La BBC e la provocazione della botnet

[Chukie]

Quote:

Simulare in tutto e per tutto il tipico attacco DDoS a scopo dimostrativo. Senza conseguenze, senza danni e senza colpo ferire. Così la BBC ha messo in piedi una significativa operazione in grado di dimostrare al pubblico quanto sia semplice mettere in piedi un sistema per un attacco DDoS e, di conseguenza, quanto sia importante porre massima attenzione a tale problematica.

Il processo è stato di per sé banale e portato a termine grazie alla collaborazione tecnica degli esperti di sicurezza Prevx. Il primo passo efettuato dai responsabili dalla BBC è stato nell'acquisto di una botnet. Trattasi nella fattispecie di computer infetti sui quali un malintenzionato ha pieno controllo: utilizzandoli in massa su di un server, è possibile portare a segno il proprio DDoS ottenendo le conseguenze desiderate (sistema utilizzato per annichilire sistemi altrui, oppure per perpetrare minacce ed altri tipi di offensiva). Entrare in una botnet è cosa relativamente semplice: un click incauto, un file aperto senza precauzioni, e l'infezione silente è attivata. Una volta infetto, il sistema diventa una cellula dormiente che il cracker può vendere in pacchetti di migliaia di unità (al prezzo di poche centinaia di sterline) e l'acquirente può utilizzare quindi a proprio piacimento (l'uso a fine di spam è uno dei rischi più ricorrenti).

Una volta avuta sotto controllo la botnet acquistata, è stato scatenato il DDoS verso un server predisposto dai tecnici Prevx per ospitare l'attacco: sarebbero bastate appena 60 macchine per affondare il colpo e dimostrare il potenziale d'attacco della botnet. Una volta portato a termine il tutto, i tecnici BBC hanno ripulito il terreno: gli utenti infetti (e facenti quindi parte della botnet) sono stati avvisati del problema ed è stata girata loro ogni istruzione utile a ripulire il sistema. A questo punto la botnet è stata cancellata ed è stato così annullato ogni residuo controllo sulle macchine infette.

Il senso dell'operazione è tutto nelle parole di Marco Giuliani, Malware Analyst per il gruppo Prevx: «Le botnet sono un grave problema che le società di sicurezza non stanno affrontando in maniera adeguata. Noi abbiamo aiutato la BBC a realizzare questa dimostrazione pubblica per mostrare quanto sia diffusa questa problematica e per aumentare la consapevolezza di ciò negli utenti. Tutti raccomandano di utilizzare un software antivirus, ma una singola soluzione non è più sufficiente, come è stato possibile vedere dalla dimostrazione della BBC. I metodi convenzionali utilizzati dalle società di antivirus sono oramai facilmente superabili. Gli utenti devono prendere in considerazione l'utilizzo di diversi prodotti di sicurezza e affacciarsi all'ottica delle tecnologie in-the-cloud, poiché il classico metodo degli aggiornamenti delle firme virali inviati agli utenti non è più sufficiente per le minacce che stanno diventando sempre più tecnicamente avanzate».

Webnews.it

[Chukie]

Quote:

La BBC controlla una botnet: ma è solo un esperimento

La BBC, la più grande emittente del Regno Unito, una delle più conosciute a livello mondiale, ha effettuato un esperimento che ha visto la partecipazione attiva dei tecnici di Prevx. Obiettivo: mostrare quanto sia semplice porre in essere, al giorno d'oggi, attacchi DDoS (Distributed Denial of Service) in grado di mettere in ginocchio praticamente qualunque server remoto.

Il primo passo del test, ha visto l'acquisto - da pate di BBC - dell'accesso ad una botnet quindi si è passati a lanciare un attacco simultaneo contro un server di prova di proprietà di Prevx, società da anni attiva nel campo della sicurezza informatica.
Ricordiamo che le botnet sono "reti" di personal computer, fisicamente siti anche a migliaia di chilometri di distenza, che vengono a costituirsi in seguito all'infezione da particolari malware. Tali componenti installano sui sistemi infetti dei particolari elementi software (trojan) che, di fatto, aggiungono la macchina "violata" alla botnet e ne permettono il controllo remoto da parte degli aggressori. Le botnet hanno un potenziale enorme perché possono essere utilizzate, da malintenzionati, per sferrare attacchi DDoS, inviare spam oppure compiere altri tipi di operazioni dannose.

