Minst en million zombier på nett

Her er forklaringen på hvorfor det er så vanskelig å bremse flommen av spam og hackerangrep.

Mange av dagens Internett-ormer bringer med seg programvare som gir opphavspersonene full kontroll over maskinene som infiseres, gjerne uten at eieren er klar over dette. Maskinene, som i denne tilstanden ofte kalles en zombie, brukes til alt fra å generere distribuerte tjenestenektangrep (DDoS) mot andre maskiner til å sende ut e-postormer eller fungere som webserver for svindelwebsider. De kan også brukes til å få tak i informasjon brukeren gjerne vil holde for seg selv, for eksempel kredittkortnummer. Grupper av zombier som kontrolleres av den samme personen eller gruppen, kalles ofte for botnets. De største botnet'ene består trolig av opptil 50.000 maskiner.

Non-profitorganisasjonen Honeynet Project, har forsket på dette fenomenet, blant annet ved å sette ut "honningkrukker" i form av usikre Windows-maskiner for å studere hva som skjer. Ifølge organisasjonen er det mangelfullt oppdaterte, Windows-baserte hjemme-PCer uten en beskyttende brannmur i forkant, som er mest utsatt for å kunne bli en zombie. I svært mange tilfeller benyttes IRC-baserte tjenester for å styre zombiene.

Maskinene som ble benyttet i testen, var koblet til Internett via modem. I snitt var maskinene tilgjengelige på Internett i mindre enn ti minutter om gangen. Det fleste ble normalt smittet i løpet av et par minutter, men i ett tilfelle skjedde det umiddelbart etter at maskinen ble koblet til nettet.

I rapporten beskriver Honeynet Project både en rekke av de sårbarhetene som ofte benyttes og flere av de vanligste bot-typene som finnes.

I løpet av de fire siste månedene har prosjektet registrert drøyt hundre ulike botnet. Da rapporten ble publisert, overvåket prosjektet omtrent 35 aktive botnet.

I løpet av disse månedene registrerte prosjektet mer enn 226.000 unike IP-adresser som har vært har vært knyttet til minst én av de IRC-kanalene prosjektet overvåket. I mange tilfeller vil ikke maskinene være synlige, hvis IRC-serveren er modifisert til ikke å sende en JOIN-melding til kanalen. I tillegg vil enkelte IRC-servere gjøre IP-adressene til klientene uforståelige. Disse fordreide adressene er ikke inkludert i tallet over.

Honeynet Project skriver i rapporten at et optimistisk anslag, som forutsetter at prosjektet overvåker de aller fleste botnet'ene og serverne ikke forkludrer innsamlingen av IP-adresser, går ut på at det finnes minst én million datamaskiner som er blitt kompromittert og kan kontrolleres av ondsinnede. I tillegg vil mange av maskinen være med i flere ulike botnet. I rapporten omtales en maskin som var med i hele 16 nett samtidig.

I perioden fra begynnelsen av november i fjor til utgangen av januar i år, observerte prosjektet 226 DDoS mot 99 unike mål. Mange av målene var riktignok rettet mot maskiner knyttet til nettet med en oppringt forbindelse, men det var også angrep mot større nettsteder.

Hele rapporten er tilgjengelig på denne siden.

Til toppen