Genç hacker'ların eğlence için bilgisayarları hack'lediği günler geride kaldı. Bugünün gözde hacker aracı ise botnet'ler. Ücret karşılığı kiralanan ciddi hacker'lar, ev bilgisayarlarından meydana gelen büyük bir ordu oluşturabiliyorlar.
Kredi kartı bilgilerinizi çalmak, spam, olta saldırıları ve hatta çocuk pornosu sunmak birkaç tıklamayla yapılabiliyor. Botnet'lerin 'zombi' yazılımları CPU'nuzu çok az kullansa da çok sayıdaki bilgisayarın toplamda dev bir güce sahip olması ve suçlulara kolayca kiralanabilmesi endişe uyandırıyor.
MessageLabs'den Matt Sergeant, botnet'ler hakkında şu sözleri sarfediyor: 'Güç olarak botnet'ler tüm süperbilgisayarları geride bırakıyor'. Dahası, 'işaretle ve tıkla' ürünlerine daha karmaşık oluşturma kitleri entegre ediliyor ve bilgisayardan çok fazla anlamayan suçlular kendi botnet'lerini kurabiliyorlar.
Sorunun derecesi
Botnet'lerin işlevselliğini geliştiren eklenti paketlerinin de piyasası giderek genişliyor. Zararlı tasarımının en hızlı geliştiği bir dönemdeyiz ve bulaşma oranları ile internette satışa çıkarılan çalıntı bilgi miktarına baktığımızda ev kullanıcıları interneti her kullandıklarında riske tabi oluyorlar.
Kullanıcıların bir çoğunun botnet'lerden veya botmaster'lardan haberi yok ancak yüzde 47'lerde gezinen ortalama bulgu oranı bilgisayarınızın şu an enfekte olabileceğini ve bundan haberiniz olmayabileceğini gösteriyor.
Peki bilgisayarlarımızı kim kontrol ediyor ve bundan nasıl para kazanıyor?
Sorunun derecesi
PandaLabs Security teknik direktörü Luis Corrons'a göre botnet'lerin ve zombilerin sayısını belirlemek oldukça güç: 'Birçok zaman bot'ların sayısını tam olarak bilemiyoruz.' 'Komut ve kontrol merkezlerine erişim sağlayabilirseniz istatistikleri görebiliyorsunuz, aksi halde sadece tahmin edebilirsiniz.'
'Mariposa botnet'inde 100.000 ile 200.000 arasında bilgisayarın bulunduğunu tahmin ediyorduk. Ancak trafiği komut ve kontrol merkezinden çukurumuza yönlendirdiğimizde milyonlarca farklı IP adresinden bağlantı geldiğini gördük.'
Mariposa ve Conflicker botnet'leri
Mariposa botnet'inin şu an 12.7 milyon bilgisayar içerdiği tahmin ediliyor ve bu binlerce botnet'ten sadece bir tanesi. Trend Micro'dan Rik Ferguson, Zeus Tracker'ın Zeus botnet'ine ait şu an 1.400 komut ve denetim hizmetini algıladığını söylüyor:
'1.000'in üzerinde Zeus botnet'i mevcut ve suç işlemekte kullanılıyor. Rakamlar korkutucu. Spam geri gönderen spam bot'larının sayısını 23 milyon eşsiz IP adresi olarak belirledik. Bunlar sadece spam bot'ları ve benzer sayıda bilgi çalan bot'ların olduğunu da söyleyebilirsiniz.'
Sadece Corrons ve Ferguson'un saydığı zombilerin sayısı dahi 60 milyona yaklaşıyor. Bunun anlamıs ise diğer botnetlerle beraber güçlerinin dev bilgisayar tesislerini geçtiği.
Dev Conflicker botnet'i, Google'ın bir milyon CPU'luk bulut bilgisayar tesisini 1,50 Gb/sn bant genişliği ile kolaylıkla geçiyor. Conflicker'ın en az 18 milyon ele geçirilmiş CPU ve 28 Tb/sn. toplam bant genişliği olduğu düşünülüyor. Bu botnet'in ne yapacağı ise tamamen onu kiralyan kişiye bağlı, ve kiralamak da kolay olduğu kadar oldukça ucuz.
