От доста време ми се върти в главата да опиша икономическият модел на ботнетите, как точно работят и къде точно свършва “ИТ престъпността” и започва класическата мафия.
Историята на ботнета започва в долния ляв ъгъл с разработчика на ботнети, който пише самият софтуер. Говоря в единствено число, но напоследък това са организирани групи, които пишат ботнети по същият начин, по който фирмите разработват софтуер за продажба. Новаторски крипто технологии ( Cornficker е първият софтуер, който използва MD6 ), модулна архитектура, която позволява различни услуги да бъдат предлагани на пазара и т.н. – типични характеристики на последното поколение ботове. Бот система обикновенно струва между няколкостотин и няколко хиляди долара, в зависимост от възможностите.
Експерта по сигурносте изследовател, който търси слабости в операционни системи и популярен софтуер. Т. нар. “zero-day” уязвимост, непозната до момента, която позволява отдалечено изпълнение на код в популярна операционна система може да струва до няколко десетки хиляди долара. Подобна цена може да се постигне на нелегалните борси, като за съжаление повечето фирми за сигурност не могат да си позволят да платят повече от няколкостотин долара – поради тази причина доста експерти се преориентират към черния пазар, още повече че подобна дейност не е престъпна от законова гледна точка и няма как да бъдат осъдени.
Бот-софтуерът и уязвимостите са купувани от бот-пастирите(( bot-herder )), който ги комбинира и използва уязвимостите за разпространение на ботнета си. За целта той може да плати на спамър, който да разпрати заразни линкове заедно с традиционния “Виагра-спам” или може да постави линкове по хакнати уеб сайтове и т.н. Ефективни техники на разпространение на бот-овете са довели до факта, че 9% от корпоративните компютри са инфектирани.
Обикновенно бот-пастира плаща на “брониран хостинг”, където разполага сървъра си за управление (( Command and Control Center, CCC ). Бронираните хостинги са фирми, които отявлено предлагат услуги на злонамерени сайтове и организации, като нарочно системно забавят исканията за изключване. Типичен пример е Russian Business Networks и McColo, за които съм споменавал.
След като веднъж ботнета е създаден и започва да се разпространява, бот пастира започва да го използва, за да генерира приходи за себе си. Обикновенно това означава, че ботовете събират e-mail адреси, които в последствие биват продавани на цени от няколкостотин долара за няколко милиона адреса, повече за по-профилирана информация ( например адреси на жители на EU или жители на България, или пък на хора със специфични интереси ). По-ценна информация е достъп до банкови сайтове ( потребителско име, парола и понякога сертификат ), банкови карти ( номер + ПИН ), лични данни ( имена, адрес, ЕГН/SSN ). Цялостна информация за даден човек струва около $20 и е напълно достатъчна на някой измамник да приеме вашата самоличност. Банковите карти струват по няколко долара в зависимост от качеството си. Подобен род информация се продава на традиционната престъпност, които вече имат отработени методи и организирани мулета, които използват за да източват пари от банките – дали ще е под формата на теглене от откраднати банкови карти, или теглене на кредити и заеми чрез фалшива самоличност. Това е фазата, в която открадната информация се превръща в реални финансови загуби за пострадалите.
Друга форма на генериране на приходи от ботнета е възможността да се изпраща спам от заразените компютри. Поради факта, че заразените компютри постоянно сменят адресите си ( в анализа на Torpig се говори за няколко милиона адреса при ботнет от няколко стотин хиляди компютъра ) традиционно ефективните блеклисти са безсилни и единственият вариант за филтиране на спам-а остават евристичният анализ. По този начин се увеличава шанса спам да пробие филтрите и да бъде доставен на получател, където може да генерира продажба. Самата продажба отново се осъществява от традиционната организирана престъпност, която дава комисионна на разпространителя на спам. В един от скорошните анализи комисионната е 40%, а дневните продажби стигат до $4000.
Относително скорошен модел за генериране на приходи е продажбата или отдаването под наем на част от ботнета – при тях бот-пастирът предлага срещу съответна сума ( обикновенно няколко десетки цента ) да инсталира и стартира софтуер на клиента. По подобен начин оперира и Mebroot, които са отдали мрежата си за разпространението на Torpig. Самият Torpig пък от своя страна събира информация, която може да бъде продадена.
Както виждате, вече не пиша за “клиента” и “продавача”, защото те са именно клиент и продавач в пълния смисъл на тези думи. Подземната икономика се развива ужасно бързо, особено в условията на криза, когато е подхранена от оставащите без работа експерти и в резултат се професионализира. Вече имаме специализирани групи, които се занимават само и единствено с една дейност от горната картинка – по същият начин, по който се професионализира “бялата” икономика. От друга страна, в даденият случай не се забелязват повече или по-малко установените организации на традиционната мафия ( паралел в легалната икономика са корпорациите – големи, тромави и работещи по стриктни вътрешни правила ), а по-скоро самоорганизиращи се групи от хора, които се специализират в дадена насока и задоволяват конкретна възникнала бизнес потребност. Много често подобно дейности не са незаконни, а само подпомагат нарушаването на закона – типичен пример е разработката на софтуер, или разработката на скимери, така популярни в България. Подобни дейности, дори и при залавяне на престъпниците и изобилие от доказателства води в повечето случаи до условни присъди ( не говоря само за България ), което ефективно позволява на хората да продължат да се занимават със същата дейност.
Technorati : анализ, ботнет
Подобни статии:
Канадски бот-пастири арестувани
Ефективност и икономика на спама
Нови методи за борба с ботнетите
Направи си сам ботнет
Еволюция на бот-мрежите
