Contro le botnet non c'è nulla da fare

Le botnet? Impossibile combatterle. Gli attacchi basati sui PC zombie si evolvono tanto velocemente da rendere vani gli sforzi tesi ad approntare contrattacchi e sistemi di sicurezza efficaci. Gli esperti specializzati nella caccia a questa nuova genìa di “malware distribuito” esprimono tutta la loro frustrazione nel rilevare come ad ogni contrattacco corrisponda una contromossa dei coder criminali, tale da mettere fuori gioco quanto era stato fino a quel punto realizzato per neutralizzare la minaccia.

“Siamo a conoscenza della minaccia delle botnet da pochi anni ma solo ora stiamo realizzando come esse funzionino in concreto, e mi dispiace ammettere il fatto che potremmo essere due o tre anni indietro in termini di meccanismi di risposta”, sostiene Marcus Sachs, in forze alla divisione Computer Science Laboratory dell’organizzazione di ricerca indipendente SRI International .

Che cos’è una botnet? È una rete di PC connessi su banda larga, caduti vittima di un’infezione durante un attacco di un worm, un trojan o altro agente virale, in cui è stato innestato un software di controllo remoto che connette la macchina infetta ad un server, in attesa di istruzioni da parte del burattinaio telematico che controlla la rete.

La diffusione dei PC zombie, sottratti al controllo dell’utente e totalmente assoggettati ad una volontà esterna, è in crescita esponenziale , dicono le stime delle società di sicurezza. Symantec ha rilevato come, durante i primi sei mesi del 2006, sia stata osservata in azione una media di ben 57.000 bot al giorno. Durante il suddetto periodo, la compagnia di Norton Antivirus ha contato 4.7 milioni di computer singoli catturati dalle botnet , impiegati in attività criminose quali attacchi DoS, installazione di malware, adware e spyware e attività di keylogging ai danni di dati finanziari sensibili.

Come riporta Punto Informatico, i danni causati dalle botnet (principalmente economici, ma non solo) alle infrastrutture e ai business di rete sono già stati notevoli. Ora alcuni esperti sostengono persino che la situazione non può far altro che peggiorare .

“Siamo riusciti a far refluire la marea, ma è stato per la gran parte un tentativo inutile”, sostiene Gadi Evron, security evangelist della compagnia di sicurezza israeliana Beyond Security e uno dei protagonisti principali all’interno della community dei cacciatori di reti zombie. “Ogni volta che disabilitiamo un server di comando-e-controllo, la botnet viene immediatamente ricreata su un nuovo host. A quel punto non possiamo fare più niente”, dichiara Evron in un intervista su eWEEK .

La tecnologia alla base dei network criminali evolve poi in continuazione, al punto da individuare i possibili punti meno performanti della rete, magari collegati con una connessione lenta in dial-up, per escluderli da attacchi complessi e relegarli alla semplice installazione di spyware o adware assortito. Le botnet moderne impiegano nuove tecniche di camuffamento per nascondere la propria presenza ai software di sicurezza e ai ricercatori.

Caso esemplificativo dell’incremento di complessità delle botnet è il trojan Sinit : basandosi su un principio di connessione peer-to-peer, ogni macchina infetta dal malware diventa un nodo capace di diffondere a sua volta l’infezione con l’invio di trojan aggiuntivi. La cosa che rende ancora più sofisticata la rete è il fatto che il codice trasportato dai bot è segnato digitalmente e quasi impossibile da decifrare.

Gadi Evron, che insegue le botnet dal 1996, sostiene che “si sono evolute al punto che non c’è nessun server di comando-e-controllo da trovare e spegnere”. “Per un periodo, questa è stata la loro principale debolezza. Oggi, c’è sufficiente ridondanza e canali di controllo alternativi da poterle mantenere sempre attive”.

Alfonso Maruccia