tiden ligger infektionsraten i gennemsnit på under to procent. Store angreb får megen omtale, men der er ikke nødvendigvis penge at tjene på dem. Her er botnet en mere sikker indtægtskilde i undergrundsøkonomien.
Relaterede artikler
DK-CERT-artikel om Symantecs halvårsrapport
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
Preben Andersen opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
