Почему мы не можем остановить ботнеты
Пользователям важна цена, а не безопасность
К сожалению, технически почти невозможно просто отключить от интернета зараженные устройства и отследить создателей ботнетов. Когда покупатели идут в магазин за камерой безопасностью, им важны функции, известность бренда и цена
Редко кто-то принимает во внимание безопасность. Из-за того, что устройства интернета вещей такие дешевые, вероятность того, что для них выпускают регулярные обновления, низка
Но пока люди продолжают покупать дешевые и небезопасные устройства, количество уязвимостей растет.
Со стороны производителей нет особого желания меняться. Большинство из них не сталкивается с последствиями продажи небезопасных устройств.
Сложно/нет необходимости отслеживать трафик при небольшой атаке
Ботнеты обычно контролируются центральным командным сервером. В теории нужно отключить центральный сервер, отследить трафик к зараженным устройствам, чтобы очистить их и обезопасить. В теории это просто, но это совсем не так.
Когда ботнет такой большой, провайдеры могут объединиться, чтобы понять, что происходить, и заблокировать трафик. Так было с ботнетом Mirai.
Но когда это что-то небольшое типа спама, провайдеры обычно не обращают на это внимание. Некоторые провайдеры предупреждают пользователей, но это такой небольшой масштаб, что предупреждения никак не затрагивают ботнет
Кроме того, очень сложно отследить трафик ботнета.
Проблематично обновлять уязвимые устройства
Некоторые компании безопасности пытаются работать с интернет-провайдерами, чтобы выявлять зараженные устройства. Например, компания CrowdStrike сотрудничает с интернет-провайдерами по всему миру и сообщает им, в каких устройствах есть уязвимости. Провайдеры должны связываться с владельцами таких устройств и призывать их починить.
Но проблема в том, что таких устройств могут быть миллионы, и на них нужно устанавливать патчи безопасности. Плюс удаленная опция апгрейда часто отсутствует. Кроме этого некоторые устройства больше не поддерживаются или сделаны так, что на них нельзя установить патчи. Поэтому даже если устройство инфицировано, но оно по-прежнему работает, владельцы не особо хотят избавляться от него и покупать новое.
Защита от DDoS-атак
Теперь немного слов о способах защиты от DDoS-атак. К сожалению, в виду отсутствия совершенно надежных и отказоустойчивых систем, полностью защититься от подобных атак на сегодняшний день невозможно. Однако, существуют превентивные, ответные меры и способы устранения последствий таких «нападений».
Кажущиеся очевидными такие способы защиты, как аренда VPS-хостинга или выделенного сервера не принесут желаемого результата. Такое оборудование, конечно, рассчитано на высокую нагрузку, но при возникновении DDoS-атак арендуемый сервер не отключится, а будет работать в таком режиме, при котором скорость загрузки сайта станет очень и очень медленной (равносильной отказу в работе Интернет-ресурса). Поэтому на сегодняшний момент наиболее эффективным способом борьбы с текущей и защиты от возможных в будущем DDoS-атак является использование специальных сервисов, обеспечивающих бесперебойную работу сайта при любом уровне атаки.
Работа таких сервисов основана на предоставлении услуг Анти-DDoS-хостинга или фильтрации трафика методом проксирования. Техническое оснащение таких сервисов – высокопроизводительные, современные серверы, оснащенные многоуровневыми степенями защиты и способные выдерживать различные, в том числе критические, нагрузки. Стоимость одного такого сервера может достигать милиона (!) рублей, но он весьма быстро окупается, так как начальная стоимость услуг таких сервисов – от 3000 рублей в месяц. Защита при помощи Анти-DDoS-хостинга считается менее эффективной, но стоимость ее ниже. Наибольший эффект достигается при использовании фильтрации входящего трафика методом проксирования, при котором происходит детектирование паразитного (атакующего) трафика и отведение его «в сторону», в то время как полезные (реальные) посетители сайта могу продолжать пользоваться web-ресурсом без ограничений. Единственный минус в таком подходе — некоторая задержка (простой) в работе сайта. Связано это с необходимостью перенаправления DNS-серверов действующего хостинга на DNS-серверы Анти-DDoS-компании. Длительность такого перенаправления — от 15 минут до 72 часов.
