Da li ste vi i/ili vaš računar BOT? Sigurni ste da niste? Ipak, nemojte to tvrditi dok dobro i detaljno ne proverite. U ovom tekstu biće izneto malo više detalja na temu botova. Prateći napade na moj novi lični web sajt, koji su počeli čim sam ga sredinom januara postavio na potpuno novom domenu, primetio sam i da popriličan broj računara iz Srbije učestvuje u njima.
Možda su u pitanju klinci koji vole da se igraju napadima, možda ozbiljniji napadači, ali sam prilično siguran da većina vlasnika i ne znaju da su mnogi od njihovih računara i sličnih tehničkih uređaja „upregnuti" u botnet bez njihovog znanja. Ovo pogotovu zato što na mom sajtu nema ništa od posebnog interesa što bi mogao biti unosan cilj. Nema online trgovine, poverljivih podataka, interesantnih dokumenata i slično.
Ipak, konstantno, praktično od prvog dana tj. od samog postavljanja sajta, beležim po nekoliko stotina raznih napada ili čudnih pristupa svakog sata. Oni idu od pokušaja provale lozinke grubom silom (engl. brute force attack) do vrlo „suptilnih" napada. Napadi su uglavnom automatizovani, a pokušaji pogađanja lozinke idu preko wp-login stranice, XMLRPC-a, forme za zaboravljenu lozinku i slično. Logično jer se radi o WordPress sajtu. WordPress je jedna od najpopularnijih open source CMS platformi.
Logično, kao rezultat svega je i veliki broj phishing mailova koje dobijam. Naravno, nekoliko metoda zaštite je uključeno, tako da se nadam da neće biti „provale", ali to nije isključeno.
Da citiram ovde i par rečenica jednog od poznatih autoriteta u oblasti (Bruce Schneier):
"Information security is complicated, and hard to get right. I'm an expert in the field, and it's hard for me. It's hard for the director of the CIA. And it's hard for you. Security settings on websites are complicated and confusing. Security products are no different. As long as it's solely the user's responsibility to get right, and solely his loss if it goes wrong, we're never going to solve it."
Proučavanja i zabave radi, ponekad stavljam i male „mamce" (nešto kao honeypots), da vidim kako se napadači ponašaju, odakle dolaze, šta pokušavaju da urade, na koji način to rade i slično. Zanimljiva igra u kojoj pokušavam da saznam ko je sa druge strane i šta hoće, koliko ima znanja, umeća i upornosti. Opet, može da bude i korisno jer proučavam vektore napada, prikupljajući ih u datasetove za sistem za zaštitu koji koristi veštačku inteligenciju i mašinsko učenje.
A vi, kako ste?
Baveći se informacionom bezbednošću već duže vreme, primetio sam koliko se ljudi olako i često neozbiljno odnose prema ovoj problematici. To se tiče ne samo individualnih korisnika računara nego i onih koji pripadaju ozbiljnim i velikim firmama, kao i organizacijama, institucijama i slično, pa čak i onima koje imaju i svoja odeljenja za informacionu bezbednost.
Često čujem tvrdnju: "Nemam ništa na računaru da krijem od drugih, pa mi ne treba (nikakva) zaštita." Slična tvrdnja je: "Ko ima interesa da gleda šta ima kod mene". Ovo je duboko pogrešno, nažalost. Možda niste baš unosan cilj, kao neka banka, firma, državna institucija, ali i dalje postoji rizik, a često oni koji misle da baš i ne treba ništa od zaštite, postaju deo botneta, mreže botova. Njihovi računari, bez njihovog znanja, postaju izvori napada, ponekad i vrlo ozbiljnih.
Drugim rečima, postajete oružje u tuđim rukama. Zato se možete iznenaditi kada vam neko pokuca na vrata i kaže: "Sa vašeg računara je izvršen napad na..." ili "Otkrili smo na vašem računaru nedozvoljeni sadržaj te i te vrste".
Takođe, ne voditi računa o zaštiti u ovo vreme primene računara, mobilnih telefona, kao i drugih uređaja koji su povezani na Internet, je „ludo hrabro". Imajući u vidu ekspanziju primene cloud baziranih usluga (čuo sam da ih neki zovu "oblačne usluge") , kao i sve rasprotranjenije povezivanje različitih „stvari" na Intrnet (Internet of Things - IoT), problemi se višestruko umnožavaju.
