Η καθολική αποδοχή του διαδικτύου και η εκτενής χρήση των υπηρεσιών του σχεδόν από ολόκληρο τον πλανήτη, οδήγησε μοιραία και στη ραγδαία ανάπτυξη κακόβουλων λογισμικών (malware) και άλλων απειλών. Από τις πλέον αναβαθμισμένες απειλές στον κυβερνοχώρο θεωρούνται τα “Botnets”.

Πρόσφατα ο ENISA, δηλαδή ο Ευρωπαϊκός Οργανισμός που ασχολείται με την ασφάλεια των συστημάτων δικτύων και των πληροφοριών και έχει έδρα το Ηράκλειο της Κρήτης, εξέδωσε μία εκτενή αναφορά σε σχέση με τη διαρκώς αυξανόμενη απειλή των botnets.

Θέλοντας αρχικά να δώσουμε ένα ορισμό για τα Botnets, θα λέγαμε ότι πρόκειται για δίκτυα υπολογιστών (bot-net) που απαρτίζονται από συστήματα τα οποία έχουν ως βασικό σκοπό να διασπείρουν κακόβουλο λογισμικό, spam και κάθε είδους απειλές ή στοχευμένες επιθέσεις. Τα botnets ελέγχονται από απόσταση από μία ξένη οντότητα που αποτελεί και τον εντολοδότη του δικτύου (botmaster ή botherder). Ακολούθως θα αναλυθούν τα βασικότερα σημεία αυτής της αναφοράς, σε μια προσπάθεια να αποσαφηνιστεί ο ρόλος των botnets στη διαδικτυακή πραγματικότητα, ως προς τη δομή, τον εντοπισμό και τις μεθόδους αντιμετώπισής τους.

