Punto informatico Network

20090304173104_794405008_20090304173033_653954111_rootkit.png

Un milione di PC zombi per 11 botnet

16/04/2008
- A cura di
Archivio - Questi i numeri di un fenomeno in crescita costante. Fa il punto della situazione un ricercatore che ha studiato le botnet da vicino, svelandone i contorni e le difficoltà di catalogazione da parte dei vendor di software di sicurezza.

Tag

Passa qui con il mouse e visualizza le istruzioni per utilizzare i tag!

pc (1) , zombi (1) , botnet (1) .

Valutazione

  •  
Voto complessivo 5 calcolato su 177 voti
Il pezzo che stai leggendo è stato pubblicato oltre un anno fa. AvvisoLa trattazione seguente è piuttosto datata. Sebbene questo non implichi automaticamente che quanto descritto abbia perso di validità, non è da escludere che la situazione si sia evoluta nel frattempo. Raccomandiamo quantomeno di proseguire la lettura contestualizzando il tutto nel periodo in cui è stato proposto.

Le botnet, i grossi network di PC "zombificati" il cui controllo risiede non più nelle mani dei legittimi proprietari bensì nei comandi telematici delle nuove gang di criminali digitali, sono da tempo la "next big thing" della sicurezza ICT. I network crescono, mutano e si combattono l'un l'altro, ma soprattutto spargono in rete miliardi di messaggi di spam giornalieri nelle e-mail degli utenti.

Una nuova analisi della situazione globale delle botnet l'ha presentata Joe Stewart, responsabile delle ricerche sul malware per la società SecureWorks che da tempo studia il fenomeno. Intervenuto alla RSA Conference recentemente tenutasi a San Francisco, Stewart ha classificato le 11 maggiori botnet spara-spam attualmente in attività, fornendo dati e cifre sulla reale portata del fenomeno e il perché di una certa qual confusione nel suo studio da parte di alcune società di sicurezza.

In totale, gli 11 network presi in esame controllano secondo l'esperto oltre un milione di "bot", PC utilizzati a totale piacimento delle gang criminali a causa del malware che ne ha surrettiziamente preso il possesso. La potenza di fuoco complessiva stimata per le botnet è di 100 miliardi di mail spazzatura spedite in giro per Rete in sole 24 ore, cifra che non stupisce considerando che già da tempo il traffico di posta elettronica è considerato spam nella sua quasi totalità.

Al vertice della classifica delle botnet vi è Srizbi, anche nota come "Cbeplay" ed "Exchanger", un network composto da circa 315.000 bot e capace di spedire 60 miliardi di mail al giorno. Srizbi non ha avuto la stessa pubblicità di altre botnet "famose" come quella dello Storm Worm, ma pare sia stata messa in piedi su una base molto più stabile di sistemi compromessi.

Botnet_traffic_flow.jpg

"Storm è abbastanza insignificante a questo punto" dice Stewart, che sottolinea come l'aggiunta dei malware del network ai software di scansione rilasciati da Microsoft abbia permesso la rimozione di "centinaia di migliaia" di PC dalla botnet, che nella lista dell'esperto è finita al quinto posto con "sole" 85.000 macchine coinvolte.

La seconda botnet più estesa è Bobax, rete che può contare su 185.000 desktop infetti ed è in grado di "sparare" nove miliardi di messaggi-spam giornalieri. Bobax non è recentissima, ma negli ultimi tempi ha conquistato di nuovo le cronache informatiche attraverso uno dei suoi alias. Denominazioni alternative come "Kraken", presunta nuova botnet scoperta dalla start-up Damballa che secondo Stewart non sarebbe altro che Bobax sotto mentite spoglie.

"C'è molta confusione riguardo quale botnet appartenga a quale famiglia di malware - avverte l'esperto alla conferenza - Io voglio provare a rischiarare un po' le idee su quali malware appartengano a quali botnet, e cosa ogni botnet stia facendo". Stewart ha sviluppato una tecnica di "fingerprinting" - o hash che dir si voglia - dei vari network, basandosi sulle differenze nell'implementazione del protocollo SMTP utilizzato per spedire i miliardi di messaggi-spazzatura che costituiscono l'attività principale di questo nuovo "business".

Come le firme antivirali servono agli antivirus per individuare al volo ogni singolo malware, così gli hash SMTP possono essere impiegati per catalogare, riconoscere e di conseguenza combattere le botnet. Un sistema che Stewart assicura essersi dimostrato affidabile, e che l'esperto spera possa "permettere agli altri ricercatori di classificare e tracciare meglio le botnet" e che aiuti a evitare un nuovo caso Bobax, rete "fuoriuscita dai radar per oltre due anni a causa della confusione. Era ancora in circolazione, ma i produttori di antivirus non riconoscevano più il malware".

Iscriviti gratuitamente alla newsletter, e ti segnaleremo settimanalmente tutti i nuovi contenuti pubblicati su MegaLab.it!

 

Segnala ad un amico

Tuo nome Tuo indirizzo e-mail (opzionale)
Invia a:
    Aggiungi indirizzo email
    Testo

    megalab.it: testata telematica quotidiana registrata al Tribunale di Cosenza n. 22/09 del 13.08.2009, editore Master New Media S.r.l.; © Copyright 2017 Master New Media S.r.l. a socio unico - P.I. 02947530784. GRUPPO EDIZIONI MASTER Spa Tutti i diritti sono riservati. Per la pubblicità: Master Advertising

    • Gen. pagina: 0.59 sec.
    •  | Utenti conn.: 88
    •  | Revisione 2.0.1
    •  | Numero query: 20
    •  | Tempo totale query: 0.34