Botnet'lerden kazanılan inanılmaz miktarda para
VeriSign'ın güvenlik hizmeti iDefense'e göre ortalama 9 dolar ile bir saatlik botnet zamanı kiralamak mümkün. Bir botnet'e 67 doların altında 24 saat sahip olmanız mümkün, bu da saatinin 2.79 dolara gelmesi demek. Bu ödemeye karşı sağlanacak geri dönüş ise devasa boyutlarda.
Kaspersky Lab'den Yuri Namestnikov, botnet işinden inanılmaz paralar kazanan kişilerin varlığından bahsediyor: '2008'de spam'cılar gönderdikleri mesajlardan 780 milyon dolar kazandılar.'
Security Active'den Dale Pearson ise şunları itiraf ediyor: 'Botnet'lerin büyük paralar kazanmakta kullanıldığı bir çokları tarafından kabul ediliyor.' 'Tek bir kiralama döneminde 30.000 sterlinden fazla kazanan 20 yaş altı kişiler mevcut. Tabi ki bir botmaster'ın ne kadar kazandığı, sahip olduğu ordunun büyüklüğüne ve işlemci gücüne bağlı.'
Tehlike giderek büyüyor
Tehlike giderek büyüyor
Sosyal ağların genişlemesi botnet'lerin büyümesine büyük katkıda bulundu ve bazı özel tür botnet'ler ortaya çıktı. Ferguson, bazı botnet'lerin özel amaçlara hizmet ettiğini şöyle açıklıyor: 'Koobface bunun için mükemmel bir örnek. Sosyal ağlardan dağılacak şekilde tasarlanmış ve tek amacı sosyal ağ bilgilerini çalmak.'
Ele geçen sosyal ağ hesapları, zararlı web sitelerine bağlantı göndermekte kullanılıyor. Bunların her biri yüzlerce yeni enfeksiyon ile sonuçlanabiliyor.
Yeni bir botnet'in oluşumu, botnet avcılarının da dikkatini çektiğinden tüm botnet yapısı hızlıca bir siber kedi-fare oyunu halini alıyor.
Webroot Threat Research direktörü Jeff Horne, Conflicker'ın eşten eşe çalışan ve operatörlere bağlantı gerektirmeyen botnet'lere oldukça iyi bir örnek olduğunu söylüyor. Efektif eşten eşe (P2P) botnet iletişimi, operatörleri izlemeyi zorlaştırıyor.
Mobil cihazlar ve botnet oluşturmanın kolaylaşması
Botnet'ler yeni çevrim içi teknolojileri de değerlendirmek üzere hızla evrimleşebiliyor. Örneğin Arbor Networks'den Jose Nazario tarafından keşfedilen Twitter bazlı botnet, zararlı uygulama dosyalarına bağlantılar gönderiyor.
Her şeyin giderek daha taşınabilir olduğu bu zamanda botnet tehdidi akıllı telefonlara da sıçrayacak mı? Kaspersky Lab'den David Emm 'sanırım' diyor: 'Tehditin başlangıç aşamasında olduğunu görüyoruz ancak mobil telefonlarda eksik olan kullanıcıların laptop'ularını kullandıkları gibi onları rutin olarak kullanmamaları.' Emm'e göre çevrim içi işlemlerimizi cep telefonlarında yapmaya başladığımız zaman tehlikenin boyutu büyüyecek.
Ancak Emm'e göre çeşitlilik, tehdidin mobil cihazlarda yayılmasına engel olacak. Zira bir zararlı geliştiricisi, sadece Symbian'da çalışan ancak Mac OS'da çalışmayan bir kod yazacağına, Windows'da çalışan bir kod yazarak çok daha büyük bir etki alanına sahip olabilir.
