INNOV.RU
Нижегородский бизнес on-line    /   Новости    /   
НОВОСТИ ТЕЛЕКОММУНИКАЦИЙ: мобильные, компьютерные, интернет, связь, ИТ
18.03.2005г.

Шпионы просачиваются в роботосети хакеров

Более миллиона компьютеров в сети используются для атаки вебсайтов и распространения спама и вирусов.

Огромное количество подобных машин было обнаружено специалистами по защите информации, потративших месяцы для отслеживания более 100 сетей удаленно управляемых машин.

Данные были собраны с помощью компьютеров, регистрирующих все манипуляции, проводимые хакерами с ними.

Тщательное исследование зомбированных компьютеров или так называемых сетей bot net было проведено участниками проекта Honeynet – группой специалистов по защите информации, которые собирали информацию с помощью компьютерной сети, функционирующей в качестве приманки для хакеров с целью выявления методов их работы.

Для сбора информации немецкое подразделение проекта Honeynet создало программное обеспечение для регистрации того, что происходит с машиной при ее подключении к сети.

"Зомби" - это обычные ПК со скрытно установленной специальной программой, известной как "бот", которая также скрытно записывает все переговоры в чатах, и управляется командами через чат. Бот может быть установлен на компьютер с помощью вируса, такого как SoBig или MyDoom, загружен с сайта или установлен хакером непосредственно на компьютер.

Поддельные "зомби" Хольца, позволяют ему шпионить в более чем 100 роботосетях, некоторые из которых содержат до 50 тыс. компьютеров, контролируемых хакерами. Но он также заметил появление новых целевых групп или небольших роботосетей полностью контролируемых одним человеком. Возможно, это попытки защитить роботосети от просачивания путем усиления контроля.

"Эта работа очень важна, так как это единственный путь узнать подобную информацию" - считает Джоннас Ульрих из SANS Internet Storm Center в Квинси, Массачусетс, США. Он сказал, что информация может использоваться правоохранительными органами для преследования хакеров и разработчиками ПО для разрушения хакерских роботосетей.

Наблюдения в течение нескольких месяцев выявили то, что сети bot net, состоящие из сотен и тысяч машин, используются для различных целей. Большинство используются для распространения спама, маршрутизации нежелательных ссылок на компьютеры пользователей, либо в качестве платформы для запуска вирусов.

В основном используют для проведения DDoS-атак (distributed denial-of-service) вебсайтов для выведения их из строя.

Защититься от подобных действий довольно трудно, поскольку машины, входящие в bot-net расположены в разных сетях и даже странах.

DDoS-атаки используются компаниями для устранения конкурентов, получения конфиденциальной информации. По словам исследователей, имея мощь нескольких сотен зомбированных машин можно практически мгновенно вывести из строя любой веб-сайт или компьютерную сеть.

Раньше, провайдеры, для дезактивации хакерских ботов, использовали технологию "реверсного инжиниринга", то есть извлекали из хакерской программы коды доступа и после отключали ее. Сейчас эта технология малоэффективна, так как появились боты, самоуничтожающиеся, при попытке вскрыть их код. "Мы нашли решение этой проблемы" - объясняет Хольц.

Вместо вскрытия кода хакерского бота, шпионы используют программу, разработанную командой Honeynet, называемую "трутень". Она очень похожа на бот, но записывает всю информацию, проходящую через нее, и фильтрует важную в отдельный файл.

Шпионы не рассылают спам и не участвуют в атаках, потому что они запрограммированы не понимать подобные команды. Но, отказ рассылать спам может вызвать подозрение. В интервью журналу New Scientist Хольц сказал, что в нескольких случаях его шпионы были обнаружены, и как результат отключены от сети, а однажды, была произведена ответная атака.

Но Honeynet делают попытки такого обнаружения затруднительными, используя спамерские технологии сокрытия следов деятельности. При соединениях с хакером шпионы используют прокси-серверы, защищающие от обнаружения сервер Honeynet.

Источник: "CNews.ru"

При перепечатке материала ссылка на innov.ru обязательна

Все новости рубрики
 РАЗМЕСТИТЕ СВОИ НОВОСТИ
Внимание! Нижегородские предприятия и организации могут разместить свои новости в разделе "Нижегородские новости",
заполнив ФОРМУ.

 ДЕЛОВЫЕ НОВОСТИ
Нижегородские деловые новости.
 АРХИВ

 НИЖЕГОРОДСКИЕ БАНКИ
Информация о банках Нижегородского региона. Новости. Курсы наличной валюты.

Яндекс.Метрика

© INNOV: создание сайта