Περί Κακόβουλου Λογισμικού
Ο όρος malware έγινε γνωστός σχεδόν από τότε που δημιουργήθηκαν τα υπολογιστικά συστήματα – και όσο τα τελευταία αυξάνονταν τόσο εντονότερη έκανε την παρουσία του. Παλαιότερα ένα οποιοδήποτε κακόβουλο λογισμικό είχε μια μικρή περιοχή εμβέλειας και χαμηλού επιπέδου αρνητικές επιπτώσεις στο σύστημα. Όμως με την έλευση του παγκόσμιου ιστού, η εξάπλωσή τους έγινε σχεδόν ακαριαία και με τη διαρκώς αυξανόμενη τεχνολογική κατάρτιση, τα δυσμενή αποτελέσματα άρχισαν να είναι σοβαρότερα. Επιπρόσθετα, παλαιότερα η δημιουργία ενός τέτοιου προγράμματος και η επίτευξη μόλυνσης σημαντικού αριθμού υπολογιστών, σήμαινε αναγνώριση από μία ελιτίστικη κοινωνική ομάδα υψηλού επιπέδου γνώσεων που δρούσε παρανόμως. Σήμερα που το διαδίκτυο χρησιμοποιείται για παροχή υπηρεσιών και προσφέρει οικονομικές συναλλαγές, η ανάπτυξη των malware στοχεύει σε μεγάλο βαθμό στο άμεσο και παράνομο κέρδος. Τα νούμερα που προκύπτουν είναι αποθαρρυντικά, με την Kaspersky να υποστηρίζει ότι το 2009 ένα νέο malware ανακαλυπτόταν κάθε 2 sec, αγγίζοντας μέσα σε ένα έτος τον αριθμό των 15 εκατομμυρίων κακόβουλων προγραμμάτων.
Εν συντομία αναφέρουμε τις κυριότερες κατηγορίες malware που αναπτύχθηκαν, ώστε να γίνει και σαφής η εξελικτική τους πορεία. Έτσι, πρώτοι δημιουργήθηκαν οι ιοί υπολογιστών που αποτελούν ένα παθητικό πρόγραμμα, που φιλοξενείται από κάποιο άλλο αρχείο (host file, συνήθως εκτελέσιμο) και μεταφέρονται ανάμεσα στα συστήματα, όταν αυτό το αρχείο μετακινηθεί μεταξύ τους. Πιο εξελιγμένα χαρακτηριστικά έχει το λεγόμενο «σκουλήκι» (worm) που είναι ενεργό πρόγραμμα και αναπαράγεται στα συνδεδεμένα συστήματα με το μολυσμένο υπολογιστή, αφού πρώτα εντοπίσει τα τρωτά τους σημεία. Ακολούθησαν οι Δούρειοι ίπποι (Trojan horses) που για να μη γίνουν αντιληπτοί από το χρήστη, παριστάνουν ότι είναι κάποιο άλλο νόμιμο πρόγραμμα και εγκαθίστανται στον υπολογιστή με την άδειά του, με αποτέλεσμα να το μολύνουν. Ιδιαίτερη κατηγορία αποτελούν τα προγράμματα spyware, keylogger και sniffer που έχουν ως στόχο την άντληση προσωπικών δεδομένων του χρήστη και η εκμετάλλευσή τους σε πλήθος διαφορετικές απάτες. Τέλος, αναγνωρίζουμε τα rootkit που δρουν έτσι ώστε να μη γίνουν αντιληπτά από το χρήστη και έχουν ως στόχο την κατανάλωση των πόρων του συστήματος και το άνοιγμα ενός δίαυλου επικοινωνίας με άλλα απομακρυσμένα συστήματα.
Ως συνδυασμός όλων των ανωτέρω προγραμμάτων προέκυψαν τα botnets, που στοχεύουν στη βίαιη ενσωμάτωση και αναπαραγωγή τους σε ξένα συστήματα. Ο όρος bot αποτελεί συντόμευση της λέξης robot και αναφέρεται στους «πελάτες» εντός ενός botnet. Προέκυψε από την τσέχικη λέξη «robota» που σημαίνει εργασία ή εκδούλευση. Τα botnets αναφέρονται επίσης συχνά και ως zombies ή drones.Το λειτουργικό χαρακτηριστικό που ξεχωρίζει τα botnets είναι ότι μολύνοντας ένα σύστημα, φροντίζουν να εξασφαλίσουν την επικοινωνία του με ένα κεντρικό διακομιστή ή ένα άλλο μολυσμένο σύστημα, ώστε να δημιουργήσουν ένα δίαυλο επικοινωνίας (δίκτυο) το οποίο θα ελέγχεται από τους δημιουργούς του (botmasters) μέσω εντολών.
Botnets: Δομή και απειλές
