Botnät är den digitala världens mc-gäng. De har en stenhård central styrning men ofta en platt svårtydd hierarki. De säljer sina tjänster till högstbjudande och rör sig relativt fritt över gränser. De är ute efter dina pengar och din hårdvara. Men som i mc-världen finns bland alla onda även goda. Din egen pc ingår med stor säkerhet i något eller några botnät.
Det började med irc
Med botnät menar vi ett stort antal infekterade datorer som styrs centralt över internet. Från början var fenomenet kopplat till irc-klienter där maskar laddade med skadlig kod utnyttjade sårbarheter. I dag har botnäten utvecklats till att använda flera olika protokoll samt dessutom kryptering och peer-to-peer-arkitektur. Allt för att förhindra upptäckt och för att överleva under lång tid.
Bakom botnätens existens ligger skurkar som är ute efter pengar. Antingen vill de komma över dina pengar direkt genom att luska ut dina kontouppgifter, eller så säljer de dina resurser till högstbjudande. Din dator kan då till exempel ingå i riktade överbelastningsattacker eller massutskick av skräppost.
Spridningen av elak kod för botnät skiljer sig inte från spridning av elak kod i allmänhet. Här ingår hela registret, från drive by-infektion till nedladdning från warez-sajter och torrents samt utskick av preparerade mejl.
En klient som smittas av skadlig kod avsedd för botnät kontaktar ofta en command-and-control-server, C&C. Vid kontakten talar klienten, boten, om att den är aktiverad och redo för tjänstgöring. C&C-servern avgör vilken ytterligare kod som boten ska ladda ner och köra. Botnätets administratör, eller bot-herden, styr över C&C-servern och avgör hur verksamheten ska bedrivas. Ett botnät med miljontals botar är inte alls ovanligt. För att säkra upp verksamheten är C&C-funktionen ofta spridd över flera noder. Exakt vilka som ligger bakom botnäten är svårt att veta, menar David Jacoby, forskningschef på it-säkerhetsföretaget Kaspersky Lab:
– Det beror på att det ofta säljs portioner av botnäten till högstbjudande. Vi har sett fall av cyberkriminella som har det som affärsidé. Andra typer av botnät kontrolleras av hackare, som använder dem för ddos-attacker och informationsinsamling.
Både enskilda individer och mindre eller större organiserade enheter ligger bakom botnäten, men den gemensamma nämnaren är i princip alltid ett ekonomiskt incitament.
Att hitta och eliminera botnät är inte helt enkelt.
– Många av de moderna botnäten använder sig av peer-to-peer-tekniker, vilket gör det mycket svårt att identifiera de servrar som kontrollerar näten. Det är även ett problem rent juridiskt eftersom botnäten sprider sig genom flera länder med olika lagar, säger David Jacoby.
I underutvecklade länder
Även Fredrik Klasén, it-säkerhetsspecialist på F-secure, ser stora svårigheter att få bort botnäten. Problemet enligt honom ligger i att delar av botnätens medlemmar är installerade hos vanliga konsumenter, ofta i länder som inte har samma tekniska utveckling eller kunskap om nödvändigheten av skydd. Förbättringarna sker främst på nätverksnivå medan problemet med klienterna alltid kommer vara en utmaning – även med skydden på plats finns ändå risken att bli infekterad genom social ingenjörskonst.
– Det är viktigt nämna att många organisationer jobbar på bra med att hitta och få bort botnät, med gott resultat. Som exempelvis Microsoft insatser mot Kelihos-nätet det senaste året. Det goda resultatet är mycket tack vare att polis, myndigheter och tjänsteleverantörer har inse den påverkan botnät har, säger Fredrik Klasén.
Du skyddar dig mot botnät på samma sätt som du skyddar dig mot annan skadlig kod. Virusskydd och klientbrandvägg förhindrar framför-allt att den skadliga koden inte lyckas infektera en dator, men ger inte ett hundraprocentigt skydd.
– Utöver klientskydd är det rekommenderat att företag även segmenterar resurser och filtrerar viss nätverkstrafik. Det kan göra att enklare botnät inte fungerar eller att spridningen inte blir så stor, menar David Jacoby.
Fredrik Klasén instämmer:
– Ett klientskydd är självfallet nödvändigt, men många glömmer bort att ha virusskydd också på servrarna. Det är dessutom viktigt att klientbrandvägg och allmän säkerhetspolicy är uppsatt enligt principen ”förbjud-allt” som standard.
Vidare måste nätverksenheter skyddas med starka lösenord. Inbyggda standardkonton ska inaktiveras eller döpas om. Patchning av operativsystem och vanliga applikationer ska självfallet implementeras.
– De lite större företagen, som klarar investeringen, bör överväga kontrollerad nätverkstillgång. Dessutom bör tjänster och protokoll ut ur nätverket blockeras, till exempel port 25 och IRC-protokollet. Se även till att alla klienters tillgång kan stängas av med hjälp av en karantän, både helt och segmenterat. Kontrollera att möjlighet och kunskap finns för att dirigera om trafik från smittade enheter, säger Fredrik Klasén.
Hur ser framtiden ut för botnäten?
Rik Ferguson, senior säkerhetsrådgivare, Trend Micro:
– Tillverkarna av botnät har redan börjat experimentera med att infektera mobila enheter. Bandbredden och kapaciteten hos mobila enheter ökar, och vi lagrar allt mer information via nätet och gör allt fler känsliga transaktioner. Det här gör mobila enheter till en allt mer intressant måltavla för kriminella syften. Vi har redan sett flera typer av skadlig kod riktad mot mobila enheter som både kan fjärrstyras och har funktioner som kan stjäla information, och det finns ingenting som tyder på att den trenden kommer att klinga av.