Non è dato sapere come la BBC abbia potuto accedere al controllo della botnet ma, presumibilmente, i loro tecnici si sono rivolti al "mercato nero". Durante l'esperimento si è evidenziato come con poche decine di macchine si sia riusciti a rendere praticamente irraggiungibile il server messo a disposizione per il test da parte di Prevx.

Com'è ovvio, l'esperimento condotto dalla BBC ha avuto carattere semplicemente dimostrativo: nessun sistema remoto è stato oggetto di attacco. Inoltre, l'azienda ha provveduto a contattare i proprietari dei sistemi facenti parte della botnet trasmettendo loro le istruzioni per porre in sicurezza le macchine infette.

Il problema potrebbe essere evitato alla radice facendo in modo che anche il singolo utente prenda sempre più a cuore il problema della sicurezza. Come ricorda Marco Giuliani - malware analyst di Prevx -, l'utilizzo di un antivirus basato unicamente sull'impiego di database delle firme virali è una soluzione ormai superata. Oggi è invece bene preferire software che impiegano analisi comportamentale e soluzioni "in-the-cloud" (intelligenza collettiva).

"Le attuali tecnologie non sono più sufficienti ad arginare i continui attacchi da parte dei criminali informatici. L'esempio portato dalla trasmissione della BBC è un forte segnale d'allarme di come possa essere facile entrare in possesso di una botnet per gli scopi più disparati, dal mandare spam fino a veri e propri atti di terrorismo informatico, con attacchi DDoS mirati a mettere in ginocchio anche infrastrutture critiche", ha osservato Giuliani. "C'è bisogno di un approccio differente al problema, con più livelli di protezione e tecnologie in-the-cloud che permettano di essere continuamente aggiornati e protetti anche contro quegli attacchi mirati che altrimenti con il modello standard dell'antivirus non si riuscirebbero ad intercettare se non troppo tardi."

Ilsoftware.it

Voi che ne pensate? Illegale? Da condannare? Grey Hat? Illegale ma fatto per buone ragioni e l'importante è che non siano stati fatti danni?

[Fritz!]

io non ho capito una mazza

Traduzione?

[Gemma]

Quote:

Originariamente inviato da Fritz!

io non ho capito una mazza

Traduzione?

è tutto in italiano, che traduzione ti serve?
ma almeno sai chi è Marco Giuliani?

[yorkeiser]

Poi qualcuno mi spiegherà anche cosa c'entrano gli antivirus con degli attacchi di tipo Dos/DDoS, basati sulla saturazione della banda in ingresso.
I tipi stessi hanno acquistato una botnet, sulla quale possono installare tutto il software/processi che vogliono e mandare in giro tutti i pacchetti che desiderano e dove più gli aggrada (subendone le ovvie conseguenze penali poi), che c'entrano i virus ? Tra l'altro, mi pare la dimostrazione dell'acqua calda, di attacchi i tipo DoS REALI ne sono stati fatti e se ne fanno tutt'ora a iosa.

[Fritz!]

Quote:

Originariamente inviato da Gemma

è tutto in italiano, che traduzione ti serve?
ma almeno sai chi è Marco Giuliani?

Attore di teatro, cinema e televisione, è diventato noto presso il grande pubblico per la partecipazione alla serie tv di Canale 5, RIS delitti imperfetti, dove dalla terza stagione, in onda nel 2007, interpreta il ruolo del Tenente Spada.

Tra gli altri suoi lavori, ricordiamo la miniserie tv Un anno a primavera, regia di Angelo Longoni, e Carabinieri: Sotto copertura, regia di Raffaele Mertes, entrambe del 2005, e il film Il giorno + bello (2006), diretto da Massimo Cappelli.
http://it.wikipedia.org/wiki/Marco_Giuliani

[gabi.2437]

Credo che gli antivirus c'entrino per evitare il crearsi delle botnet

[evelon]

Quote:

Originariamente inviato da Fritz!

io non ho capito una mazza

Traduzione?

Marco Giuliani non ho idea di chi sia comunque l'articolo parla di un esperimento fatto da giornalisti (BBC) con dei tecnici (di questa società Prevx).


In pratica i tecnici avrebbero approntato un server di "test" che era il "bersaglio".
Qualcuno (i giornalisti?) è andato al mercato nero a comprare il controllo di una botnet(*) e l'ha indirizzata verso il server "bersaglio" preparato ad hoc.

Con una botnet relativamente piccola (poche decine di macchine a loro dire) avrebbero messo ko il server "bersaglio".

A fronte di questi risultati i giornalisti parlano di qualcosa che tutti i tecnici (non solo di Prevx) in realtà conoscono bene: occorrerebbe qualche sicurezza in più sul web invece dei soliti antivirus.

