Oblicza cyberprzestępczości w 2020 roku, czyli o botnetach
Komputery zombie spędzają sens z powiek dzisiejszych szefów firm. Zdalnie sterowane maszyny powodują straty, utrudniają ludziom korzystanie z usług i stanowią lukratywną gałąź cyberprzestępczości.
US Telecom wraz ze Stowarzyszeniem Technologii Konsumenckich (CTA) opublikował poradnik przetrwania w świecie dominowanym przez botnety. Ze względu na powiązania techniczne nie ma tutaj możliwości oddzielenia problemów zwykłych ludzi, użytkowników systemów, od firm jakie dostarczają nowe rozwiązania. Zwłaszcza, że walka z botnetami oznacza nic innego, jak groźbę zakamuflowanego cenzurowania treści. Botnety są sieciami złożonymi z komputerów zwykłych ludzi, ale przejętych za pomocą wirusów i zdalnie zarządzanymi. Ofiary często nie wiedzą, że uczestniczą w złożonych kampaniach politycznych, czy wyłudzeniach. Jedynym śladem są spowolnienia komputera jakie wcześniej nie występowały, a także łączenie się z dziwnymi serwerami w tle, co już wymaga wiedzy i pewnej dozy umiejętności do zinterpretowania.
Skuteczność botnetów wynika ze skali. O ile przejęcie kilku komputerów nie daje zbyt wiele o tyle korzystanie z milionów tak zwanych „zombie”, czyli nieświadomych uczestników sieci - już tak. Odpowiedzią na to jest propozycja DPI, czyli głębokiej analizy pakietów. W sieciach komputerowych dane bowiem są przesyłane w formie paczek. Nazywają się one pakietami. Inżynierowie wyszczególniają w ramach tak zwanego modelu OSI różne warstwy rozumienia komunikacji w sieci. Pierwszą z nich stanowi przesyłanie czystych impulsów, a na samej górze jest operowanie nimi przez aplikacje (programy).
Sieci uderzają od 2018 roku coraz częściej w infrastrukturę Internetu Rzeczy. Tym samym telewizor z podłączeniem do sieci, czy lodówka mogą bez naszej wiedzy być członkami siatki prowadzącej działalność terrorystyczną przez Internet. Nowością jest pojawienie się botnetów do kryptowalut. Za pieniądze ofiar generują dane potrzebne do wykopywania kryptowalut. Obok nich istnieją sieci będące ewolucją „warezów”, czyli nielegalnych dostawców treści. Wykorzystują one komputery zombie do przekazywania treści ochranianych przez prawo. Tworzą również metody oszustwa oparte o społeczny dowód słuszności, na przykład dla udowodnienia, że ludzie z czym się zgadzają. Jedne ze współczesnych wytycznych dla firm stanowi dokument NISTIR 8259, jeden z poradników jak ustrzec się problemu.
Działalność takich botnetów jak Mirai konsumuje dostępne pasmo. Wykluczenie ich z obiegu oznacza nie tylko przyśpieszenie sieci, ale obniżenie kosztów funkcjonowania infrastruktury. Problem sięga bowiem kilku płaszczyzn. Obejmuje kwestie ochrony instalacji domowych, dostawców Internetu (ISP), programistów, urządzeń Internetu Rzeczy i świadomości ludzi.
Działania sieci botnet pozwalają na wpływanie na rynek oparty co technologie komunikacyjne. W praktyce zaś oznacza to udział w dwudziestu procentach gospodarki światowej. W 2025 roku wedle szacunków będzie to dwadzieścia trzy tryliony dolarów. Stąd pojawiają się kroki na rzecz tak zwanego C2, zwołania przewodniczących (convene the conveners) dla zbudowania porozumienia opartego o ustalenie specyfikacji technicznych, usuwanie rozwiązań pozbawionych zabezpieczeń z rynku, opracowanie języka używanego w omawianiu problemu między firmami a zwykłymi ludźmi, a także włączenie rządów.
Zwłaszcza, że ewolucję systemów ochrony poprzedza wzrost bezpieczeństwa botnetów. Zdaniem IBM X-Force co trzeci wirus jest skierowany przeciw urządzeniom określanym jako inteligentne. Raport Century Link za 2019 wskazuje, że aktywność sieci komputerów zombie jest ograniczana. Takie systemy złoczyńców jak Mirai, czy Gafdyt nie znikają. Do tej porty Mirai odnotował sześćdziesiąt trzy potwierdzone odmiany, część dalej aktywna. Takie botnety jak TheMoon są skierowane przeciwko routerom, czyli kluczowym elementom dostarczania sieci. Cyberprzestępcy walczą o to, aby sieć ich chroniła się sama za pomocą sztucznej inteligencji hivenet, co już wcielono w życie w ramach Swarmbot.
Skutkiem praktycznym jest choćby rozrost spamu. Przykładowo Emotet wedle ustaleń Cisco wysyła w ciągu dziesięciu miesięcy dziewiętnaście tysięcy razy niechciane listy elektroniczne. Stąd dziś rodzi się jeszcze problem odpowiedzi. Jednym z najprostszych rozwiązań jest wyłączenie zarażonych maszyn, co przekłada się na tysiące ludzi automatycznie odłączanych od Internetu. Tym samym pod znakiem zapytania staje się, czy w przyszłości telefony na Android zarażone przez Fbot nie będą po prostu odcięte od sieci, czy dla przykładu haktywiści z Pascha rywalizujący z Rocke nie spowodują, że nawet do trzydziestu procent osób będzie odciętych od globalnej pajęczyny. Dla ochrony innych, lub dla zamknięcia im przy okazji ust.
Jacek Skrzypacz
Źródło: Jacek Skrzypacz
