Nelle cronache recenti, prevalentemente concentrate sulle nozioni di botting e trolling, è comparsa più di una volta la parola botnet, senza che ne fosse spiegato il funzionamento nel dettaglio. La sua traduzione letterale corrisponde a “Rete di Bots”, un termine sufficientemente chiaro per esprimere il concetto alla base; vediamo insieme come è nato questo fenomeno e come viene applicato alla tecnologia.
La “ragnatela”
Immaginate la rete come qualcosa di fisico, interconnesso, in cui ogni dispositivo può fare da ponte tra un punto di partenza e una destinazione. Il senso della parola web è proprio questo, creare una rete fittissima di persone e macchinari che possano comunicare tra loro. Le botnet sono sostanzialmente gruppi eterogenei di dispositivi elettronici dirottati e messi sotto il controllo di un botmaster. Tali dispositivi non sono più sotto il controllo del proprietario originale e possono essere usati in più modi dal loro nuovo padrone.
Una volta raggiunte le dimensioni desiderate della botnet (solitamente dai tre dispositivi in su escludendo dal conteggio il botmaster), il nuovo amministratore può avviare una serie di attacchi, denominati DDS o Distrubuted Denial of Service, per violare ulteriori sistemi e aggiungerli alla botnet. Non per niente, questi dispositivi hackerati prendono il nome di zombie.
Come avviene l’infezione?
In modo simile a ciò che avviene normalmente, un hijacker, o dirottatore, ha bisogno di un malware per accedere alla macchina-bersaglio. Esistono programmi studiati apposta per sfruttare le debolezze del dispositivo, passando generalmente dalle porte di rete scoperte, o non adeguatamente controllate, magari utilizzando un’app per la comunicazione, come Skype e persino i canali IRC.
Dopo l’infiltrazione, il malware rimane celato e permette all’aggressore di “ascoltare” il dispositivo, intercettando traffico in entrata e in uscita, agendo sostanzialmente come spyware. Ottenute informazioni rilevanti come nome utente e password, l’hijacker inizia ad operare sulla macchina di cui ha appena preso il controllo. Le azioni che può svolgere sono molteplici: potrebbe installare una backdoor in caso di cancellazione del malware in modo da poter rientrare inosservato, oppure installare un server interno al dispositivo rendendolo ufficialmente uno zombie da usare per effettuare altri attacchi da remoto, infine potrebbe sfruttarlo come proxy e quindi rendersi invisibile.
Se l’aggressore è molto abile risulta difficile per il proprietario liberarsi definitivamente del problema. Questi informatici sono abituati a creare dei piani B e C in caso di rimozione della minaccia, in modo da poter continuare a lavorare.
Botnet legali
Fortunatamente, esistono delle applicazioni legali che vengono sfruttate per studiare il problema e porvi una soluzione. In questi casi un gruppo di utenti, o un singolo utente con più dispositivi, decidono di creare volontariamente una botnet, simulando il processo di infezione portato avanti dal malware. Per semplificare il lavoro, tali dispositivi sono connessi a una rete locale LAN, in modo da impedire al programma malevolo di uscire dalle mura virtuali della rete prescelta e fare altri danni.
Gli utenti studiano il comportamento del malware nel tempo, provano a eliminarlo e controllano se effettivamente rimanga traccia della sua attività. In seguito condividono la soluzione trovata coi produttori o con le forze dell’ordine per prevenire attacchi futuri.
Una lotta senza fine alle botnet
Sfortunatamente affrontare una botnet sul piano tecnico è tanto difficile quanto parzialmente inutile. Se volessimo usare una metafora, potremmo considerarla come un’enorme idra, le cui teste non fanno altro che moltiplicarsi qualora vengano mozzate.
Allo stesso modo, le botnet oggi sono forti di milioni di dispositivi come la Zeus, che attualmente ne conta quasi quattro milioni o la Conficker che supera ampiamente i dieci milioni. Per ridurre la loro forza sarebbe necessario andare macchina per macchina e tentare di cancellare ogni traccia dell’aggressione. Eppure tutto questo non garantisce la scomparsa della botnet stessa, che allo stesso tempo si sta espandendo altrove.
Dal punto di vista legale, la creazione di una botnet è un crimine serio e perseguibile in quasi tutto il mondo, in quanto questo sistema è spesso usato per ispirare altri potenziali cyber-criminali a seguire le orme dei loro maestri.
Sebbene oggi esistano botnet sempre più grandi, ogni utente ha con sé gli strumenti necessari per difendersi da una eventuale infezione. Questi attacchi funzionano utilizzando metodi molto noti come lo spam, il phishing e persino il click to pay, tecniche che prevalentemente hanno maggiore effetto su persone poco esperte di tecnologia.
Ricordate sempre di monitorare attività sospette sui vostri dispositivi e di interpellare professionisti del settore in caso di dubbio.
A cura di
Francesco Antoniozzi
FONTI:
CREDITS: