[NEWS] Come imparai a non preoccuparmi e ad amare le botnet

[c.m.g]

martedì 05 maggio 2009

Roma - Se il Dottor Stranamore dovesse per caso ambientarsi nel moderno mondo interconnesso, certamente al posto delle apocalissi atomiche teorizzerebbe di guerre telematiche e botnet di distruzione di massa. I network malevoli di PC zombificati da badware variamente assortito sono una delle principali preoccupazioni della tecnologia informatica attuale, anche se qualcuno dalle parti del Pentagono li vede piuttosto come un possibile strumento di reazione agli attacchi continui e imbarazzanti alle infrastrutture della ex-iperpotenza mondiale statunitense.

Le botnet sono una terrificante iattura, o per meglio dire un business criminale estremamente fruttuoso che ha raggiunto livelli di sofisticazione quasi da sci-fi: metti per esempio il caso di Torpig, il trojan depositato dal mefitico rootkit da Master Boot Record conosciuto come Mebroot (o Sinowal) e per i cui flussi telematici passano Terabyte di informazioni sensibili, carte di credito e tutto quanto fa gola sul mercato sotterraneo della rete. A Torpig e alle sue spire hanno dato un'occhiata dall'interno i ricercatori della UC Santa Barbara, protagonisti di un vero e proprio dirottamento del centro di comando&controllo della botnet che ha permesso loro di analizzarne codice, comportamenti, flussi di dati e modalità di aggiornamento per 10 giorni.

Dopo questo periodo di tempo gli studiosi hanno potuto dare una stima più o meno precisa delle dimensioni del network di Torpig, osservando all'opera 180mila diversi bot fisici (e non semplicemente indirizzi IP). L'impegno principale di questi zombi hi-tech non è servire il volere del bokor come nei riti voodoo, quanto piuttosto raccogliere Gigabyte di informazioni rubate sui sistemi infetti (70 GB nei 10 giorni indicati) da cui sono state estratti 10mila account bancari e numeri di carte di credito per un valore di centinaia di migliaia di dollari.

Torpig-Mebroot è in circolazione dal 2006, è certamente uno dei network malevoli più sofisticati in circolazione (anche grazie all'estrema "invisibilità" del rootkit da MBR che si cura di prendere il controllo dei PC) ma stranamente non ha mai avuto la stessa pubblicità e attenzione mediatica dedicata a Conficker, il worm che oltre ad alimentare hype immotivato e aumentare ancora i livelli di spam in circolazione non ha fatto granché.

Eppure la tecnica di domain flux per il controllo della botnet di Torpig, con cui il malware genera una lista di domini pseudo-casuali da contattare per ricevere istruzioni, è la stessa di Conficker, e secondo i ricercatori californiani Torpig ha recentemente aggiunto un nuovo trucco per la creazione dei suddetti domini, il quale sfrutta (o per meglio dire abusa) il codice JavaScript di Twitter per rendere imprevedibili le risorse di rete da cui i cyber-criminali contatteranno i PC-zombi.

Le botnet sono un problema, ma potrebbero anche essere una risorsa preziosa nell'assicurare la sicurezza delle reti e delle infrastrutture perlomeno negli States. Ne è convinto il colonnello Charlie Williamson, che in perfetto stile Dottor Stranamore confessa a BBC la sua frustrazione per il fatto che il proprio paese non si sia ancora dotato di strumenti di offensiva telematica invece di continuare ad aspettare passivamente il prossimo attacco.

Secondo Williamson, che dice di parlare a puro titolo personale, l'attacco preventivo nei confronti di PC infetti perché non debitamente protetti da firewall e antivirus sarebbe giustificato, in modo da impedire loro di "colpirci e di danneggiarci per un'ora o per giorni interni quando il proprietario di quel computer non ha preso le misure di sicurezza basilari per difenderci".

Il dottor Stranamore colonnello Williamson dice di non essere attualmente a corrente di eventuali progetti di botnet offensive in seno al Pentagono, anche se la cosa è "del tutto plausibile. La mia speranza è che una cosa del genere possa diventare di dominio pubblico perché non possiamo avere un deterrente di cui i nostri avversari non sono a conoscenza".

Alfonso Maruccia





Fonte: Punto Informatico