www.MegaLab.it

Le botnet, i grossi network di PC "zombificati" il cui controllo risiede non più nelle mani dei legittimi proprietari bensì nei comandi telematici delle nuove gang di criminali digitali, sono da tempo la "next big thing" della sicurezza ICT. I network crescono, mutano e si combattono l'un l'altro, ma soprattutto spargono in rete miliardi di messaggi di spam giornalieri nelle e-mail degli utenti.

Una nuova analisi della situazione globale delle botnet l'ha presentata Joe Stewart, responsabile delle ricerche sul malware per la società SecureWorks che da tempo studia il fenomeno. Intervenuto alla RSA Conference recentemente tenutasi a San Francisco, Stewart ha classificato le 11 maggiori botnet spara-spam attualmente in attività, fornendo dati e cifre sulla reale portata del fenomeno e il perché di una certa qual confusione nel suo studio da parte di alcune società di sicurezza.

In totale, gli 11 network presi in esame controllano secondo l'esperto oltre un milione di "bot", PC utilizzati a totale piacimento delle gang criminali a causa del malware che ne ha surrettiziamente preso il possesso. La potenza di fuoco complessiva stimata per le botnet è di 100 miliardi di mail spazzatura spedite in giro per Rete in sole 24 ore, cifra che non stupisce considerando che già da tempo il traffico di posta elettronica è considerato spam nella sua quasi totalità.

Al vertice della classifica delle botnet vi è Srizbi, anche nota come "Cbeplay" ed "Exchanger", un network composto da circa 315.000 bot e capace di spedire 60 miliardi di mail al giorno. Srizbi non ha avuto la stessa pubblicità di altre botnet "famose" come quella dello Storm Worm, ma pare sia stata messa in piedi su una base molto più stabile di sistemi compromessi.

"Storm è abbastanza insignificante a questo punto" dice Stewart, che sottolinea come l'aggiunta dei malware del network ai software di scansione rilasciati da Microsoft abbia permesso la rimozione di "centinaia di migliaia" di PC dalla botnet, che nella lista dell'esperto è finita al quinto posto con "sole" 85.000 macchine coinvolte.

La seconda botnet più estesa è Bobax, rete che può contare su 185.000 desktop infetti ed è in grado di "sparare" nove miliardi di messaggi-spam giornalieri. Bobax non è recentissima, ma negli ultimi tempi ha conquistato di nuovo le cronache informatiche attraverso uno dei suoi alias. Denominazioni alternative come "Kraken", presunta nuova botnet scoperta dalla start-up Damballa che secondo Stewart non sarebbe altro che Bobax sotto mentite spoglie.

"C'è molta confusione riguardo quale botnet appartenga a quale famiglia di malware - avverte l'esperto alla conferenza - Io voglio provare a rischiarare un po' le idee su quali malware appartengano a quali botnet, e cosa ogni botnet stia facendo". Stewart ha sviluppato una tecnica di "fingerprinting" - o hash che dir si voglia - dei vari network, basandosi sulle differenze nell'implementazione del protocollo SMTP utilizzato per spedire i miliardi di messaggi-spazzatura che costituiscono l'attività principale di questo nuovo "business".

Come le firme antivirali servono agli antivirus per individuare al volo ogni singolo malware, così gli hash SMTP possono essere impiegati per catalogare, riconoscere e di conseguenza combattere le botnet. Un sistema che Stewart assicura essersi dimostrato affidabile, e che l'esperto spera possa "permettere agli altri ricercatori di classificare e tracciare meglio le botnet" e che aiuti a evitare un nuovo caso Bobax, rete "fuoriuscita dai radar per oltre due anni a causa della confusione. Era ancora in circolazione, ma i produttori di antivirus non riconoscevano più il malware".