Τα botnets ανάλογα με τον τρόπο που δρα η οντότητα η οποία τα ελέγχει και προγραμματίζει (command-and-control, C&C) χωρίζονται σε κεντρικής ή κατανεμημένης αρχιτεκτονικής. Η κεντρική C&C δομή μοιάζει με ένα απλό σύστημα πελάτη – διακομιστή (client – server), όπου ως πελάτης θεωρείται το κάθε bot, το οποίο συνδέεται σε ένα ή περισσότερους διακομιστές. Στην κατανεμημένη C&C δομή, τα bots έχουν μερική αυτονομία και επικοινωνούν μεταξύ τους, ζητώντας παράλληλα εντολές από τον botmaster, ο οποίος επιτυγχάνει έτσι μεγαλύτερα επίπεδα κάλυψης (εικόνα 1). Όποια αρχιτεκτονική και αν υιοθετούν, τα σύγχρονα botnets είναι ευέλικτα και εύρωστα ώστε να χειρίζονται πλήθος υπολογιστικών συστημάτων και να καρπώνονται το μέγιστο δυνατό κέρδος. Πλέον για να παραμείνουν ενεργά και αόρατα στο χρήστη χρησιμοποιούν τεχνικές κρυπτογράφησης, ενώ τα πρωτόκολλα επικοινωνίας C&C γνωρίζουν εξαιρετική ανάπτυξη.
Με βάση τα προαναφερόμενα διαπιστώνεται ότι η δημιουργία αλλά και ο χειρισμός ενός botnet είναι μια περίπλοκη διαδικασία, χρονοβόρα και δαπανηρή. Αβίαστα λοιπόν γεννάται το ερώτημα, γιατί κάποιος επιλέγει να ασχοληθεί σε βάθος με αυτή την παράνομη δραστηριότητα. Με απλά λόγια, τα botnet εξασφαλίζουν μεγάλα οικονομικά οφέλη στους δημιουργούς τους και παράλληλα μπορούν να χρησιμοποιηθούν για πολιτικούς ή ακόμα και στρατιωτικούς σκοπούς. Για παράδειγμα, στο κομμάτι της ενοχλητικής αλληλογραφίας (spamming) σημειώθηκαν άλματα με τη χρήση των botnets, μιας και από τους μολυσμένους υπολογιστές αντλούνται εύκολα πληροφορίες για τους λογαριασμούς τους και άρα ανακτώνται οι λίστες επαφών τους, οι οποίες γίνονται στόχος. Επιπρόσθετα, ενώ παλαιότερα υπεύθυνοι για το spamming ήταν μικρά δίκτυα ή μεμονωμένοι υπολογιστές που εύκολα εντοπίζονταν και μπορούσε να υποστεί φραγή η IP διεύθυνσή τους, τώρα οι IP διευθύνσεις που χρησιμοποιούνται είναι των bots και όχι του δημιουργού τους, ο οποίος μπορεί να συνεχίζει ανενόχλητος τη διανομή. Γενικότερα, η ταυτότητα του χρήστη σε πλήθος υπηρεσίες που χρησιμοποιεί είναι το πρώτο πράγμα που υποκλέπτεται, ώστε εν συνεχεία να χρησιμοποιηθούν σε πλήθος από διαφορετικές απάτες.
Μια άλλη μορφή απάτης πολύ διαδεδομένη στα botnets είναι «η απάτη του κλικ» (click fraud). Δημιουργείται ένας ιστοχώρος, ο οποίος παρέχει διαφήμιση σε ενδιαφερόμενους και πληρώνεται ανάλογα με την επισκεψιμότητα που παρουσιάζει. Έτσι τα bots εισέρχονται μαζικά στην ιστοσελίδα, οι διαφημιζόμενοι πληρώνουν το κόστος που τους αναλογεί, αλλά έχουν μηδενικό όφελος μιας και οι επισκέπτες είναι ανύπαρκτοι. Με τον ίδιο τρόπο μπορούν να επηρεαστούν οι δικτυακές δημοσκοπήσεις (polls).
Τέλος, η «άρνηση εξυπηρέτησης» (DDoS, distributed denial of service) αποτελεί μία από τις πιο σημαντικές μορφές απάτης των botnets. Πρόκειται για τη στοχευμένη επισκεψιμότητα πολυπληθών botnets σε ιστοσελίδες που στηρίζονται στην παροχή υπηρεσιών, ώστε οι τελευταίες να μη μπορούν να διαχειριστούν τον όγκο των αιτημάτων προς εξυπηρέτηση και να δηλώσουν άρνηση, ζημιώνοντας σημαντικά τους κατόχους τους και δυσαρεστώντας τους πελάτες τους. Παρόμοια στοχεύονται κυβερνητικοί και στρατιωτικοί ιστόχωροι, ως τρόπος πολιτικής δήλωσης και αντίδρασης.
Κατά συνέπεια είναι αναγκαία και καθοριστική η πληροφόρηση του κοινού για τη δραστηριότητα των botnets και οφείλεται να αξιολογείται με πραγματικά στοιχεία η δράση τους, ώστε να είναι ενήμεροι όσοι επιθυμούν να δραστηριοποιηθούν στο διαδίκτυο επαγγελματικά, για το μέγεθος της απειλής. Η επαρκής μέτρηση της δράσης των botnets διευκολύνει επίσης στον καθορισμό των μέτρων ασφαλείας που απαιτούνται ανά περίπτωση και βοηθά ώστε οι κυβερνήσεις να λάβουν τα αναγκαία εκείνα νομοθετικά μέτρα προκειμένου να προστατευθούν τα προσωπικά δεδομένα και οι επιχειρήσεις των πολιτών. Για το λόγο αυτό έχει αναπτυχθεί πλήθος μεθόδων ανίχνευσης και μέτρησης της δράσης των botnets, όπως αναφέρονται ακολούθως.

