Η εξάπλωση των δικτύων botnet και των οικονομικών συνεπειών που επιφέρουν μέσω του οικονομικού εγκλήματος αποτελεί μία από τις μεγαλύτερες σύγχρονες απειλές του Διαδικτύου. Botnet είναι ένα δίκτυο από υπολογιστές-θύματα (“bots”, από το “robots”) που βρίσκονται υπό τον έλεγχο ενός ή περισσότερων κακόβουλων χρηστών, των BotMasters. Η ανάπτυξή τους είναι συνεχής (αύξηση 165% το 2008, σύμφωνα με τη Symantec) και η διαχείρισή τους όλο και πιο απλή, ακόμα και για απλούς χρήστες. Ο συνολικός αριθμός των υπονομευμένων υπολογιστών σήμερα υπολογίζεται σε αρκετά εκατομμύρια (
http://www.shadowserver.org).
Η μόλυνση του υπολογιστή-θύμα γίνεται μέσω εκτέλεσης κακόβουλου λογισμικού εκμετάλλευσης ευπαθειών (exploit code) που λαμβάνεται σε e-mail ή μέσω BitTorrent κ.ά., από επίσκεψη σε κακόβουλη ιστοσελίδα που εκμεταλλεύεται ευαισθησίες του browser ή μέσω επιθέσεων των botnets. Τα botnets πραγματοποιούν επιθέσεις για τη διάδοσή τους σαρώνοντας ένα σύνολο από διευθύνσεις IP για γνωστές υπηρεσίες TCP και UDP και κάνοντας χρήση κώδικα εκμετάλλευσης ευπαθειών. Οι κυριότερες αποστολές ενός botnet περιλαμβάνουν τη διεξαγωγή κατανεμημένων επιθέσεων άρνησης υπηρεσιών (DDoS), την αποστολή ανεπιθύμητων μηνυμάτων (spam) για διαφήμιση ή για ηλεκτρονικό “ψάρεμα” προσωπικών δεδομένων (phishing) ή για διάδοση κακόβουλου λογισμικού (ακόμη και των ίδιων των botnets), την κλοπή ιδιωτικών δεδομένων μέσω keylogging και sniffing και διάφορες άλλες παράνομες ενέργειες.
Η ταυτότητα της έρευνας
Στο πλαίσιο της παρούσας μελέτης χρησιμοποιείται η τεχνολογία των honeypots (υπολογιστών, δηλαδή, που προσελκύουν και καταγράφουν επιθέσεις) για τον εντοπισμό botnets στον ελληνικό χώρο και την εξαγωγή συμπερασμάτων σχετικά με τον τρόπο λειτουργίας τους. Για την υλοποίηση της αρχιτεκτονικής honeynet (τέσσερεις honeypots και ένας δρομολογητής honeywall που καταγράφει συνολικά τα στοιχεία) έγινε χρήση του VMware σε έναν μόνο υπολογιστή (Intel Core2 Duo 2,13GHz, 3GB). Η σύνδεση του honeynet με το Διαδίκτυο πραγματοποιείται μέσα από σύνδεση ADSL που προσφέρει ένας από τους μεγάλους παρόχους υπηρεσιών Διαδικτύου (ISP) στην Ελλάδα. Η ανάθεση της διεύθυνσης IP είναι δυναμική, ενώ απενεργοποιήθηκε το firewall του modem/router ADSL.
Για τη μελέτη των εξερχόμενων επιθέσεων χρησιμοποιήθηκαν honeypots που μπορούν εύκολα να μολυνθούν από κακόβουλο λογισμικό, όπως αποδείχτηκε (μολύνθηκαν σε λιγότερη από μία ώρα), συγκεκριμένα υπολογιστές με τα Windows XP SP1 και Windows XP SP3 χωρίς Windows firewall και χωρίς αυτόματες ενημερώσεις. Οι κύριες υπηρεσίες που εκτελούνται στο σύστημα Windows XP SP1 είναι Microsoft RPC, NETBIOS και Microsoft Directory Services. Στο Windows XP, SP3, εκτός των προηγουμένων υπηρεσιών, εκτελούνται Web server IIS v5.1, Microsoft SQL Server 2005 και SMTP.
Για τη μελέτη των εισερχόμενων επιθέσεων χρησιμοποιήθηκαν honeypots πιο ανθεκτικά σε αυτές, συγκεκριμένα υπολογιστές με τα Windows XP Up-To-Date (για 22 μέρες) και το Ubuntu Server 7.10 (για 15 μέρες). Στο Windows XP Up-To-Date με αυτόματες ενημερώσεις και χωρίς Windows firewall εκτελούνται Microsoft RPC, NETBIOS και Microsoft Directory Services. Στο Ubuntu Server 7.10 χρησιμοποιούνται προφανή username/password και εκτελούνται OpenSSH server για υπηρεσίες απομακρυσμένης σύνδεσης και VSFTPD server για υπηρεσίες ftp.
Ενδιαφέροντα αποτελέσματα
Οι εξερχόμενες επιθέσεις που παρατηρήθηκαν από το honeynet αφορούν κυρίως σε υπηρεσίες των Windows, συγκεκριμένα τις υπηρεσίες epmap και Microsoft-DS, που τρέχουν στις θύρες 135 και 445. Ο πιο συχνά παρατηρούμενος τύπος εξερχόμενης επίθεσης είναι η διαδοχική σάρωση διευθύνσεων IP (port sweep) στις θύρες που προαναφέρθηκαν και, εφόσον βρεθεί μηχάνημα στο οποίο τρέχει η αντίστοιχη υπηρεσία, γίνεται εκτέλεση κάποιου κώδικα εκμετάλλευσης ευπαθειών. Το εύρος των διευθύνσεων IP στο οποίο γίνεται η σάρωση είναι κατά κύριο λόγο τα δύο υποδίκτυα στα οποία ανήκει το honeypot, δηλαδή το δίκτυο NAT του ADSL router 192.168.0.0/16 και το δίκτυο public του ISP.
