Сучасні інформаційні
технології/4.Інформаційна безпека
Пасько О.З., Пархоменко І.І.
Національний авіаційний університет
СПОСОБИ Створення та функціонування бот-мереж
Аналіз зарубіжних джерел,
свідчить, що для позначення "захопленої" мережі комп’ютерів використовується
термін Botnet (скорочене збірне поняття від англійських слів robot и network) –
це система інфікованих за допомогою спеціально написаних бот-кодів, хостів,
якими управляє власник ботнету. Варто зауважити, що мережі, які об'єднують
ресурси десятків, сотень тисяч, а часом і мільйонів заражених машин, мають дуже
небезпечний потенціал. Зокрема, у їх створенні можуть бути зацікавлені не
тільки кіберзлочинці, а й держави, готові використовувати зомбі-мережі як
інструмент політичного тиску [1].
Для того, щоб заглянути
глибше в середину бот-мереж, потрібно певним чином класифікувати їх [3]. Одним із методів, може слугувати сукупність мережевих протоколів, які
лежать в основі їх функціонування (Рис.1).
Рис.1 Класифікація бот-мереж
IRC-орієнтовані
мережі відносяться до найперших видів ботнетів, де
керування ботами здійснювалося на основі IRC (Internet Relay Chat) – сервісу Інтернет, який надає користувачам можливість
спілкування шляхом надсилання текстових повідомлень багатьом кореспондентам з
усього світу одночасно (в режимі реального часу). Кожен
комп’ютер з’єднувався із зазначеним у програми-бота
IRC-сервером, заходив на певний канал і чекав наступних команд.
IM-орієнтовані для передачі даних використають певні канали IM-служб
(Instant Messaging – системи миттєвої передачі повідомлень), наприклад AOL, MSN, ICQ та
ін. Невисока
популярність таких ботнетів обумовлена складностями, що виникають при створенні окремого аккаунта.
Справа в тому, що боти повинні виходити в мережу й постійно бути присутнім
в режимі онлайн, а більшість IM-служб цього не дозволяють.
Web-орієнтовані – це відносно
новий тип ботнетів, що швидко розвиваються завдяки відносній легкості розробки,
великій кількості web-серверів в Інтернеті й простоті керування. Для управління цією групою
ботнетів використовується CGI (від англ. Common Gateway Interface – загальний інтерфейс шлюзу, який використовується для зв’язку зовнішньої
програми з web-сервером).
Обравши найліпший
тип протоколу обміну, створювачі ботнетів швидко переключилися на дослідження
можливих варіантів їх архітектури. У 2007 році виникли та почали розвиватися бот-мережі, у яких функції
центру міг виконувати будь-який комп’ютер системи (Див.
Рис.1).
Архітектура, покладена
в основу при їх створенні, отримала назву Р2Р (від англ.
"peer-to-peer" – від рівноправного до рівноправного) [2].
Мережі
з єдиним центром керування або централізовані. У мережі ботнет з єдиним центром керування усі комп’ютери
з’єднуються з важливим фрагментом, який
позначається як C&C (Command&Control Centre – командно-управлінській
центр). Він виступає ключовою ланкою у функціонуванні такої мережі, оскільки
знаходиться у режимі постійного очікування
підключення комп’ютерів, яких реєструє у своїй базі даних.
Мережі ботнет з децентралізованим керуванням. P2P комп’ютери з’єднуються з певним комп’ютером, що вже є її складовим
елементом. Кожен комп’ютер такої мережі має список своїх "сусідів" для того, щоб при отриманні команди передавати
її іншому.
Метод класифікації бот-мереж за розміром, носить проблемний характер. Оскільки важко
визначити систему відповідних показників для класифікації на певні групи. Річ у тому, що
кількість комп’ютерів у бот-мережі – величина
динамічна. Постійну зміну кількісного
складу ботнетів зумовлюють технічні, організаційні чинники, а також стратегія і
тактика їх
використання. Зокрема, до технічних обставин відноситься електричне
живлення - вимкнення комп’ютера призводить до його
"виведення" з ботнету аж до наступного
увімкнення. Таким чином, кількість комп’ютерів постійно
змінюється.