Τεχνικές μέτρησης και ανίχνευσης των botnets

Α. Παθητικές Τεχνικές
Στην κατηγορία ανήκουν όλες εκείνες οι μέθοδοι που συλλέγουν πληροφορίες από το δίκτυο μέσω παρακολούθησης και χωρίς να επεμβαίνουν στο περιβάλλον που λαμβάνουν χώρα τα γεγονότα. Με τον τρόπο αυτό παραμένουν αόρατες από τους botmasters, αν και οι πληροφορίες που συλλέγουν δεν είναι πάντα οι μέγιστες δυνατές. Οι βασικές παθητικές τεχνικές είναι:

  1. Packet Inspection: η πληροφορία που λαμβάνει ένας υπολογιστής είναι χωρισμένη σε τμήματα συγκεκριμένου μήκους που ονομάζονται πακέτα, τα οποία περιέχουν τις διευθύνσεις αποστολέα και παραλήπτη και την κύρια πληροφορία. Η βασική ιδέα της μεθόδου είναι η σύγκριση των λαμβανόμενων πακέτων, με μοντέλα πακέτων που αντιστοιχούν σε κακόβουλο λογισμικό («ανιχνευτής υπογραφής») ή ο εντοπισμός διευθύνσεων αποστολέα που έχουν χαρακτηριστεί ως ύποπτες.
  2. Analysis Of Flow Records: Η μέθοδος καταγράφει τη δραστηριότητα των διαύλων επικοινωνίας στο δίκτυο. Πρόκειται για μέθοδο παρατήρησης η οποία αποθηκεύει πληροφορίες για τις συνδέσεις που λαμβάνουν χώρα και κυρίως για τις διευθύνσεις αποστολέα και παραλήπτη, για τον αριθμό των θυρών που μετέχουν στην επικοινωνία, για το πρωτόκολλο που χρησιμοποιούν τα πακέτα, για τη χρονική διάρκεια της σύνδεσης, το μέγεθος και τον αριθμό των πακέτων που μεταδίδονται.
  3. DNS-based Approaches: Όπως προαναφέρθηκε, από την στιγμή που θα δημιουργηθεί ένα bot μετέχει σ’ ένα δίαυλο επικοινωνίας με τον botmaster, ο οποίος μπορεί να βρίσκεται σε μία στατική IP διεύθυνση ή σε ένα domain name, που φέρει το bot. Ο εντοπισμός του σημείου επικοινωνίας διευκολύνει την ανίχνευση του botnet και των συστημάτων που το απαρτίζουν, ενώ σε συνεργασία με τους DNS διακομιστές μπορεί να διακοπεί η λειτουργία του. Στην περίπτωση όπου χρησιμοποιείται σταθερή IP διεύθυνση (ή διευθύνσεις) η «φραγή» του σημείου επικοινωνίας δεν είναι τόσο απλή και ουσιαστικά απαιτείται να καταργηθούν οι διακομιστές που σχετίζονται με αυτή τη διεύθυνση.
  4. Analysis Of Spam Records: ένας άλλος τρόπος ανίχνευσης των botnets είναι μέσω της καταγραφής της διαδρομής που ακολουθούν τα μηνύματα ενοχλητικής αλληλογραφίας, δημιουργώντας έτσι ένα χάρτη που σχετίζει τα μηνύματα με τα bots που τα αποστέλλουν. Ο εντοπισμός εξασφαλίζεται τόσο μέσω του περιεχομένου των μηνυμάτων, όσο και από τα χαρακτηριστικά SMTP (Simple Mail Transfer Protocol) πρωτοκόλλου και των πεδίων απάντησης στην επικεφαλίδα του μηνύματος.
  5. Analysis Of (application) Log Files: οι νέες εφαρμογές είναι σχεδιασμένες ώστε να καταγράφουν τις διεργασίες που εκτελούν, σε αρχεία που ονομάζονται log files. Η διερεύνηση αυτών των αρχείων δίνει πληροφορίες για τα αιτήματα που λαμβάνουν από το δίκτυο και βοηθούν στην ανίχνευση των botnets.
  6. Honeypots: πρόκειται για αθωράκιστα συστήματα που τοποθετούνται σκοπίμως στο δίκτυο ώστε να πέσουν θύματα malware. Στόχος είναι η καταγραφή και ο χαρακτηρισμός των διαφόρων τύπων malware, η αναγνώριση των διαφορετικών πρωτόκολλων επικοινωνίας και η αποθήκευση του καθαυτού κώδικα για περαιτέρω επεξεργασία (εικόνα 2).
  7. Evaluation Of Antivirus Software Feedback: Τα τελευταία χρόνια οι πάροχοι προγραμμάτων αντί-ιών, ενσωματώνουν λειτουργίες ανάδρασης (feedback) στα λογισμικά τους, ώστε κάθε χρήστης να διαδραματίζει το ρόλο του αισθητήρα και όλοι μαζί να δημιουργούν ένα μεγάλο δίκτυο (cloud antivirus solutions). Έτσι, οι εταιρείες παρουσιάζουν καλύτερους χρόνους αντίδρασης στα νέα malware και έχουν καλύτερη αντίληψη για τη γεωγραφική εξάπλωση του ιού και το μέγεθος της απειλής.