Quelli della prevx parlano di soluzioni di cloud-computing..


(*)
detto in soldoni: una botnet è una serie di computer (anche semplici pc casalinghi) che sono infettati da malware di vario tipo che apparentemente funzionano bene ma in realtà possono essere "risvegliati" e "controllati" da remoto per essere sfruttati a fini illeciti.
es: un attacco di tipo DDoS (Distribuited denial of service)

Molte persone hanno il pc infetto da questi malware e non lo sanno e le organizzazioni criminali (spesso locate in paesi terzi con legislazione carente) comprano e vendono il controllo dei pc degli ignari utenti ad altre organizzazioni criminali

[Fritz!]

Quote:

Originariamente inviato da evelon

Marco Giuliani non ho idea di chi sia comunque l'articolo parla di un esperimento fatto da giornalisti (BBC) con dei tecnici (di questa società Prevx).


In pratica i tecnici avrebbero approntato un server di "test" che era il "bersaglio".
Qualcuno (i giornalisti?) è andato al mercato nero a comprare il controllo di una botnet(*) e l'ha indirizzata verso il server "bersaglio" preparato ad hoc.

Con una botnet relativamente piccola (poche decine di macchine a loro dire) avrebbero messo ko il server "bersaglio".

A fronte di questi risultati i giornalisti parlano di qualcosa che tutti i tecnici (non solo di Prevx) in realtà conoscono bene: occorrerebbe qualche sicurezza in più sul web invece dei soliti antivirus.

Quelli della prevx parlano di soluzioni di cloud-computing..


(*)
detto in soldoni: una botnet è una serie di computer (anche semplici pc casalinghi) che sono infettati da malware di vario tipo che apparentemente funzionano bene ma in realtà possono essere "risvegliati" e "controllati" da remoto per essere sfruttati a fini illeciti.
es: un attacco di tipo DDoS (Distribuited denial of service)

Molte persone hanno il pc infetto da questi malware e non lo sanno e le organizzazioni criminali (spesso locate in paesi terzi con legislazione carente) comprano e vendono il controllo dei pc degli ignari utenti ad altre organizzazioni criminali

grazie per la spiegazione.
Ma la notizia starebbe nel fatto che é possibile reperire sul mercato nero queste bot net?

Perché non ho capito quale sarebbe il danno causato. Dice, l'articolo, "hanno messo in ginocchio un server remoto". Nel senso che il server non era piu accessibile, o é stato danneggiato in altro modo?

[GmG]

Quote:

Originariamente inviato da Fritz!

Attore di teatro, cinema e televisione, è diventato noto presso il grande pubblico per la partecipazione alla serie tv di Canale 5, RIS delitti imperfetti, dove dalla terza stagione, in onda nel 2007, interpreta il ruolo del Tenente Spada.

Tra gli altri suoi lavori, ricordiamo la miniserie tv Un anno a primavera, regia di Angelo Longoni, e Carabinieri: Sotto copertura, regia di Raffaele Mertes, entrambe del 2005, e il film Il giorno + bello (2006), diretto da Massimo Cappelli.
http://it.wikipedia.org/wiki/Marco_Giuliani

Omonimo

Marco Giuliani -> Eraser
http://www.hwupgrade.it/forum/member.php?u=22305

http://www.pcalsicuro.com/main/

[Fritz!]

Quote:

Originariamente inviato da GmG

Omonimo

Marco Giuliani -> Eraser
http://www.hwupgrade.it/forum/member.php?u=22305

http://www.pcalsicuro.com/main/

ah ok.

[yorkeiser]

Quote:

Originariamente inviato da gabi.2437

Credo che gli antivirus c'entrino per evitare il crearsi delle botnet

Le botnet si acquistano legalmente, ogni ip costa qualche spicciolo al mese, come appunto hanno fatto gli stessi tizi della BBC.
Si possono ottenere anche illegalmente, per l'amor di dio, ma lì si sfruttano bachi dei vari sistemi operativi per ottenere permessi da superuser sul server, e quindi anche in quel caso gli antivirus c'entrano meno di zero. L'unica, magari, sarebbe patchare tutti i server appena vengono fuori nuovi casi di exploiting, ma è comunque una soluzione temporanea.

[evelon]

Quote:

Originariamente inviato da Fritz!

grazie per la spiegazione.
Ma la notizia starebbe nel fatto che é possibile reperire sul mercato nero queste bot net?