Но это не означает необходимость постоянного «присутствия» такой услуги (и платы) в «жизни» сайта. Возможно попробовать достичь соглашений для пользования услугами таких компаний в периоды DDoS-атак, в то время как «основная» работа сайта (при отсутствии атак) будет происходить на сервере компании-хостера (за обычную абонентскую плату). Но классическая схема «подстраховки» такая: с Анти-DDoS-компанией заключается договор на абонентское обслуживание, в рамках которого осуществляется постоянная абонентская плата. При обнаружении DDoS-атаки производится переключение сайта на DNS-серверуы такой компании, однако при этом потребуется внести дополнительную плату за пользование фильтрующим каналом.
По одному из возможных вариантов развития событий при обнаружении DDoS-атаки и последующем отключении вашего сайта можно подождать некоторое время и произвести его пробное включение. По результатам анализа после такого включения можно будет или продолжить нормальную работу ресурса (при отсутствии угрозы) или обращаться в Анти-DDoS-компанию.
Средства защиты от ботнетов
1. В первую очередь это анитивирусные программы и комплексные пакеты для защиты от интернет-угроз с регулярно обновляемыми базами. Они помогут не только вовремя обнаружить опасность, но и ликвидировать ее до того, как ваш превращенный в зомби верный «железный друг» начнет рассылать спам или «ронять» сайты. Комплексные пакеты, например Kaspersky Internet Security 2009, содержат полный комплект защитных функций, управлять которыми можно через общий командный центр.
— Антивирусный модуль в фоновом режиме выполняет сканирование важнейших системных областей и контролирует все возможные пути вторжения вирусов: вложения электронной почты и потенциально опасные веб-сайты.
— Брандмауэр следит за обменом данными между персональным компьютером и Интернетом. Он проверяет все пакеты данных, получаемые из Сети или отправляемые туда, и при необходимости блокирует сетевые атаки и препятствует тайной отправке личных данных в Интернет.
— Спам-фильтр защищает почтовый ящик от проникновения рекламных сообщений. В его задачи также входит выявление фишинговых писем, с помощью которых злоумышленники пытаются выудить у пользователя информацию о его данных для входа в онлайновые платежные или банковские системы.
2. Регулярное обновление операционной системы, веб-браузеров и других приложений, разработчики которых обнаруживают и ликвидируют многие бреши в их защите, а также слабые места, используемые злоумышленниками.
3. Специальные программы-шифровальщики защитят ваши персональные данные, даже если бот уже проник на компьютер, ведь для доступа к ним ему придется взломать пароль.
4
Здравый смысл и осторожность. Если вы хотите оградить свои данные от разного рода угроз, не стоит скачивать и устанавливать программы неизвестного происхождения, открывать архивы с файлами вопреки предупреждениям антивируса, заходить на сайты, которые браузер помечает как опасные, и т.д
Благодарим «Лабораторию Касперского» за помощь в подготовке материала
Законное использование
В IRC они используются для управления каналами обсуждения или для предложения пользователям различных услуг, таких как игры, статистика канала и т. Д. Подключаясь к сети позволяет им давать друг друг статус оператора канала в безопасном режиме, чтобы эффективно контролировать наводнение атаку или другие атаки . Совместное использование списков пользователей, банов и любой другой информации делает их более эффективными.
Есть и другие законные способы использования ботнетов, такие как веб-индексирование : объем данных, которые необходимо исследовать, и необходимое использование распараллеливания требует использования бот- сетей .
Виды
Теперь давайте узнаем, зачем кому-то вообще управлять целой армией компьютеров. Зачем нужны все эти ботнеты. А ведь они пользуются большим спросом среди киберпреступников по всему миру. Вместо одного компьютера, который бы делал всю работу, здесь используется целая сеть устройств, расположенных в разных точках планеты, — так меньше вероятность быть обнаруженным.
У каждого новообращенного бота свой IP-адрес, из-за чего мастера сложно найти и заблокировать. Поскольку эти адреса постоянно меняются, программное обеспечение непрестанно борется с входящим вредоносным сетевым трафиком.
