BotnetDiagram
adv

Come nei più classici film horror, compaiono dal nulla ed iniziano a moltiplicarsi contagiando i loro simili: sono i bot, i nuovi zombie digitali.

Botnet

Una botnet è un network costituito da dispositivi infettati in modo da essere remotamente controllati da un botmaster che li utilizza per fini illegali, come gli attacchi DDoS (Distributed Denial of Service). I dispositivi soggetti a tale minaccia, detti bot o zombie, non sono necessariamente solo dei PC, possono essere router, tablet e persino sistemi IoT connessi alla rete, il cui software presenti vulnerabilità. Tali vulnerabilità vengono sfruttate dal malware di turno che trasforma, in un modo o nell’altro, le vittime in un gregge che esegue senza appello le istruzioni del botmaster.

Minaccia inconsapevole

I possessori dei dispositivi sono spesso ignari di tale situazione e, per evitare che ne vengano a conoscenza, spesso l’utilizzo dei device da parte del botmaster è ridotto ed a frequenza irregolare.

I computer privati vengono spesso usati per perpetrare attacchi DDoS oppure di Phishing, per gli obiettivi pubblici o aziendali c’è anche di peggio.

Il vantaggio di tale tecnica è l’avere un attacco in media costante ma distribuito, in quanto operato da vari sistemi. Esso unisce, inoltre, la potenza di calcolo di più dispositivi.

Possibili danni

Gli illeciti più comuni perpetrabili con una botnet sono;

  • DDoS: attacchi portati a server o computer per saturarne la capacità di elaborazione e causare riduzioni di prestazioni, crash e blocchi di servizio.

  • Spam: invio, tramite più zombie, di miliardi di e-mail al giorno

  • Proxy: il dispositivo infetto diventa punto di attacco per altri dispositivi, mascherando l’indirizzo del botmaster.

  • Furto dati: i bot accedono a dati memorizzati localmente nelle applicazioni o leggono dati sensibili inseriti nelle form web e li inoltrano al botmaster

  • Memoria di appoggio per contenuti illegali: gli hard disk degli “zombie” possono essere usati per salvare contenuti illegali, i quali possono essere ritrasmessi da questi ultimi sulla rete.

Struttura di una botnet

L’architettura di una botnet vede il botmaster che, tramite eventuali server C&C (Command and Control), distribuisce il codice per infettare e comandare le vittime. Questi ultimi, ormai zombie, diffonderanno l’infezione e attaccheranno il web.

Stato dell’arte

Dal rapporto Clusit 2018, per il monitoraggio della sicurezza ICT in Italia, emerge che gli attacchi DDoS quest’anno si sono intensificati ma, grazie al progredire delle strategie difensive e di riconoscimento, durano in media un tempo minore. La maggior parte degli attacchi è inferiore ad 1 ora ma esiste ancora una considerevole fetta che supera le 3 ore di attività consecutiva.

Esistono, tuttavia, anche botnet lecite, il cui scopo è analizzare l’andamento dei malware o la possibilità di unire la potenza di più elaboratori per raggiungere uno scopo comune: calcolo distribuito.