Nawet 300 tys. botnetów każdego dnia w polskiej sieci
Każdego dnia w polskich sieciach komputerowych znajduje się od 170 do 300 tys. botów, czyli komputerów, które bez wiedzy użytkownika znajdują się pod kontrolą cyberprzestępców - wynika z danych opublikowanych w poniedziałek przez CERT Polska.
CERT Polska (z ang. Computer Emergency Response Team) zajmuje się bezpieczeństwem użytkowników lub instytucji w internecie.
Bot(nazywany także komputerem Zombie - PAP) to komputer, który bez wiedzy użytkownika został zarażony złośliwym oprogramowaniem i znajduje się pod kontrolą cyberprzestępców. Boty łączone są w botnety, czyli sieć zarażonych komputerów, których celem jest wykonywanie rozkazów cyberprzestępców. Botnety najczęściej są wykorzystywane do tzw. ataków DDoS, czyli zablokowania dostępu do danej usługi w internecie np. banku, portalu aukcyjnego, rozsyłania niechcianej poczty email (spamu - PAP), kradzieży poufnych danych, wyprowadzenia środków z kont bankowości elektronicznej.
Specjaliści z CERT-u, na podstawie własnych danych oraz danych pochodzących z zewnętrznych źródeł, po raz pierwszy podjęli próbę oszacowania rzeczywistej liczby urządzeń będących częścią botnetów w naszym kraju. Według analizy, każdego dnia w polskich sieciach komputerowych znajduje się od 170 000 do 300 000 botów. Z danych wynika, że urządzenia będące częścią botnetów stanowią 1,5 proc. wszystkich komputerów w gospodarstwach domowych w naszym kraju.
Jak wynika z danych CERT-u najwięcej, bo około 45 tys. adresów IP zostało zarażonych złośliwym oprogramowaniem służącym do tworzenia botów; Conficker. Niemal drugie tyle adresów IP zainfekowanych zostało przez następne z listy złośliwe oprogramowania; Sality(24 tys.) i ZeroAccess(19 tys.). Na kolejnym miejscu znalazł się, Virut z mniej niż 10-procentowym udziałem we wszystkich infekcjach, a także znany z ataków na użytkowników bankowości elektronicznej, ZeuS.
Coraz częściej pojawiają się także sieci małych botnetów liczących po kilka tysięcy urządzeń. Cyberprzestępcy bowiem starają się specjalizować w infekowaniu użytkowników, którzy są najwięcej dla nich warci np.: użytkowników, którzy mogą mieć dostęp do wrażliwych danych w firmach na swoich osobistych komputerach.
Eksperci podkreślają, że walka z botnetami jest trudna, bo trzeba znaleźć centralny komputer, który zarządza botnetem, i dopiero jego wyłączenie pozwoliłoby na zablokowania działania botnetu. A to nie zawsze jest możliwie. Coraz częściej bowiem pojawiają się botnety, które nie mają centralnego komputera. Ataki z wykorzystaniem botnetu są jednymi z najtrudniejszych do powstrzymania, ze względu na skalę działania oraz rozproszenie geograficzne botów.
Także wykrycie przez użytkownika, czy jego komputer stał się częścią botnetu jest bardzo trudne. Objawami mogą być zwolnienie pracy komputera, pojawienie się dziwnych komunikatów systemowych, które wcześniej się nie pokazywały, a także łączenie się komputera ze stronami internetowymi, których wcale nie chcieliśmy odwiedzić.
Objawem może być także niespodziewany komunikat po zalogowaniu się do systemu bankowości internetowej żądający podania nowych danych, np. numeru telefonu komórkowego - w takiej sytuacji może to oznaczać, że komputer stała się częścią botnetu ukierunkowanego na kradzież danych finansowych. Oczywiście brak tych objawów nie oznacza, że nie jesteśmy już częścią jakiegoś botnetu.
Aby ograniczyć ryzyko związane z włączeniem do botnetu komputera, należy regularnie aktualizować system operacyjny, program antywirusowy oraz przeglądarkę internetową. Nie wolno też otwierać podejrzanych załączników w poczcie email i instalować programów z nieznanych źródeł.
Liczebność botnetów w Polsce oszacowano zgodnie z nową metodyką opracowaną przez zespół CERT Polska w której wykorzystano liczbę unikalnych dziennych adresów IP(adres IP to ciąg liczb, który przypisywany jest każdemu urządzeniu podłączonemu do sieci - PAP). Metoda zastosowana przez CERT różni się od innych, które wykorzystywały dane o zagrożeniach wykrywanych przez systemy antywirusowe. Główną wadą poprzedniej metodyki - jak wyjaśniają eksperci CERT-u - były zawyżone wyniki uwzględniające każdą styczność komputera ze złośliwym oprogramowaniem lub innym zagrożeniem. To oznacza, że obejmowały nawet te zagrożenia, które zostały zablokowane przez oprogramowanie antywirusowe czy też takie, które były przez użytkowników lub sam system antywirusowy błędnie zdefiniowane, jako oprogramowanie złośliwe.
(PAP)