DDoS
Ботнеты широко применяются для проведения DDoS-атак (Distributed Denial of Service – распределенное доведение до «отказа в обслуживании»). Это самый популярный вариант.
Данный тип атак применяется для того, чтобы «положить» сайт конкурента или целый сервер. Сайты могут оставаться недоступными долгое время, в связи с чем бизнес терпит серьезные убытки.
Но не всегда это прямой заказ. Зачастую хакеры шантажируют владельцев бизнеса и выдвигают им свои условия. Если те будут не согласны и не заплатят, то преступники начнут кибератаку.
Ботнет для майнинга
В 2009 году, когда впервые был создан Bitcoin, весь мир бросился генерировать новую криптовалюту. Но чтобы ускорить процесс и зарабатывать как можно больше, одного компьютера будет недостаточно. Так и появился майнинг через ботнеты — паразитирование на чужом устройстве, а точнее, на ресурсах его видеокарты для выработки мощностей и генерации цифровых денег.
И таких ботнетов по созданию ферм существует множество. Если посмотреть на стоимость одного биткоина, можно сделать вывод, что они достаточно широко используются.
Скликивание
Каждое цифровое устройство — компьютер, планшет или мобильный телефон — оставляет свой цифровой след. А это значит, что их можно использовать для кликов по рекламным объявлениям. Каждый переход по объявлению стоит рекламодателю денег, поэтому при помощи ботнетов для скликивания мошенники могут каждый месяц тысячами сливать бюджет рекламодателя.
Другое применение таких ботов — регистрация своих же сайтов в Google AdSense и скликивание объявлений на них. Зачем? Затем, что за каждый клик пользователя по объявлению владелец партнерского сайта получает комиссионное вознаграждение. Представьте, если в руках мошенника находится целая сеть, сколько он может заработать таким способом. Он в плюсе, а рекламодатели в минусе.
Email-спам
Многие из сталкивались со спамом по электронной почте. То вам предлагают бесплатно 5000 биткоинов, то вы выиграли миллион, то ваши пикантные фото оказались на «одном из устройств» и, если вы не заплатите, то они будут выложены в сеть. Всё это — спам-ботнеты.
Как отсеиваются спамные письма: вы получаете подобное письмо с одного из почтовых серверов, помечаете его как «спам» и оно перемещается в специальную папку. В дальнейшем все нежелательные письма с данного почтового сервера будут отправляться в эту папку по умолчанию.
Но если в распоряжении мошенника множество уникальных IP-адресов, то массовая отправка становится более успешной — большинство писем просто не попадает в черный список, их открывают ничего не подозревающие получатели и заражают свой компьютер.
Виды ботнетов для майнинга
Виды ботнетов для майнинга разделены на две подгруппы. Определяют:
- Ботнеты с единым центром — все зараженные устройства держат соединение отдельно с единым центром в лице устройства хакера. Этот центр отправляет им команды и принимает результаты деятельности.
- Децентрализованные ботнеты — сети зараженных устройств, которые не имеют связи с единым центром. В этом случае, “зомби-машины” передают команды горизонтально — друг к другу. Каждый бот имеет список адресов из нескольких “соседей” и передает/получает информацию от них. А центральному устройству хакера достаточно передать команду лишь одному ПК, чтобы она пошла дальше уже самостоятельно.
Этап 2. Разработка
Каждый бот имеет две части – фронтэнд и бэкэнд. Поговорим о каждой из них.
Этап 2.1. Бэкэнд – начинка
Бэкэндом называют программную часть продукта, в которой прописан алгоритм поведения виртуального помощника. По нему будет работать бот.
Чтобы написать бота с нуля, потребуется разобраться в языке программирования. Необходим тот, который будет поддерживать Web API — программный интерфейс приложения.
Как мы уже говорили выше, сейчас большая часть из них пишется при помощи Javascript и Python — это языки программирования, которые нужно изучить перед тем, как начинать создавать своего бота. Сами боты работают на основе Node.js и PHP — платформах, которые обеспечивают выполнение сценариев бота.
