Le Botnet

Le botnet sono diventate una delle principali minacce agli odierni sistemi di sicurezza. 

Sono sempre più utilizzate dai cybercriminali perché consentono di infiltrarsi in quasi tutti i dispositivi connessi a Internet, da un riproduttore DVR ai mainframe aziendali. 

Per questo, ultimamente le botnet sono un argomento molto discusso nel mondo della cybersicurezza.

 

Che cos’è una botnet?

Una botnet è una rete di computer, solitamente PC, composta da dispositivi infettati da malware specializzati, detti bot o zombie. 

I cybercriminali che le controllano vengono chiamati botmaster o bot herder (tecnicamente “mandriani”, sottolineando come l’efficacia di una botnet dipenda dalla sua estensione).

Per creare una botnet, i botmaster hanno bisogno di controllare migliaia di dispositivi infettati (bot) e connessi a Internet. Le dimensioni di una botnet dipendono direttamente dal numero di bot connessi: più grande è la botnet, più danni fa.

I dispositivi connessi ad Internet al cui interno sussistono vulnerabilità nella loro infrastruttura di sicurezza, possono talvolta diventare parte della botnet e, se l’agente infettante è un trojan, il botmaster può controllare il sistema tramite accesso remoto. 

I computer così infettati, possono scagliare attacchi, denominati Distributed Denial of Service (DDos), contro altri sistemi e/o compiere altre operazioni illecite, in alcuni casi persino su commissione di organizzazioni criminali. 

 

Applicazioni

In generale il termine “botnet” viene utilizzato per quelle reti in grado di agire con sincronia ed autonomia per fini illegali, ma esistono botnet legali usate per il calcolo distribuito e per studiare la diffusione del malware.

Tuttavia, l’uso più comune delle botnet riguarda la compromissione dei computer, le cui difese di sicurezza possono essere violate, come per esempio, credenziali di accesso deboli o corte, firewall mal configurati o software server vulnerabili.

Tali malware / trojan specializzati, non appena hanno assunto il controllo del sistema, devono poter fornire al proprio autore i dati fondamentali relativi al sistema infettato. 

Per fare ciò spesso sfruttano, per fornire un accesso esclusivo all’autore, i canali IRC connettendosi ad un canale privato protetto da password. 

Tramite il canale di chat l’autore è in grado di controllare contemporaneamente tutti i sistemi infetti in ascolto sul canale – i quali possono essere anche decine di migliaia. 

Possono poi impartirvi ordini, richiedendo immagini dello schermo, indirizzo IP o, ad esempio, fornendo l’hostname / IP di una vittima da attaccare tramite DDoS

I botmaster possono anche controllare i computer zombie tramite le sofisticate reti peer-to-peer, persino con Skype, e quindi con protocolli binari e crittografati

I “servizi” delle botnet vengo spesso venduti a clienti intenti a compiere azioni illegali.

Tra i servizi offerti figurano: Denial of service (DoS), Distributed Denial of Service (DDos), Spam, Phishing o Spyware.

 

Struttura delle botnet

Le botnet possono essere progettate in due modi, entrambi destinati a massimizzare il controllo dei botmaster sui bot.

Il primo modello è il “client-server”. In questo tipo di botnet un server controlla le trasmissioni di dati di ciascun client, come nella struttura classica di una rete. 

Il botmaster utilizza un software apposito per creare server Command and Control (C&C), che impartiscono istruzioni a ciascun dispositivo-client. 

Una volta distrutto il server, la botnet non esiste più.

Il secondo modello è il “peer-to-peer”. Questo, invece di affidarsi a un server C&C centrale, le botnet più recenti si basano su una struttura peer-to-peer (P2P). 

In una botnet P2P ciascun dispositivo infetto funziona sia come client sia come server. 

Ogni bot ha un elenco degli altri dispositivi infetti e li contatta quando ha bisogno di aggiornare o trasmettere informazioni. 

Le botnet P2P sono più difficili da smantellare per le forze dell’ordine perché mancano di un’origine centrale.

 

Prevenzione contro le botnet

Per prevenire l’infezione da botnet è necessario adottare una strategia su più fronti, basata principalmente su regole per una navigazione sicura e un sistema di protezione antivirus. 

Tra le pratiche maggiormente efficaci figurano: aggiornare il sistema operativo, non aprire allegati di email di mittenti sconosciuti o sospetti, non scaricare file da reti P2P e di file sharing, non fare clic su link sospetti, utilizzare un buon software antivirus.