Β. Eνεργητικές τεχνικές ανίχνευση botnets
Οι τεχνικές αυτές λειτουργούν σε συνεργασία με τους υπό επίβλεψη πόρους του δικτύου – και αν και συλλέγουν πληροφορίες εις βάθος, αφήνουν ίχνη λειτουργίας και είναι πιθανό να εντοπιστούν από τους botmasters. Στην περίπτωση αυτή ενδέχεται να δεχθούν επίθεση π.χ. τύπου DDoS για να καταστούν ανενεργές. Οι βασικότερες ενεργητικές τεχνικές είναι:

  1. Sinκholing: στόχος της μεθόδου είναι να αποκόψει την πηγή που ελέγχει το malware από το υπόλοιπο botnet και εφαρμόζεται συνήθως σε C&C servers ή trojans.
  2. Infiltration: Η «διήθηση» σε ένα botnet εφαρμόζεται σε λογικό και υλικό επίπεδο. Στην πρώτη περίπτωση διενεργείται έρευνα για το εκτελέσιμο αρχείο του bot και καταγράφεται η κίνησή του, ώστε να επιτευχθούν μετρήσεις ελέγχου και συμπεριφοράς. Η υλική «διήθηση» προϋποθέτει πρόσβαση στο C&C server ώστε να υποκλαπούν οι επικοινωνίες του.
  3. DNS Cache Snooping: η τεχνική υποβάλλει ερωτήματα στους DNS servers ώστε να ανακτήσει (snoop) το DNS αρχείο που έχουν αποθηκευμένο και το οποίο ενημερώνει για τις ιστοσελίδες που έχουν πρόσφατα δεχθεί αίτημα μέσω του server (εικόνα 3).
  4. Tracking Of Fast-Flux Networks: κάποια botnets δημιουργούν fast-flux δίκτυα για να καλύψουν τη δραστηριότητά τους και να αυξήσουν την αξιοπιστία της δομής τους. Στην περίπτωση αυτή, κατά την επικοινωνία τους με τους DNS servers διακρίνονται βάσει δύο χαρακτηριστικών: α) ο χρόνος εγκυρότητας των αρχείων των domains που συνδέονται με το fast-flux δίκτυο είναι εξαιρετικά περιορισμένος (μερικά λεπτά) και β) οι IP διευθύνσεις που επιστρέφονται από το δίκτυο παρουσιάζουν έντονη ανομοιογένεια, κάτι που συνεπάγεται ότι προέρχονται από διαφορετικά δίκτυα και ISPs.
  5. IRC-based Measurement and Detection: το IRC (internet relay chat) αποτελεί ένα ελαφρύ και εύρωστο πρωτόκολλο που χρησιμοποιείται εκτενώς για την επικοινωνία σε ένα botnet. Μελετώντας δείγματα του malware εντός ενός bot αντλούνται πληροφορίες για τις IP διευθύνσεις, το νούμερο της θύρας επικοινωνίας του IRC server καθώς και το κανάλι που ελέγχει το botnet. Ακολούθως, για να μετρηθούν τα bots που μετέχουν στο δίκτυο, αρκεί η σύνδεση και συμμετοχή στο κανάλι του botnet, ενώ ανάλογα με τα μέτρα προστασίας που έχει λάβει ο botmaster επιτρέπεται και η εξαγωγή περαιτέρω δεδομένων.
  6. Enumaration of Peer-to-Peer Networks: και οι δομές P2P χρησιμοποιήθηκαν εκτενώς από τα botnets, καθώς παρέχουν εύκολα ένα κανάλι επικοινωνίας μεταξύ των bots χωρίς να προδίδεται άμεσα η δομή του δικτύου. Και αυτό, γιατί κάθε bot που μετέχει στο δίκτυο μπορεί να επικοινωνήσει με περιορισμένο αριθμό γειτόνων (άλλα bots), επιτυγχάνοντας έτσι υψηλά επίπεδα κάλυψης για τον botmaster. Για να επιτευχθεί καταμέτρηση πρέπει να υπάρξει σύνδεση με το botnet, παριστάνοντας μια πλαστή οντότητα bot.

