Cosa sono le botnet?


Pubblicato il: 13-11-2020 15:32

Definizione botnet

Una botnet (dall’inglese bot, ovvero un programma o software che svolge compiti automatici, tipicamente via internet e – in alcuni casi – simulando il comportamento di un utente umano, e net, rete) non è altro se non una rete di malware che opera a livello distribuito, finalizzata ad esempio ad effettuare un DDoS (Distributed Denial of Service) per buttare giù o rendere un sito non funzionante. In altri termini, grazie ad una botnet e al controllo di un botmaster ed alcuni dispositivi connessi ad internet che vengono, in alcuni casi, infettati dal malware a loro insaputa, è possibile condurre un attacco informatico distribuito, dato che i vari PC o smartphone connessi vengono controllati da remoto dal malintenzionato di turno.

Per aggirare i controlli dettati dai firewall di alcuni dispositivi, poi, si utilizzano varie tecniche per aggirare l’ostacolo, come ad esempio sfruttare direttamente le connessioni sulle porte 22 o 80, tipiche dei browser per accedere ai siti web, in modo da non essere ostacolati e da poter essere utilizzate senza che il client se ne accorga (se non con analisi specifiche della sua rete, il più delle volte). Le botnet vengono utilizzate dalle organizzazioni di criminali informatici o, in alcuni casi, da collettivi come Anonymous per scopi politici o comunque dimostrativi.

Come si diffondono le botnet

Le botnet possono usare indifferentemente come veicolo di attacco qualsiasi software connesso ad internet sul computer o sul cellulare della vittima, come un browser, un client di torrent o anche un programma di chat come Skype. Alla base di tutto c’è sempre l’infezione con un malware che apre un “canale” di comunicazione preferenziale per l’attaccante, mentre altri tipi di botnet possono sfruttare la potenza di calcolo dei server di alcuni siti web, inclusi siti in WordPress.

SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919

Il malware che favorisce le botnet può essere diffuso tramite allegati e-mail dannosi, download di file di vario genere e app non ufficiali. I criminali informatici, in alcuni casi, possono prendere di mira anche vulnerabilità specifiche dei siti o dei computer bersaglio, sfruttando anche il fatto che gli stessi non siano mantenuti nè aggiornati troppo di frequente. Con l’avvento dei dispositivi IoT (Internet delle cose), inoltre, sono stati presi di mira anche telecamere di sicurezza, TV a circuito chiuso e persino automobili di ultima generazione.

Esempi di botnet

Il libro I MILLE VOLTI DI ANONYMOUS contiene una spiegazione molto semplice ed efficace del concetto di botnet: all’interno delle chat di Anonymous, si racconta, venivano spesso organizzati attacchi su larga scala mirati su siti considerati “meritevoli” di essere attaccati. In questo assumeva (ed assume ancora, in alcuni scenari) un ruolo vitale l’uso della chat IRC, mediante canali – detti in gergo Command & Control, C&C – protetti da password che vengono utilizzati per veicolare l’attacco.

Grazie alla botnet, si sfrutta la potenza di più computer in due modi ben distinti:

  • il primo è quello di affidarsi a più computer di volontari, che contribuiscono ognuno da casa propria, con il proprio computer, all’attacco;
  • il secondo è quello di infettare altri PC, quindi usare un malware che consenta di effettuare la stessa cosa mediante zombi, ovvero dispositivi infetti e che effettuano l’attacco a propria insaputa.

Ci sono stati molti esempi di botnet scoperte negli ultimi anni: di alcune avevamo parlato anche sul nostro blog, come ad esempio nel caso di Chamois e Smominru. Nella GIF successiva, inoltre, è possibile vedere visivamente l’effetto provocato dalle richieste in massa di una botnet, che aveva operato un attacco DDoS sul network della PlayStation e della Xbox.

via GIPHY

Proteggersi dalle botnet

Gli esperti di sicurezza informatica sono spesso preoccupati dalle botnet perchè, oltre a poter provocare problemi di funzionamento alla rete delle vittime, le fanno anche diventare veicolo inconsapevole di spam o altre attività illecite, spesso completamente all’insaputa del client che, dal canto suo, vede esclusivamente un “rallentamento” sulla rete senza sapere precisamente cosa stia succedendo.

A livello base, è possibile sfruttare i più comuni antivirus per proteggersi dalle botnet e dagli annessi malware. Ovviamente questo in alcuni casi non basta, perchè è necessario prevedere protezioni ancora più specifiche relative ad esempio all’installazione di firewall e scansioni specifiche per rilevare comportamenti anomali sul client, con pattern di comportamento tipici dei dispositivi “zombi“. Un esempio potrebbe essere il software ESET, che è un software di protezione dalle botnet a pagamento piuttosto quotato.

SMSHosting Usa il codice PROMO per uno sconto sul primo acquisto: PRT96919

A livello avanzato, i sistemisti e gli esperti di sicurezza informatica possono sfruttare WireShark (free e open source) per effettuare analisi di traffico ed individuare i pattern tipici delle botnet, ad esempio sulla base delle porte utilizzate dagli stessi oppure delle intestazioni degli header dei pacchetti.

Photo by NASA on Unsplash

Nessun voto disponibile

Che te ne pare?

Grazie per aver letto Cosa sono le botnet? di Salvatore Capolupo su Trovalost.it
Cosa sono le botnet? (Guide)

Articoli più letti su questi argomenti:

Seguici su Telegram: @trovalost