Šta (ko) je bot?
Bot je skraćenica za RoBOT odnosno zombi računar koji omogućava nekome ko nije stvarni vlasnik da preuzme delimičnu ili potpunu kontrolu nad njim. Napadač obično preuzima kontrolu tako što „zarazi" računar zlonamernim kodom koji je upravo napravljen za tu namenu. Botnet-ovi se mogu sastojati od stotina ili hiljada računara, koje su kompromitovane i „upregnute" da rade za nekoga koga obično zovemo Botmaster.
Danas ovo predstavlja ozbiljan problem u oblasti informacione bezbednosti. Sa razvojem softverskih alata, izuzetno dobre povezanosti računara u mreže, uključujući i IoT (Internet of Things), botovi i botnet mreže rastu neverovatnom brzinom.
Kako nastaje bot?
Pa prilično jednostavno. Vi preuzmete neki besplatan, a „koristan" softver koji uz osnovnu funkciju ima i neke dodatne, za koje ne znate. Ili otvorite prilog u email poruci od pošiljaoca, koji možda nije ni svestan šta vam je poslao ili vam je upravo ciljano poslao, sa kojim ga instalirate. Možda kliknete na neki nepouzdan link, pa ga „pokupite" onako usput. Postoji bezbroj načina, a oni koji žele da vam "uvale" zlonamerni softver i pretvore vaš računar ili telefon u "zombija" su vrlo kreativni i vešti.
Šta botovi rade?
Botovi uključuju vaše računare ili druge tehničke uređaje (recimo kamere za video nadzor, štampače, rutere, mobilne telefone, pa možda i napredne televizore ili frižidere) u mrežu koja, pod kontrolom drugog izvodi najraznovrsnije akcije. Primeri su: DDoS napadi, slanje neželjene pošte (spam), pokušaji probijanja lozinki u nečijem sistemu itd.
Kako otkriti da li ste bot?
Kao prvo, to što vaš računar radi, na izgled, bez problema ne znači da niste bot. obro je da imate rešenja za zaštitu, antivirusni softver odnosno softver koji otkriva zlonamerni kod (koristiće povremeno skeniranje različitim alatima jer ne otkrivaju svi se), zatim aktivan firewall koji je pravilno podešen, sisteme za detekciju i prevenciju upada i slično. Na Internetu možete naći i baze IP adresa i uređaja koji su deo mreže, pa možete proveriti da li se tamo nalazite i slično. Možete se obratiti i nekom iz svog okruženja ko ima znanje i iskustvo u toj oblasti da vam pomogne.
Ne zaboravite, budite vrlo pažljivi i setite se one narodne "bolje je sprečiti nego lečiti".
Grupa kolega i ja radimo na istraživačko-razvojnom projektu, koji bi u nekoj sledećoj iteraciji, između ostalih anomalija, trebao da bude u stanju da prepozna i računare koji su deo botneta, na osnovu skupa različitih parametara i da ih klasifikuje kao takve.
Ako želite da pročitate nekoliko priča o crvu (worm) Mirai koji je, između ostalog odgovoran i za rekordan DDoS napad tokom septembra 2016. i još nekoliko sličnih, sledite ovaj link.
Zanimljiva je da ogroman broj napada dolazi sa poznatih cloud servisa, što može značiti dve stvari:
· Da su neki od njihovih servera kompromitovani i delovi mreže botova bez obzira na mere zaštite koje oni sprovode ili bi trebalo da sprovode.
· Da ih hakeri koriste kao odskočnu dasku za aplikacije koje kreiraju i upravljaju mrežama botova.
Da ovaj tekst ne bi bio predugačak, za detaljnije informacije o botovima, načinima rada i zaštite, preporučujem da proguglate i da se zaštitite na dobar način. Takođe, na Internetu kod kompanija koje se bave informacionom bezbednošću, možete naći podatke o IP adresama računara i drugih uređaja koji su registrovani kao deo botnet mreža.