Αντίμετρα
Η αντιμετώπιση της απειλής των botnets αποτελεί μία περίπλοκη και ιδιαίτερα απαιτητική διαδικασία η οποία πρέπει να αναπτυχθεί τόσο σε τεχνολογικό όσο και σε κοινωνικό επίπεδο.
Τεχνολογικό Επίπεδο
Τα αντίμετρα σε αυτό το επίπεδο στοχεύουν κυρίως στην κατάρρευση της C&C δομής των botnets. Πρέπει να σημειωθεί ότι όλα τα μέτρα που λαμβάνονται για να διακοπούν οι δίαυλοι επικοινωνίας των botnets, δεν εξασφαλίζουν παράλληλα και την απολύμανση των υπό κατάληψη υπολογιστικών συστημάτων. Έτσι, πιθανολογείται τα τελευταία να παραμείνουν σε ανοιχτή επικοινωνία με τον botmaster όταν αυτός αποκοπεί και να χρειάζεται το λιγότερο επανεκκίνηση του συστήματος για να μην παραμείνουν μετέωρα σε μια ανύπαρκτη σύνδεση. Ακολούθως, παρουσιάζονται οι τεχνικές αντιμετώπισης των botnets:

  1. Blacklisting: πρόκειται για τη δημιουργία μίας λίστας «αποφυγής» η οποία μπορεί να περιέχει τις IP διευθύνσεις που επιβουλεύονται ξενιστές ή ολόκληρα υποδίκτυα που παρουσιάζουν ύποπτη συμπεριφορά. Αν και δεν αποτελεί άμεσο μέτρο εναντίον των botnets, μπορεί να χρησιμοποιηθεί ως οδηγός για τη διακοπή της επικοινωνίας με τις διευθύνσεις αυτές ή ακόμα και για τον αποκλεισμό των URLs με τη βοήθεια του browser, ώστε να μην εισέλθει ο χρήστης.
  2. Distribution of fake/traceable Credentials: Σε επιβεβαιωμένες ιστοσελίδες όπου λαμβάνει χώρα υφαρπαγή των προσωπικών στοιχείων του χρήστη, εισάγονται σκοπίμως ψεύτικα πιστοποιητικά ώστε να κλονιστεί η εμπιστοσύνη μεταξύ των botmasters και να υπονομευθεί η ποιότητα των πληροφοριών που συλλέγονται και άρα η αξία των «υπηρεσιών» που παρέχουν. Επιπρόσθετα, τα πλαστά πιστοποιητικά αν χρησιμοποιηθούν ακολούθως από άλλες εφαρμογές, βοηθούν στον εντοπισμό των μερών που μετέχουν και καρπώνονται κέρδος από το botnet.
  3. BGP Blackholing: το πρωτόκολλο BGP (Border Gateway Protocol) είναι υπεύθυνο για τη δρομολόγηση της πληροφορίας στο διαδίκτυο και σε συνδυασμό με τις πληροφορίες από το blacklisting μπορεί να δρομολογεί τα δεδομένα malware σε ανύπαρκτα μονοπάτια. Η μέθοδος θεωρείται κατάλληλη για botnets με δομή C&C στατικής διεύθυνσης.
  4. DNS-based Countermeasures: αν διαπιστωθεί ότι ένα domain name επιβουλεύεται τους επισκέπτες του, μπορεί να καταστεί ανενεργό από τον υπεύθυνο ληξίαρχο (registrar) αν ο τελευταίος επιθυμεί να συνεργαστεί και αν η νομοθεσία της χώρας που ανήκει το επιτρέπει. Παρόλα αυτά, αν το όνομα έχει αποκτηθεί νομίμως από τους bοtmasters δύσκολα μπορεί να καταργηθεί.
  5. Direct Takedown of C&C Servers: εφαρμόζεται σε botnets με κεντρική
    δομή C&C αν εντοπιστεί επιτυχώς ο στόχος, ώστε με τη βοήθεια του service
    provider ή του κέντρου δεδομένων που τον φιλοξενεί, να καταστεί ανενεργός.
  6. Packet Filtering on Network and Application Level: εφαρμόζεται σε συνδυασμό με το packet inspection και το firewall του συστήματος, ώστε να απορρίπτονται τα πακέτα που θεωρούνται ύποπτα.
  7. Port 25 Blocking: πρόκειται για παρεμβατικό αντίμετρο που εφαρμόζεται από τους ISPs, ώστε να περιοριστεί ο όγκος της ενοχλητικής αλληλογραφίας μέσα στο δίκτυο, μιας και περίπου το 87% του συνολικού όγκου των emails ανήκουν σ’ αυτή την κατηγορία. Η μέθοδος στηρίζεται στην υπόθεση ότι η χρήση μη αυθεντικοποιημένων υπηρεσιών μέσω της θύρας 25 (ανοιχτή σχέση mail server), γίνεται αποκλειστικά για spamming και έτσι αποκόπτεται η επικοινωνία της σε επίπεδο ISP.
  8. Walled Gardens: στόχος της μεθόδου είναι να προστατέψει τους χρήστες από ζημιά, αποκόπτοντας την οποιαδήποτε σύνδεση με ένα διαπιστωμένα μολυσμένο σύστημα. Η διαδικασία περιλαμβάνει τα στάδια της ανίχνευσης, γνωστοποίησης και αποκατάστασης.
  9. P2P Countermeasures: στην περίπτωση όπου το botnet χρησιμοποιεί τις δομές P2P και εφόσον εντοπιστεί το κανάλι επικοινωνίας, τοποθετούνται σε στρατηγικά σημεία πλαστοί γείτονες οι οποίοι ακυρώνουν κάθε προσπάθεια επικοινωνίας και καθιστούν το δίκτυο ανενεργό.
  10. Infiltration and Remote Disinfection: πρόκειται για μία πολύπλοκη μέθοδο που προσπαθεί να παραστήσει τον botmaster και να αποκτήσει τον έλεγχο των μολυσμένων συστημάτων. Για να επιτευχθεί κάτι τέτοιο, αρχικά πρέπει να αναλυθεί ο τρόπος επικοινωνίας εντός του botnet και ακολούθως να σχεδιαστεί προσεκτικά το εργαλείο που θα παρέμβει στο δίκτυο.