Με τη μελέτη των εισερχόμενων επιθέσεις παρατηρείται ότι πραγματοποιούνται προς τις θύρες 445, 135, 138 και 139 -με πολύ μεγάλη διαφορά από τις υπόλοιπες- αποκλειστικά σχεδόν από το δίκτυο του ISP. Επίσης, οι επιθέσεις αυτές γίνονται συνήθως από το ίδιο υποδίκτυο του ISP. Αντίθετα, οι επιθέσεις στη θύρα 22 προέρχονται σχεδόν όλες από εξωτερικά δίκτυα.
Χρηστικά συμπεράσματα
Από την ανάλυση των δεδομένων κίνησης προκύπτει ότι πολλά από τα botnets στα οποία συμμετείχαν τα honeypots είναι IRC και HTTP botnets που δεν κρυπτογραφούν την επικοινωνία τους, κάνοντας την ανίχνευσή τους αρκετά εύκολη. Όπως βρέθηκε, οι επιθέσεις προς τις θύρες 445, 135, 137-139 γίνονται σχεδόν αποκλειστικά μέσα από το δίκτυο του ISP (από προσωπικούς υπολογιστές απλών χρηστών). Η θύρα TCP/UDP 135 (epmap - Microsoft RPC) παρέχει πληροφορίες σχετικά με ένα πρωτόκολλο ή μία εφαρμογή και χρησιμοποιείται από κάποιες βασικές υπηρεσίες, όπως το MS Exchange. Σε αυτή την περίπτωση οι διευθύνσεις IP που μπορούν να αποστείλουν πακέτα σε αυτή τη θύρα πρέπει να ελέγχονται από το firewall του χρήστη. Επίσης, η θύρα 445 που αντικαθιστά τις θύρες 137-139 του NetBIOS (δικτύωση πόρων και υπολογιστών σε τοπικό επίπεδο) των Windows για όλες τις εκδόσεις μετά τα NT χρησιμοποιείται συχνά για την ανάθεση δυναμικής διεύθυνσης IP από τον DHCP server, που είναι μια κοινή τακτική για οργανισμούς και ISPs.
Μια λύση είναι οι ISPs να μπλοκάρουν αυτοβούλως αυτές τις θύρες για τους χρήστες, κάτι που συμβαίνει ήδη, αφού -όπως διαπιστώθηκε- δεν υπάρχουν επιθέσεις σε αυτές τις θύρες από εξωτερικά δίκτυα. Επίσης, εάν χρησιμοποιείται ADSL router/firewall από τους χρήστες, οι θύρες 445, 135 και 137-139 πρέπει να είναι κλειστές. Πρέπει να τονιστεί ότι, λόγω του ότι οι θύρες 135 και 445 χρησιμοποιούνται από πολλές υπηρεσίες των Windows, το μπλοκάρισμά τους με firewall λογισμικού δεν είναι αποτελεσματική λύση.
Όπως πρόεκυψε από την έρευνα, η χρήση μηχανήματος firewall μειώνει σημαντικά τον κίνδυνο μόλυνσης από botnets που διενεργούν επιθέσεις. Ωστόσο, πολλές φορές οι χρήστες εγκαθιστούν οι ίδιοι το bot στον υπολογιστή τους. Για το λόγο αυτόν, και δεδομένου ότι -όπως διαπιστώθηκε πειραματικά- τα περισσότερα ενεργά botnets υπάρχουν στις υπογραφές των αντι-ιικών προγραμμάτων (antivirus), συστήνεται και η χρήση ενημερωμένου antivirus. Επίσης, η εγκατάσταση των πιο πρόσφατων ενημερώσεων όλων των προγραμμάτων (ιδιαίτερα αυτών που αλληλεπιδρούν με το Διαδίκτυο) είναι αναγκαία, προκειμένου να προφυλαχθούν οι χρήστες από γνωστά κενά ασφάλειας, τα οποία τα εκμεταλλεύονται τα νέα botnets.
Οι συνεχείς, λοιπόν, έρευνα και μελέτη των δικτύων botnet είναι απαραίτητες, ώστε να προτείνονται νέα αντίμετρα. Η τεχνολογία των honeypots είναι ένα σημαντικό εργαλείο για την καταγραφή και τη μελέτη των botnets και της κίνησης που δημιουργούν, η οποία σε καμία περίπτωση δεν μπορεί να αποκρυφτεί, παρά μόνο να κρυπτογραφηθεί και να καμουφλαριστεί μέσα σε άλλα πρωτόκολλα επικοινωνίας. Προτείνονται η εγκατάσταση ενός κατάλληλου δικτύου από honeypots (ιδεατά, ένα honeynet ανά υποδίκτυο του παρόχου), η καταγραφή διευθύνσεων IP μολυσμένων μηχανημάτων και η ενημέρωση των χρηστών τους.
Επίσης, πρέπει να οριστεί ένα πρωτόκολλο ανταλλαγής πληροφοριών μεταξύ των ISPs για διευθύνσεις IP που ανήκουν σε άλλον πάροχο, με ενσωμάτωση της έννοιας της εμπιστοσύνης μεταξύ τους. Τέλος, έπειτα από καταγραφή επιθέσεων από εξωτερικά δίκτυα, ο πάροχος πρέπει να ενημερώνει κατάλληλα τους κανόνες του firewall και του συστήματος ανίχνευσης εισβολών (π.χ. snort) που διαθέτει.
