Cos'è una botnet?
Le botnet sono reti composte da computer telecomandati, o "bot". Questi computer sono stati infettati da malware che consente loro di essere controllati da remoto. Alcune botnet sono costituite da centinaia di migliaia - o anche milioni - di computer.
"Bot" è solo una parola breve per "robot". Come i robot, i robot software possono essere buoni o cattivi. La parola "bot" non significa sempre un software sbagliato, ma la maggior parte delle persone si riferisce al tipo di malware quando usa questa parola.
Spiegazione delle botnet
Se il tuo computer fa parte di una botnet, è infetto da un tipo di malware. Il bot contatta un server remoto - o semplicemente entra in contatto con altri bot vicini - e attende istruzioni da chiunque stia controllando la botnet. Ciò consente a un utente malintenzionato di controllare un numero elevato di computer per scopi dannosi.
Anche i computer in una botnet possono essere infettati da altri tipi di malware, come i keylogger che registrano le informazioni finanziarie e le inviano a un server remoto. Ciò che rende un computer parte di una botnet è che è controllato da remoto insieme a molti altri computer. I creatori della botnet possono decidere cosa fare con la botnet in seguito, dirigere i robot per scaricare altri tipi di malware e persino fare in modo che i robot agiscano insieme.
Potresti essere infettato da un bot nello stesso modo in cui verrai infettato da qualsiasi altro malware: ad esempio, eseguendo software obsoleto, utilizzando il plug-in del browser Java estremamente insicuro, oppure scaricando e eseguendo operazioni piratate Software.
Immagine di credito: Tom-b su Wikimedia Commons
Scopi di una botnet
Le persone malintenzionate che costruiscono botnet potrebbero non volerne usarle per alcuno scopo. Invece, potrebbero voler infettare quanti più computer possibile e quindi affittare l'accesso alla botnet ad altre persone. Oggigiorno, la maggior parte dei malware è realizzata a scopo di lucro.
Le botnet possono essere utilizzate per molti scopi diversi. Poiché consentono a centinaia di migliaia di computer diversi di agire all'unisono, è possibile utilizzare una botnet per eseguire un attacco DDoS (Distributed Denial of Service) su un server Web. Centinaia di migliaia di computer bombardano un sito Web con traffico allo stesso tempo, sovraccaricandolo e causando un rendimento scarso o irraggiungibile per le persone che hanno effettivamente bisogno di usarlo.
Una botnet potrebbe anche essere utilizzata per inviare email di spam. L'invio di e-mail non richiede molta potenza di elaborazione, ma richiede una certa potenza di elaborazione. Gli spammer non devono pagare risorse di calcolo legittime se utilizzano una botnet. Le botnet potrebbero anche essere utilizzate per "fare clic su frodi": il caricamento di siti Web in background e il clic sui link pubblicitari al proprietario del sito Web potrebbero generare profitti fraudolenti e falsi. Una botnet potrebbe anche essere usata per estrarre Bitcoin, che può quindi essere venduto in contanti. Certo, la maggior parte dei computer non può sfruttare Bitcoin in modo redditizio perché costerà più energia in elettricità rispetto a quanto verrà generato in Bitcoin, ma il proprietario della botnet non si preoccupa. Le loro vittime saranno bloccate a pagare le bollette elettriche e venderanno i Bitcoin a scopo di lucro.
Le botnet possono anche essere usate per distribuire altro malware - il software bot funziona essenzialmente come un Trojan, scaricando altre cose cattive sul tuo computer dopo che è entrato. I responsabili di una botnet potrebbero indirizzare i computer sulla botnet per scaricare altro malware , come keylogger, adware e persino brutto ransomware come CryptoLocker. Questi sono tutti modi diversi in cui i creatori della botnet - o le persone a cui affittano l'accesso alla botnet - possono fare soldi. È facile capire perché i creatori di malware fanno quello che fanno quando li vediamo per quello che sono: criminali che cercano di fare soldi.
Lo studio di Symantec sulla botnet ZeroAccess ci mostra un esempio. ZeroAccess è costituito da 1,9 milioni di computer che generano denaro per i proprietari della botnet tramite il mining di Bitcoin e la frode dei clic.
Come sono controllate le botnet
Le botnet possono essere controllate in diversi modi. Alcuni sono semplici e facili da sventare, mentre altri sono più complicati e difficili da abbattere.
Il modo più semplice per controllare una botnet è che ogni bot si connetta a un server remoto. Ad esempio, ogni bot potrebbe scaricare un file da http://example.com/bot ogni poche ore e il file direbbe loro cosa fare. Un tale server è generalmente noto come server command-and-control. In alternativa, i robot potrebbero connettersi a un canale IRC (Internet relay chat) ospitato su un server da qualche parte e attendere le istruzioni. Le botnet che utilizzano questi metodi sono facili da fermare: monitorano i server Web a cui si connette un bot, quindi eliminano quei server web. I robot non saranno in grado di comunicare con i loro creatori.
Alcune botnet possono comunicare in modo distribuito, peer-to-peer. I robot parleranno con altri robot nelle vicinanze, che parlano con altri robot vicini, che parlano con altri robot vicini, e così via. Non c'è nessuno, identificabile, punto singolo da cui i robot ricevono le loro istruzioni. Funziona in modo simile ad altri sistemi di rete distribuiti, come la rete DHT utilizzata da BitTorrent e altri protocolli di rete peer-to-peer. Potrebbe essere possibile combattere una rete peer-to-peer emettendo comandi falsi o isolando i robot l'uno dall'altro.
Recentemente, alcune botnet hanno iniziato a comunicare attraverso la rete Tor. Tor è una rete crittografata progettata per essere il più anonima possibile, quindi un bot connesso a un servizio nascosto all'interno della rete Tor sarebbe difficile da sventare. È teoricamente impossibile capire dove si trova effettivamente un servizio nascosto, anche se sembra che reti di intelligence come la NSA abbiano qualche asso nella manica. Potresti aver sentito parlare di Silk Road, un sito di shopping online noto per droghe illegali. È stato ospitato anche come servizio nascosto di Tor, motivo per cui è stato così difficile abbattere il sito. Alla fine, sembra che il lavoro di detective vecchio stile abbia portato la polizia all'uomo che gestiva il sito - in altre parole è scivolato in alto. Senza quegli errori, i poliziotti non avrebbero avuto modo di rintracciare il server e portarlo giù.
Le botnet sono semplicemente gruppi organizzati di computer infetti controllati dai criminali per i loro scopi. E, quando si tratta di malware, il loro scopo è in genere quello di ottenere un profitto.
Immagine di credito: Melinda Seckington su Flickr