Вот несколько популярных:
- Chatfuel. Англоязычная платформа средней сложности. Созданный бот может быть интегрирован с базой данных, принимает оплату, может учиться даже в бесплатном тарифе. Платный тариф — 15 долларов в месяц.
- manychat.com. Можно легко создать бота за минуты. Помогает автоматизировать маркетинг, создать мини-воронки и календарную рассылку. Бесплатный.
- onsequel.com. Сложный англоязычный интерфейс. С помощью шаблонов можно создавать персональных и публичных ботов. В процессе создания можно проверить его работоспособность и внешний вид в мессенджере. Бесплатный. ;
- botmother.com. Русскоязычный, для легкого создания ботов по продуманному алгоритму. Через него можно сделать бота, который сможет принимать оплату и заказы, информационного бота. Платный, около 15 долларов в месяц.
Когда бэкэнд будет готов, он собирается с фронтэндом, о котором мы сейчас поговорим.
Вот так выглядит начало сборки в бэкэнд через сайт manychat.com:
Как собирается Manychat
Этап 2.2. Лицо бота (фронтэнд)
Обычно фронтэнд реализуют через сайты, мессенджеры или социальные сети. Вот несколько популярных и известных платформ, где бота можно встретить чаще всего:
- Facebook messenger. Это одна из наиболее развитых платформ, которую посещают более 1,2 миллиардов людей в месяц, а также более 100 000 ботов. Под эту соцсеть разработали множество самых разных ботов от регистрации на рейс до оформления платежей.
- Viber. В этом мессенджере можно наладить постоянное общение с клиентами. Здесь чаще всего работает интерактивное общение между людьми и ботами. Можно собрать рассылку, которая принесет заработок.
- Telegram. Один из самых популярных среди мессенджеров для ботов. Здесь можно найти помощников от «Сбербанка», «Почты России», издания «Медуза» и многих других. Функционал, который поддерживается в этой системе, огромный, сравнимый с Фейсбуком.
- «ВКонтакте». Для этого приложения боты создаются через API. Общаться с клиентами можно от лица сообщества, а не только от имени обычных людей. Можно отправлять не только текст, но и фото, видео, другие файлы. Много вариантов взаимодействия, но некоторых кнопок нет, как и шаблонов уведомлений.
Чтобы создать бота, нужно выбрать платформу, пройти регистрацию и выполнить все шаги. Часть платформ позволяет создавать ботов быстро из шаблонов, но и бот получится простым. Для более сложных ботов лучше привлечь программиста, который напишет его на специальном языке.
Можно заказать создание бота или готового простого бота в компаниях, которые на этом специализируются. Они помогут создать и интегрировать бота на сайт или в переписку с пользователями.
Чтобы написать бота самому, нужно воспользоваться шаблонами на платформах или изучить языки программирования. На это уйдет намного больше времени, поэтому, если знаний нет, то лучше воспользоваться услугами компании, которая может сделать бота.
Сколько стоит бот?
Сегодня обзавестись чат-ботом достаточно просто. Платформ для создания ботов в Сети — великое множество, причем есть среди них и те, где создать простейшего бота можно абсолютно бесплатно. Правда, и заработать на нем вряд ли получится. Другие сервисы работают по подписке.
Для примера, стоимость создания чат-бота для Telegram и дальнейшее пользование им начинается от 1000 рублей/месяц.
На платформе «Сбер Бизнесбот» обещают, что настроить бота можно буквально за три минуты, при этом он позволит сократить расходы на поддержку клиента на 20%.
Стоимость создания Telegram-бота на рынке фриланса может достигать от $50 до $5 тыс., в зависимости от задачи и уровня разработчика. Ориентировочно Антипов оценивает несложное стандартное приложение, реализованное в виде бота, в $150-300. При этом опытному программисту на создание собственного бота потребуется всего 20-30 минут на изучение документации. «Если у вас нет опыта написания кода, тогда для вас могут подойти сервисы-конструкторы, позволяющие воплотить 70% идей без обращения к специалистам — такие как магазины/чаты поддержки/оказание каких-либо услуг.