Perché non ho capito quale sarebbe il danno causato. Dice, l'articolo, "hanno messo in ginocchio un server remoto". Nel senso che il server non era piu accessibile, o é stato danneggiato in altro modo?

Per un tecnico informatico o uno speciaista di diritto del web questa è una non-notizia perchè entrambe le cose sono (più o meno) note.


Il punto, imho, è che ne parli la BBC e forse qualcosa può rimanere nella testa dei possessori di pc (che dovrebbero prestare più attenzione ai loro apparati) ed ai legislatori che dovrebbero legiferare di più in materia di diritto del web.

[Gemma]

Quote:

Originariamente inviato da GmG

Omonimo

Marco Giuliani -> Eraser
http://www.hwupgrade.it/forum/member.php?u=22305

http://www.pcalsicuro.com/main/

aka "cancellino"

[killercode]

Ne illegale ne da condannare, sono cose che i tecnici della sicurezza fanno abbastanza regolarmente, unica differenza che questa volta c'erano anche le telecamere

tra l'altro sfrutto il momento per fare i complimenti ad eraser per il suo blog che seguo

[evelon]

Quote:

Originariamente inviato da killercode

Ne illegale ne da condannare, sono cose che i tecnici della sicrezza fanno abbastanza regolarmente, unica differenza che questa volta c'erano anche le telecamere

tra l'altro sfrutto il momento per fare i complimenti ad eraser per il suo blog che seguo

aggiungo (perchè sono stato poco chiaro) che laprova in sè non è illegale.

E' illegale (o dovrebbe esserlo per i paesi con meno leggi in merito) infettare i pc altrui e sono illegali le azioni contro i server atte a paralizzarne l'attività.

[>|HaRRyFocKer|]

Datemi un router Cisco con funzioni firewall e vi cambierò il mondo

[gabi.2437]

Quote:

Originariamente inviato da yorkeiser

Le botnet si acquistano legalmente, ogni ip costa qualche spicciolo al mese, come appunto hanno fatto gli stessi tizi della BBC.
Si possono ottenere anche illegalmente, per l'amor di dio, ma lì si sfruttano bachi dei vari sistemi operativi per ottenere permessi da superuser sul server, e quindi anche in quel caso gli antivirus c'entrano meno di zero. L'unica, magari, sarebbe patchare tutti i server appena vengono fuori nuovi casi di exploiting, ma è comunque una soluzione temporanea.

Beh ovvio che si parla di botnet illegali, il test mi pare serva a dimostrare che migliaia di pc infetti rappresentano un enorme pericolo, se con così poche macchine si possan far quei danni

MA se la loro botnet è legale, la frase

Quote:

Voi che ne pensate? Illegale? Da condannare? Grey Hat? Illegale ma fatto per buone ragioni e l'importante è che non siano stati fatti danni?

Che senso ha?

Se io mi compro una botnet LEGALE e prevx mi presta un server per far le prove e dopo pubblico i risultati, cioè, ma sarà anche mio diritto fare ciò? Perchè dovrebbe essere illegale? Danni? Ma il server era prestato da prevx apposta! Ovvio che se tirano giù il sito di Yahoo la cosa NON è legale

[yorkeiser]

Quote:

Originariamente inviato da gabi.2437

Se io mi compro una botnet LEGALE e prevx mi presta un server per far le prove e dopo pubblico i risultati, cioè, ma sarà anche mio diritto fare ciò? Perchè dovrebbe essere illegale? Danni? Ma il server era prestato da prevx apposta! Ovvio che se tirano giù il sito di Yahoo la cosa NON è legale

Se la botnet è tua (quindi non utilizzi pc di terzi per instradare pacchetti) certo che è legale, la postale mica ti viene ad accusare di nulla se stai solo facendo delle prove informatiche sul server di un tuo amico (sempre che il tuo amico non ti denunci ). Diverso è il caso in cui compri una botnet (che in fin dei conti sono processi attivi - ovvero programmi in esecuzione - su pc di terzi) e danneggi volutamente qualcuno. In quel caso, compi un reato sia verso il possessore fisico della botnet (mai comprato un bot, ma sulla licenza suppongo sia specificato che i processi non possono essere utilizzati per effettuare qualsiasi tipo di attacco su altri pc, dossate comprese) sia, ovviamente, verso il possessore dei server attaccati.
In qualsiasi caso, se prima non parte la segnalazione/denuncia di qualcuno, nessuno ti accuserà mai di nulla.

[_Magellano_]

Ma nel caso il tuo pc è uno di questi zombie che puoi fare? formattando il disco togli il controllo?