Рис.2 Завдання бот-мереж
Треба відмітити, що
ботнет дозволяє здійснювати всі вище (Рис.2) перераховані види діяльності
одночасно [4]. Специфіка
мережі ботнет ще й у тому, що вона може використовуватися для самозахисту. Управлінський програмний
код сучасних бот-мереж
має швидкий цикл оновлення – приблизно один раз на годину. Така
динамічна конспірація не просто вражає, але й заставляє замислитися щодо визначення швидкості
технології протидії. Технічно ця мережа складається з
певних кількісних груп
комп’ютерів, щоб у разі можливого виявлення обмежитися втратою лише частини
окремого сегменту,
а не всієї мережі.
При виявленні деструктивних заходів впливу,
ресурси мережі ботнет можуть
використовуватися для самозахисту. У такому випадку фіксується Інтернет-адреса, збирається необхідна
службова інформація щодо потужностей супротивника і в залежності від його "вагової"
категорії виділяється частина або усі ресурси мережі ботнет для інформаційного блокування. Також
бот-програма може блокувати доступ користувача до ресурсів Інтернет, оскільки він може бути
використаний для пошуку заходу протидії шляхом ознайомлення з консультаційними форумами, завантаженню
відповідного програмного забезпечення для блокування функціонування бот-програми.
Для забезпечення самого процесу побудови
бот-мережі її власник може:
ü вести власні дослідження для створення надійного
коду;
ü купити
заздалегідь
зарезервовані
уразливі
місця
програмного забезпечення масового використання.
Зокрема, вартість невідомої
уразливості в операційній системі або популярному браузері може скласти десятки тисяч доларів. Практично у будь-якому елементі програмного забезпечення, особливо
великого об’єму, криються свої секрети, знайти які не просто, оскільки
програмний код замасковано під реально існуючий алгоритм або його частину. Побічні
фрагменти коду можна виявити як в операційних системах (Windows XP, Linux), так і в програмному забезпеченні ( Fine Reader, Adobe , Ahead Nero Burning, Microsoft Office, WinRaR) [5].
Проведений аналіз
комплексу проблем, пов’язаних із існуванням та розвитком феномену ботнет,
дозволяє зробити наступні висновки: темпи розвитку означених протиправних
діянь, ступінь їх розповсюдження, різноманітність проявів, системність, масштабність
і, нарешті, динамічність дають підставу стверджувати, що у майбутньому
неодмінно будуть з’являтися нові напрямки для відповідних, і, головне,
своєчасних досліджень. А виникнення феномену ботнет, який, безумовно, є наслідком
високих інформаційних технологій, можливо розглядати як
своєрідний орієнтир або показник. Тому специфіка та можливості
сформованих бот-мереж
повинні враховуватися
при запобіганні та розкритті усього спектру злочинів у сфері інформаційних технологій.
Література:
1. Погребенник В.Д., Хромчак П.Т. Розроблення моделі системи виявлення центрів
управління ботнет-мережами // Вісник національного університету "Львівська
політехніка", 2009. – № 639. – С. 117–123.
2. Karun Dambiec. Detecting Potential Peer-to-Peer Botnets Using The Payload Of Network Packets, 2010. – 76 p.
3. Особенности экспертного
исследования IRC-ботов, используемых для построения зомби-сетей //
Компьютерно-техническая экспертиза, 2007. – № 1(1). – С. 11
(10-15).
4. Мещеряков В.А.
Криминалистический анализ противоправного использования ботнетов // Воронежские
криминалистические чтения : сб. науч. трудов. – Вып. 11 / Под ред. О. Я.
Баева. – Воронеж : Изд-во Воронеж, гос. ун-та, 2009. – С. 266 (252-266).
5.
Гурьянов
К.В., Шатило Я.С. Безопасны ли лицензионные программные продукты? // Научно-практический
журнал Информационная безопасность
регионов, 2008. – № 1(2). – С. 4-9.