Более сложные и продвинутые решения для корпораций и Enterprice-сегмента — вотчина специализированных компаний-разработчиков. Они могут создавать ботов с нуля или использовать свои платформы с искусственным интеллектом для того, чтобы делать ботов качественнее и быстрее. Накопленная диалоговая база позволяет искусственному интеллекту чат-бота правильнее и грамотнее общаться с клиентом, эффективнее понимать его запросы и давать более уникальные ответы.
Именно такие боты интересны банкам, страховым компаниям и сервисным платформам. Стоимость Enterprice-решений измеряется миллионами и десятками миллионов рублей. Бизнес видит смысл в таких затратах, поскольку умные решения могут полноценно заменять большую долю операторов контакт-центров и любого другого фронт-офиса. Они общаются на одном языке с клиентами, имеют глубокую интеграцию с бизнес-системами компании-партнера и предоставляют разветвленный сервис для конечного клиента. Так, специализированные боты на базе TalkBank Platform позволяют провести клиента из пункта А в пункт Б в рамках бизнес-процесса партнера максимально быстро и эффективно с высоким уровнем конверсии
Это важно не только для компании-партнера, но и для клиента, так как ему необходимо быстрое распознавание его запросов и эффективное решение конкретно его ситуации, например, когда речь идет о совершении транзакции
Как защититься?
Систему можно сделать более отказоустойчивой следующими способами:
- грамотно настроить сервер (заблокировать echo-команды, установить лимит на использование ресурсов системы и т. д.);
- оперативно обнаруживать и устранять уязвимости в ПО;
- приобрести специальный сервис и оборудование для защиты;
- фильтровать и блокировать трафик при помощи межсетевых экранов и списков контроля доступа;
- перенаправлять вредоносный трафик на несуществующий сервер(блэкхолинг), либо обратно на компьютер нападающего;
- наращивать ресурсы;
- использовать распределение и дублирование систем, чтобы выход из строя нескольких элементов не подрывал функционирование в целом.
Эти меры не гарантируют полную безопасность, но в совокупности существенно снижают риск отказа системы.
Для защиты конкретного сайта от нападения достаточно разместить его на устойчивом хостинге, где применены вышеперечисленные меры безопасности.
Что это такое
Ботнет (англ. botnet) — это компьютерная сеть, в которой каждое устройство с доступом в интернет заражено вредоносной программой и управляется бот-мастером.
Первые ботнеты начали появляться в 2000-х, и с каждым годом их количество стремительно росло. И не просто так. Это прибыльный и поэтому лакомый бизнес для хакеров. Применение таким вредоносным компьютерным сетям находят во многих сферах деятельности, где есть выход в интернет.
Как это происходит: бот, который находится в составе ботнета, атакует и поражает незащищенное устройство или сайт, а затем управляет им в своих целях. Так расширяется сеть и создается новый источник атак. Это может быть персональный компьютер на любой ОС, корпоративный сайт и даже ваш новенький умный пылесос или чайник.
Они создаются и используются для вымогательства денежных средств, кражи персональных данных, майнинга, слива рекламных бюджетов (автоматического скликивания объявлений).
Владельцы зараженных устройств могут даже не подозревать, что их компьютер или чайник уже являются частью сети ботнет. К счастью, разработчики антивирусных программ и ПО в сфере кибербезопасности, банки и такие сервисы, как BotFaqtor, вычисляют их и разрабатывают защитные программы. И даже несмотря на то, что различным структурам удается сократить их распространение, борьба с ними уже превратилась в игру в кошки-мышки. Мошенники находят лазейки и избегают системы защиты.
Основные виды использования вредоносных ботнетов
Основной характеристикой ботнетов является объединение нескольких отдельных машин, иногда очень многочисленных, что делает желаемую деятельность более эффективной (поскольку у нас есть возможность использовать много ресурсов), но ее также труднее остановить.