Κοινωνικό Επίπεδο
Όσο εξελιγμένες μέθοδοι και να εφαρμοστούν για την αντιμετώπιση των botnets απαιτείται και επαγρύπνηση και από την κοινωνία. Έτσι οι κυβερνήσεις οφείλουν να θεσπίσουν νόμους για την πάταξη του ηλεκτρονικού εγκλήματος, με δυνατότητα διαρκούς προσαρμογής ώστε να προλαμβάνουν το ταχύτατα αναπτυσσόμενο και μεταβαλλόμενο έγκλημα. Παράλληλα απαιτείται η εκπαίδευση του τελικού χρήστη και με αυτήν την κατεύθυνση δημιουργούνται κρατικοί φορείς με συμβουλευτικό χαρακτήρα για τον πολίτη, που θα δίνουν οδηγίες για τον τρόπο χειρισμού και αντίδρασης απέναντι στα bots. Επίσης γίνεται προσπάθεια όλοι οι ενδιαφερόμενοι να συνεργάζονται μεταξύ τους, ώστε αφενός να δημιουργούνται λίστες μολυσμένων συστημάτων και υποδικτύων και αφετέρου να εξασφαλιστεί η καλή επικοινωνία αλλά και ο διαχωρισμός των αρμοδιοτήτων κάθε μέρους και της περιοχής δικαιοδοσίας του. Με γνώμονα το τελευταίο, ξεκίνησαν κάποιες πρωτοβουλίες σε εθνικό και διεθνές επίπεδο, ώστε να αναπτυχθούν έμπιστες σχέσεις μεταξύ των Οργανισμών που ενδιαφέρονται για τη διαδικτυακή ασφάλεια και να ανταλλάσσονται πληροφορίες με στόχο την ταχύτερη αντίδραση και την αρτιότερη έρευνα.
Μελλοντικές τάσεις στα botnets
Οι πρόσφατες εξελίξεις δείχνουν ότι εφόσον τα botnets αποφέρουν κέρδος θα αποτελέσουν «προϊόν» εμπορεύσιμο, που θα διαδραματίσει σημαντικό ρόλο στη διαδικτυακή πραγματικότητα. Επιπρόσθετα αναμένεται η χρήση τους και για πολιτικούς σκοπούς, ενώ ο επόμενος στόχος τους θα είναι αναμφισβήτητα τα smartphones. Στον αντίποδα έχει ήδη δημιουργηθεί ένα «white worm» που έχει ως στόχο να απολυμάνει συστήματα που φέρουν malware, με ταυτόχρονη ενημέρωση των χρηστών τους, αλλά η χρήση του θεωρείται παράνομη.

Αναφορά :
ENISA, Report: “Botnets: Measurement, Detection, Disinfection and Defence”

Της Παναγιώτα Τσώνη