Verdens formodede største botnet har lige haft et-års fødselsdag. Nettet går under betegnelsen Storm og vokser til stadighed.
Sikkerhedsvirksomheden Trend Micro vurderer, at Storm tæller mindst en million zombie-pc’ere. Alene i juledagene og dagene omkring nytår steg antallet af zombier takket være målrettede spamSpam
Læs mere om "Spam" i Version2's it leksikon-kampagner med op til 20 procent. Begrebet zombier dækker over computere inficeret med ondsindet kode, som gør det muligt for Storms bagmænd at kontrollere maskinerne, som en general kommanderer en hær. Og hæren kaldes et botnet.
Rekrutteringen til den voksende hær foregår eksempelvis via spam-mails, som typisk ikke indeholder en farlig fil – de er for nemme for traditionel e-mailE-mail
Læs mere om "E-mail" i Version2's it leksikon anti-virus software at opfange – men i stedet et link til en hjemmesideHjemmeside
Læs mere om "Hjemmeside" i Version2's it leksikon med skadeligt indhold.
Zombie-hærens størrelse vurderer Trend Micro til samlet set at ligge på et sted mellem 1 million og 10 millioner computere spredt rundt omkring i verden. Men Storms præcise størrelse kan der kun gisnes om.
»Det ligger et sted midt i mellem, men det er formentligt meget dynamisk. Der er ikke ét tal, som er præcist,« siger senior antivirus-analytiker ved Trend Micro, David Sancho, til Version2.
Storm bliver hovedsageligt brugt til at udsendelse af spam. Botnettet bruger peer-to-peerPeer-to-peer
Læs mere om "Peer-to-peer" i Version2's it leksikon teknologien Overnet. Når zombierne skal kommanderes foregår det ved, at instruktioner bliver distribueret ud gennem peer-to-peer netværket, hvorefter zombierne falder i geled. Problemet med den de-centrale peer-to-peer struktur set fra et sikkerhedssynspunkt er, at det er svært at finde hovedafbryderen.
»Det er meget svært at lukke ned. Hvis bare der er en, der er inficeret, så lever netværket. Og alle nye, som er inficerede, bliver en del af netværket. Så det er meget svært at stoppe det,« siger David Sancho.
Kan nedlægge alt
Selvom spam for tiden er Storms foretrukne aktivitet, så kan nettet meget mere. Det er eksempelvis ikke ufarligt for sikkerhedsfolk som David Sancho at forske i, hvordan Storm opererer. Botnettet er sat op til at kunne forsvare sig selv. Det vil sige, at når uautoriserede instruktioner eller andre fiksfakserier blive forsøgt af andre end Storms bagmænd, så risikerer man et modangreb.
David Sancho har selv haft den lidet behagelige følelse i maven, det må give, når verdens største zombie-hær vender blikket mod en specifik ip-adresse.
»For nyligt ændrede de deres kode. Der var en HTML-kommando, som gav os et link til et download. Det rigtige link var i virkeligheden gemt, krypteret. Så hvis ens automatiske system fulgte linket, som så ud til at være det rigtige, så fremprovokerede man automatisk et denial of serviceDenial of service
Læs mere om "Denial of service" i Version2's it leksikon mod os selv. Og det gjorde vi,« fortæller David Sancho.
Det var dog ikke virksomheden Trend Micro, det gik udover, men særlige linjer til sikkerhedsforskerne, som blev ubrugelige på grund af angrebet.
Selvom det kun var eksperternes internetrouter, der oplevede smerten ved denial of service-angreb fra Storm, så kan David Sancho sagtens se problemet i, hvis Storm bliver beordret til at nedlægge eksempelvis hjemmesider med denial of service-angreb.
»Hvis et tilstrækkeligt stort antal pc’ere angriber, så er det meget svært at afværge,« siger han.
Og ifølge David Sancho, så kan ingen føle sig sikre.
»Det vil kunne nedlægge alt,« lyder den dystre melding fra sikkerhedseksperten, som dog er lidt i vildrede om, hvorvidt Google.com også ville kunne nedlægges helt af et målrettet angreb fra det gigantiske botnet.
Russisk korruption
Det er ikke kun Storms præcise størrelse, der er stor usikkerhed omkring. Også folkene bag og deres nationalitet er uvis. Dog peger noget på, at der er tale om organiseret kriminalitet i Rusland.
»Det formodes, at en stor, kriminel organisation, som kommer fra Rusland, er bag dette. Men det er kun spekulationer på nuværende tidspunkt, vi kan ikke være 100 procent sikre, men det er meget sandsynligt,« siger David Sancho.
Men selvom oprindelseslandet med nogen sandsynlighed kan bestemmes, så er det alligevel svært at få fat på de ansvarlige bag Storm. Dels foregår al kommunikation mellem spammere og bagmænd via undergrundsfora, som det ifølge David Sancho er svært at få adgang til, og desuden foregår kommunikationen på russisk.
Der er imidlertid også en anden faktor, som muligvis spiller ind på det faktum, at bagmændene stadig underslipper de russiske myndigheder.
»Faktum er, at vi forsynet dem med en masse data, men fremgangen (i efterforskningen, red.) har ikke været så hurtig, som den kunne have været,« siger David Sancho og antyder, at korruption kan være en forklaring.
Vokser fortsat
Selvom han håber på det modsatte, har David Sancho en formodning om, at Storm vil tage yderligere til i styrke i 2008. Den bedste måde ikke at blive en del af zombie-hæren er ifølge David Sancho anti-virus software kombineret med software, der kan tjekke, om links i mails er skadelige, inden brugeren klikker på dem.
En undersøgelse som Trend Micro har foretaget blandt 17 europæiske lande viser, at Sverige er det land, hvor Storm er mest udbredt. Mens Danmark med en niendeplads lander præcist i midten af listen.
kilde:
http://www.version2.dk/artikel/5933?rss