Cos’è una Botnet?

Le botnet hanno fatto la loro apparizione in pubblico agli inizi del 2000, quando un teenager canadese ha lanciato una serie di attacchi denial-of-service contro diversi siti importanti. Nel giro

Le botnet hanno fatto la loro apparizione in pubblico agli inizi del 2000, quando un teenager canadese ha lanciato una serie di attacchi denial-of-service contro diversi siti importanti. Nel giro di alcuni anni, l’adolescente, sotto lo pseudonimo di Mafiaboy, ha attaccato Yahoo, ETtrade, Dell, eBay e Amazon, tra molti altri, sovraccaricando i server fino a farti esplodere. Sebbene Mafiaboy, il cui vero nome è Michael Calce, non usasse una botnet per lanciare questi attacchi, gli esperti di sicurezza IT si stavano già rendendo conto che gli attacchi DDoS e le botnet (una grande rete di computer infettata da un malware specifico) avrebbero ben presto iniziato ad essere una grande minaccia per la stabilità e l’integrità di Internet. E gli esperti IT difficilmente si sbagliano.

rete botnet

Definizione di Botnet

Con il termine botnet si intende una rete di computer infetta e controllata da un hacker in modalità remota. Le botnet generalmente sono create da un hacker o da un piccolo gruppo di hacker attraverso un malware. I PC individuali che sono parte di una botnet vengono spesso chiamati “bots” o “zombie” e non c’è un minimo in base al quale possiamo iniziare a considerare una rete di PC una “botnet”. In linea generale, una botnet di piccole dimensioni è composta da una centinaia o migliaia di computer infetti, mentre una botnet di grandi dimensioni può forse raggiungere vari milioni di PC. Esempi di botnet conosciute, emerse di recente, includono Conficker, Zeus, Waledac, Mariposa e Kelihos. In genere, ci si riferisce ad una botnet come se fosse una singola entità; tuttavia, i creatori di malware come Zeus vendono i loro oggetti a qualsiasi persona disposta a pagarli. Per questo motivo esistono dozzine di botnet separate che usano lo stesso malware e operano allo stesso tempo.

Metodi di Infezione

Ci sono due metodi principali attraverso i quali un hacker infetta i PC per farli entrare nella botnet: drive-by download e e-mail. Gli attacchi drive-by download si compongono di vari passaggi; il primo step, vede l’hacker impegnato nella ricerca di una pagina web popolare con una vulnerabilità che si possa sfruttare. In seguito, l’hacker carica il codice malware nella pagina in questione  e sfrutta la vulnerabilità attraverso il browser usando, per esempio, Google Chrome o Internet Explorer. Il codice ridirezione il browser dell’utente ad un altro sito controllato dall’hacker dove l’utente, senza accorgersene, scaricherà il codice bot e lo installerà sul suo computer. Il secondo caso (posta elettronica) è molto più semplice. L’hacker invia una grande quantità di spam con allegati contenenti file word o PDF con codici infetti o con link che portano a un sito che ospita il codice dannoso. Una volta che il codice è stato installato sul computer della vittima, il PC è parte della botnet. L’hacker può gestire i comandi in forma remota, caricare dati e scaricare nuovi componenti; in pratica ha il controllo assoluto del computer.

Come vengono usate

Il modo più comune di utilizzare la botnet è attraverso attacchi DDoS. Questi attacchi utilizzano la potenza del computer e la larghezza della banda di centinaia o migliaia di PC per direzionare una grande quantità di traffico a un sito specifico con l’intenzione di sovraccaricarlo. Ci sono diversi tipi di attacchi DDoS, ma l’obiettivo è sempre lo stesso: far collassare il sito. In genere, gli hacker sono soliti utilizzare questa tecnica per mettere in ginocchio le pagine web del nemico.  Nonostante ciò, ben presto, hanno iniziato ad utilizzare questo metodo per attaccare portali come Yahoo e MSN, negozi e banche online, nonché siti del governo. Tra questi criminali si annoverano gruppi hacker, come  Anonymous e LulzSec. Inoltre, i cyber-criminali usano gli attacchi DDoS per colpire siti di banche online con lo scopo di nascondere attacchi ben più gravi diretti alle stesse banche. Le botnet vengono anche utilizzate in molte altre operazioni. Gli spammer utilizzano le botnet per l’invio massivo di spam o per frodi di carta di credito su larga scala.

Come difendersi

Ci sono diversi modi per proteggersi dagli attacchi DDoS che utilizzano reti botnet, ma quasi tutti operano a livello di server o ISP. Per gli utenti, la migliore difesa dalle botnet è tenere i propri computer, dispositivi e software sempre aggiornati e con gli ultimi patch in commercio, nonché prestare molta attenzione prima di cliccare su di un link sospetto. Gli hacker approffitano dell’ingenuità degli utenti che molto spesso cliccano su siti e aprono allegati pericolosi senza rendersi conto di quello che fanno. Se gli utenti acquistassero più consapevolezza e abilità, sarebbe molto più difficile per gli hacker stabilire e usare botnet.

Consigli