Читаем Компьютерные советы (сборник статей) полностью

Интернет давно вышел из младенческого возраста с присущей ему простотой. Глобальная сеть сегодня — невообразимо сложная, многоярусная структура, в которой взгляду рядового путешественника доступна лишь незначительная часть. Нырять глубже, в тёмные глубины виртуальных вод, решаются немногие — одной смелости для этого мало, нужно особое оснащение. Но диковинки, которые приносят с собой исследователи, стоят и труда, и риска. На днях немецкие специалисты по информационной безопасности опубликовали отчёт об одной такой экспедиции, длившейся несколько месяцев: осенью прошлого года группа специалистов начала изучение яруса ботнетов и сейчас делится своими находками.

Ботнеты (от англ. botnets) — онлайновый андеграунд, преисподняя Веба — множество субсетей, протянутых по каналам интернета автономными клиентами, в роли которых выступают вирусные и шпионские программы (боты). Паразитирующие на обычных персоналках и серверах, боты в значительной степени самостоятельны (репликация, поддержание связи с другими узлами, выполнение различных задач на заражённых машинах — всё это они делают сами), но в конечном счёте всегда подчинены своим хозяевам. Последние управляют ботнетами удалённо, обычно через публичные IRC-каналы. Антивирусным компаниям и специалистам по защите систем и сетей сегодня известно несколько десятков популярных разновидностей ботов, анализ их позволяет судить и о задачах, выполняемых сетями таких программ (проведение DdoS-атак, рассылка спама, кража данных). Считается, что компьютеры, входящие в состав бот-сетей, составляют значи! тельную часть сети глобальной, но какова в точности их массовая доля, сказать, по понятным причинам, трудно: создатели ботнетов не афишируют свою работу, а доступ к этим сетям требует знания закрытой информации.

Пролить свет на киберкриминальный феномен удалось немецким исследователям, участвующим в интернациональном проекте Honeynet Project. Для изучения ботнетов они применили оригинальную технику, позволившую взглянуть на проблему изнутри: сеть-приманку (honeynet), составленную из нескольких машин под управлением Microsoft Windows, замаскированных под обычные домашние персоналки, но на самом деле оснащённых особым программным обеспечением для мониторинга. Подключение «подставных» машин к Сети уже через несколько минут приводило к их заражению какой-либо заразой, которая часто подключала инфицированную PC к одной из развёрнутых в интернете ботнетов. Анализируя исходящий трафик и исследуя по выловленным из него ссылкам различные веб-ресурсы, авторы работы получили уникальные результаты. Подробности можно найти в увлекательном отчёте, опубликованном на сайте honeynet.org ("Know Your Enemy: Tracking Botnets"), здесь же хотелось бы остановиться на самых интересных общих моментах.

Прежде всего впечатляет размах: всего за три месяца исследователям удалось обнаружить более сотни ботнетов, в каждой из которых присутствовало от нескольких сотен до десятков тысяч машин. Экстраполяция на глобальную сеть позволяет авторам исследования утверждать: по самой скромной оценке в Сети работает более одного миллиона машин, заражённых той или иной разновидностью бот-заразы. Преимущественно это домашние персоналки с постоянным интернет-подключением и операционной системой Microsoft Windows (XP SP1, Windows 2000 и более ранних версий). Самым популярным инструментом, используемым ботами для координации своих действий, а их хозяевами — для управления ботнетами в целом, действительно являются сети IRC. Подтвердился и ряд других предположений, прежде всего касающихся задач, решаемых с помощью таких сетей. Ботнеты активно применяются для организации DDoS-атак. Трафик, порождаемый даже одной сетью из нескольких сотен PC, превышает способности средней корпоративной локалки! а крупные ботнеты способны «завалить» и самые мощные из существующих распределённых сетевых структур: временный выход из строя летом прошлого года сети кэширующих серверов Akamai Technologies предположительно был вызван ботнет-атакой. Используются ботнеты и для рассылки спама, и как стартовые площадки для вирусных эпидемий: многие боты умеют распространяться самостоятельно, эксплуатируя широко известные уязвимости в ОС семейства Windows. Наконец, было практически подтверждено и существование бот-сетей, ведущих «шпионскую» деятельность: прослушивающих трафик инфицированных машин, «подслушивающих» клавиатурный ввод их пользователей.