Horne ise yeni botnet oluşturmanın çok kolay bir hale geldiğine dikkat çekiyor. Botnet oluşturma araçları ve kontrol konsolları sayesinde çok az veya hiç programlama bilmeyen biri bile botnet oluşturup denetleyebiliyor. Peki bu uygulamalar bir ürün halini alacak mı?
Ferguson 'bunlar bir ürün, ancak piyasanın ne kadar büyük olduğunu söylemek zor' diyor. Botnet'lerin ne kadar kolay oluşturulduğunun bir örneği TwitterNET adındaki bir uygulama. Sunbelt Software'den Christopher Boyd, TwitterNET Builder hakkında blog'unda şunları söylüyor: 'Kullanımı çok kolay bir araç ve script kiddie'lerin mobil cihazlarından web sitelerine DDoS saldırısı yapmak için ağızlarının sulandığından hiç şüphe yok.'
Para ve motivasyon
Para ve motivasyon
BitDefender'dan Catalin Cosoi'ye göre botmaster'ları motive eden tek şey para değil ve rekabet, ün yapma gibi faktörler de onlar için önem taşıyor.
'Bu motivasyonları geniş anlamda ikiye ayırabiliriz: para ile motive olan, etkinliklerinden sağladıkları finansal çıkarı maksimize etmeye çalışan siber suçlular ve birkaç botmaster tarafıdan rekabet gücü yüksek bir gücü yöneten topuluklar. Binlerce makinelerin emrinde olması, bir botmaster için iyi bir güç göstergesi ve böbürlenme kaynağı.'
Bu arada, varolan enfeksiyonları kullanan zararlılar da ortaya çıkmaya başladı ve bu pek şaşırtıcı değil. Bu senenin başlarında araştırmacıların ortaya çıkardığı yeni bir botnet toolkit'i SpyEye, Zeus yazılımı bulaşan bilgisayarlardaki bilgileri izlemekte kullanılıyor. Bundan da öte, varolan enfeksiyonu öldürüp kendi zombi kodu ile değiştirebiliyor.
Security Active'den Dale Pearson, varolan kodları ücretsiz olarak kullanan ve diğer kişilerin botnet'lerini çalan kişiler dışında kendi kodunu yazan kişiler arasında da bir savaşın sürdüğünü belirtiyor.
Botmaster'lar nasıl bulunabilir?
Botmaster'lar nasıl bulunabilir?
Peki bu botmaster'lar neredeler? Pandalabs'dan Corrons herhangi bir ülkeden herhangi bir kişinin botmaster olabileceğine dikkat çekiyor: 'Komşunuz bile bir botmaster olabilir ve bunun için bilgisayar uzmanı olmasına gerek yok. Bunu Mariposa botnet'i ile ilgili tutuklanan kişilerden anlıyoruz.'
ESET'den Aryeh Goretsky ise 'botnet sürüleri futbol gibi uluslararası bir meşgale haline geldi' diyor. 'Dünyanın dört bir yanından farklı yeteneklere sahip botmaster'lara rastladık. Bunlar, Amerika'da botnet'inin ne yaptığından haberi olmayan küçüklerden Doğu Avrupa'daki karmaşık suç organizasyonlarına kadar değişiyor.'
Goretsky'nin iş arkadaşı David Harley, Çin'in hedefli zararlılarla dikkat çektiğini ve dünyanın ikinci spesifik spam gönderen ülkesi olduğunu söylüyor (birinci ülke ABD). Brezilya ve Rusya ise banka trojanları üretmekte rekorlara sahipler.
Botnet'lerle mücadele
Botnet'lerle mücadele
Webroot'tan Jeff Horne, konu hakkında şunları söylüyor: 'Bir botnet komut ve denetim sunucusu oluşturulduğunda botnet dağıtıcılarının tek yapması gereken zararlı kodu bir sunucuya yüklemektir' 'Kurbanların bilgisayarlarını e-posta ekleriyle, web sitesi indirmeleriyle ve sosyal mühendislik teknikleriyle açık yazılımlarıyla enfekte edebilir.'
