• Versioni di prova e download
  • Prodotti per utenza domestica/ufficio domestico
  • Prodotti per aziende di piccole/medie dimensioni e per imprese
  • Malware Cleaner
  • Programmi di installazione
• • Corporate
  • Norge
  • France
  • Deutschland
  • Sverige
  • Danmark
  • Suomi
  • Nederland
  • Schweiz
  • España
  • United States
  • United Kingdom
  • Italia
• Informazioni su Norman
  • Vision e valori
  • Gruppo dirigente
  • La tecnologia Norman
  • Riconoscimenti e certificazioni
  • Casi del cliente
  • Sala stampa
  • Eventi
  • Lavora con noi
  • Registrazione alla mailing list
  • Contatti

Centro di sicurezza

Server dedicati che diventano parte di una botnet

2009-09-25 [Discussione sui malware, Meccanismi di diffusione, Tendenze e previsioni]

Introduzione

Bot e botnet sono stati oggetto di diversi articoli sulla sicurezza nel corso degli anni.Il più recente è stato il nostro articolo sull'utilizzo di Twitter come comando e centro di controllo per le botnet.

Nell'articolo sulla sicurezza di questa settimana verrà trattato l'utilizzo di un particolare tipo di computer, i server dedicati, come parte di una botnet.

Botnet tradizionali

Si definisce botnet una serie di computer controllati da una persona (o da un'organizzazione).Ogni computer che fa parte della botnet solitamente è in qualche modo compromesso, in genere senza che il proprietario sappia che il computer fa parte di una rete.Il "proprietario" della botnet di norma nasconde con cura le proprie tracce e dispone di "dispositivi di controllo" a diversi livelli.

Il modo tradizionale per usare una botnet era sferrare un attacco DDoS (Distributed Denial of Service) contro un computer o una rete. In passato si sono verificati diversi casi "spettacolari" di attacchi messi a punto contro siti Internet famosi e molto visitati.

Nuove tendenze

Ovviamente i controllori delle botnet si sono accorti quasi subito che queste reti potevano essere utilizzate per fini ben più redditizi. Le botnet vengono comunemente utilizzate come dispositivi di spam, che inviano milioni di messaggi indesiderati agli account di posta elettronica in tutto il mondo.

Le botnet hanno trovato presto diffusione anche come strumenti per propagare software maligni tramite molte tecniche diverse (non trattate in questo articolo sulla sicurezza).

Man mano che le botnet divenivano sempre più sofisticate, il numero di computer facenti parte di una o più botnet è cresciuto consequenzialmente.È verosimile stimare che, al giorno d'oggi, diversi milioni di computer nel mondo facciano parte di una o più botnet.Le botnet sono diventate più sofisticate ed è divenuto sempre più frequente l'aggiornamento automatico dei computer bot in rete con nuove funzionalità.

Il controllore della botnet in genere tende ad infettare i computer, a prescindere dai fini delle macchine.In genere, cerca di assumere il controllo di un computer, ad esempio approfittando delle vulnerabilità note.Quando infine il computer entra a far parte della botnet, questa lo sfrutta come può.

Con questo metodo, mirando indiscriminatamente ai computer vulnerabili, il proprietario della botnet può avere a propria disposizione molti diversi tipi di computer.Si tratterà per la maggior parte di computer domestici e computer di organizzazioni che attuano misure di sicurezze non molto rigide.Questa situazione può comportare degli svantaggi, perché può essere problematico orchestrare le varie parti della botnet in modo che svolgano le stesse attività.

Concentrazione su computer dedicati

In un intervento sul blog all'inizio del mese dal sito per la sicurezza Unmask Parasites, un blogger ha scoperto degli attacchi mirati ai server Web affinché questi computer entrassero a far parte di una speciale botnet.

Se il proprietario della botnet può controllare una serie di server dedicati (in questo caso server Web), ottiene un palese vantaggio:può concentrarsi su questi server per svolgere attività specifiche, ad esempio attività che i computer sono configurati per compiere.

Nell'esempio del server Web, si tratterebbe di infettare pagine Web, ad esempio con contenuti dannosi definiti dal proprietario della botnet.I server Web sono computer configurati inizialmente come server Web legittimi, e i navigatori occasionali non nutrono sospetti quando visitano questi siti.

Anche i computer configurati per svolgere altre attività possono essere sfruttati in maniera analoga.La presenza di computer omogenei nella stessa botnet offre alcuni vantaggi: questi computer sono meglio equipaggiati per svolgere attività particolari e le loro azioni possono essere rivolte in modo più specifico contro destinatari speciali rispetto ai gruppi di computer compromessi a caso.

Resta da vedere se la raccolta di server dedicati in botnet distinte sarà una nuova tendenza nell'evoluzione della tecnologia delle botnet.

 

• Privacy di Norman
• Contratto di licenza [EN]
• Marchi
• Mappa del sito
• Contatti

© Norman ASA