'Zararlı bulaştığında kurbanın bilgisayarı kendisini kontrol ve komut sunucularına kaydeder. Bu sayede sürekli bir iletişim sağlanır, yeni komutlar, kodlar alınır, sunucuya klavye günlükleri, parolalar, kredi kartı gibi bilgiler gönderilir.'
Bağlantı sağlandıktan sonra spam dalgaları botmaster ve enfekte websiteleri tarafından gönderilir, bu sayede botnet'in boyutu büyür. Ancak bu aynı zamanda dikkat çeker ve botnet'in geliştiricisi ile antivirüs şirketleri arasında bir yarış başlatır.
BullGuard CTO'su Claus Villumsen'e göre botnet'in yazılımını güncel tutmak da programlama bilmeyen bir kişi için bile zor bir iş değil: 'Botnet sahibi yeni bir virüs oluşturmak için yaklaşık 250 dolar öder. Yükseltmek için ise aylık ek 25 dolar harcayarak virüs tarayıcıları tarafından bulunmaya engel olur.'
Hala anti-virüs yazılımı kullanmayan bir çok kullanıcı olduğundan, botnet büyüdükçe yapılacak en iyi iş botnet'i takip edip onun bağlantısını kesmektir. Catalin Cosoi konu hakkında şunları söylüyor: 'Bu botnet'lerin sunucuları hedef alan komut ve kontrol öğelerini devre dışı bırakarak yapılır.' 'Bu kolay bir görev değildir zira botnet'ler birkaç komut ve kontrol sunucusuna sahiptir ve hepsinin kodunu güncelleme ihtimali bulunmaktadır. Başarılı olmak için tüm komut ve kontrol sunucularını aynı anda devirmelisiniz.'
Security Active'den Dale Pearson, Komut ve kontrol sunucularını bulmanın zorluğuna şöyle değiniyor: 'Bunların tümü özel topuluklardadır ve savaşın bir bölümü kendinizi de suya daldırmaktır.' Üstelik tüm komut ve kontrol sunucularını kalıcı olarak devre dışı bıraksanız dahi zombi ordusu bu sunucuları aramaya devam edecektir.
İnternet servis sağlayıcısı sorunu
ISS sorunu
Botnet kriziyle ilgili işlemediğimiz bir konu internet servis sağlayıcılarının bu konduda oynayabileceği rol. ISS'ler botnet'leri onlara bant genişliği tanımayarak engelleyebilir mi?
Pearson'a göre denenebilecek bir kaç yol var: 'Paket filtreleme yazılımlarıyla bir botnet'in çalışıp çalışmadığı ve zombi bilgisayarların konumu belirlenebilir. Botnet'i öldürmenin yolu makinelerin bağlantısını kesmektir, ancak bu müşterilerin canını sıkacaktır. Spam ve olta saldırısı için kullanılan giden e-posta trafiğine de engel olunabilir ancak bu da ISS'nin kendi kullanıcılarını etkileyecektir.'
Devid Emm'in de vurguladığı gibi ISS'ler için bir başka sorun ise botmaster'ların botnet'leri tam güçte çalıştırmamaları. Zira tam kapasite çalışan bir botnet ISS'lerin ve botnet avcılarının dikkatini hemen üzerine çekiyor.
ISS'ler, güvenlik kuruluşları, yetkililer ve belki bazı yenilenmiş hacker'lar botnet sorununu çözmek için beraber çalışıyorlar. Peki bu tembel ev kullanıcılarının bilgisayarlarında korumasız olarak devam edebilecekleri anlamına mı geliyor?
ESET'den David Harley şöyle cevaplıyor: 'Karşı tedbir olarak zararlıların algılanması işlemin önemli bir bölümü ancak bu işlemin sadece bir tabakası.' 'Hukuki yaptırım, Conflicker Working Group ve topluluğun ilgisini çekmeyen birkaç farklı grupla beraber bunun üzerinde çalışıyoruz. Kötü adamların bizi, bizim onları dikkatlice seyrettiğimiz gibi seyrettiğinin farkındayız.'