Использование ботнетов
Вредоносные ботнеты в основном используются для:
- Рассылка спама о незаконной торговле или манипулировании информацией (например, ценами на акции);
- Осуществлять фишинговые операции ;
- Выявлять и заражать другие машины, распространяя вирусы и вредоносные программы ( вредоносное ПО );
- Участвовать в групповых атаках типа «отказ в обслуживании» ( DDoS );
- Генерировать оскорбительные клики по рекламной ссылке на веб-странице ( мошенничество с кликами );
- Сбор информации о скомпрометированных машинах (кража и последующая перепродажа информации);
- Использовать вычислительную мощность машин или выполнять распределенные вычислительные операции, в частности, для взлома паролей ;
- Украсть пользовательские сеансы путем заполнения учетных данных ;
- Осуществлять незаконные торговые операции, управляя доступом к сайтам продаж запрещенных или контрафактных продуктов с помощью быстрых , одно- или двухпоточных методов или методов RockPhish;
- Майнинг криптовалют , например биткойнов .
Мотивация хакеров
Спам : чтобы отправлять больше писем.
DDoS : отправьте больше атак на сервер, чтобы он перестал работать.
Брутфорс : поиск пароля быстрее.
Экономическая мотивация
Экономический аспект имеет первостепенное значение: размер ботнета, а также возможность простого контроля являются элементами, которые способствуют привлечению преступной деятельности, как для владельца ботнета (иногда называемого «нарушителем» или «ботмастером»), так и для пользователи, которые чаще всего пользуются услугами ботнета для выполнения конкретной задачи (рассылка спама, компьютерные атаки, отказ в обслуживании, кража информации и т. д.). В апреле 2009 года ботнет из 1 900 000 машин, обнаруженный компанией Finjian, приносил ее «ботмастерам» ориентировочный доход в 190 000 долларов в день.
Идеологическая мотивация
Помимо экономического аспекта, компьютерные атаки могут стать оружием пропаганды или возмездия, особенно во время вооруженных конфликтов или во время символических событий. Например, во время конфликта между Россией и Грузией в 2008 году грузинская сеть подверглась множественным атакам (чтобы сделать ее недоступной или взломать официальные сайты). В 2007 году было совершено крупное нападение на Эстонию : пираты мотивировались сносом памятника русским солдатам из центра эстонской столицы. Считается, что в начале 2010 года Вьетнам стоял за ботнетом, направленным на подавление политического инакомыслия.
Личная мотивация
Месть или шантаж также могут быть частью мотивации злоумышленников, причем финансовый аспект не обязательно имеет первостепенное значение: плохо оплачиваемый сотрудник или проигравшие онлайн-игроки могут стремиться отомстить работодателю или победителю игры.
Заключение
Я рассмотрел наиболее простые способы для защиты web сервера от не менее простых ddos атак, которые больше похожи на баловство. Серьезная атака, которая просто зальет весь входящий канал сервера, даже не заметит наших защит. Но тем не менее, мне приходилось убеждаться в эффективности этих способов в отражении некоторых атак.
Существует до сих пор огромное количество веб серверов, которые вообще никак не защищены даже от утилиты ab Я знаю о чем говорю, так как мне попадаются в работу такие серверы. И есть так же много всяких ботов и простых программ, которые можно найти на просторах интернета и побаловаться, заваливая сайты, которые не готовы к нагрузкам вообще.
Есть еще один способ, такой же простой, как я описал, и эффективный от ботов, которые не понимают редиректов и кукисов. Не стал его описывать, так как не на чем проверить, да и просто устал писать статью, она получилась очень большая. Писал и редактировал ее долго, собирая скрипты и настройки по разным серверам и вспоминая, что я когда-то делал. Потом проверял все это отдельно.
Суть защиты в том, что с помощью nginx выдаем пользователю определенную cookies, а потом редиректим на запрашиваемую страницу. Если бот не понимает кукисов или редиректов, то он отваливается. Нормальные пользователи ничего не замечают. Возможно позже я отдельно расскажу про этот способ и дополню статью. А пока все. Буду рад замечаниям по существу в статьях.
Онлайн курс по Linux
Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Administrator Linux. Professional» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров.
Что даст вам этот курс:
- Знание архитектуры Linux.
- Освоение современных методов и инструментов анализа и обработки данных.
- Умение подбирать конфигурацию под необходимые задачи, управлять процессами и обеспечивать безопасность системы.
- Владение основными рабочими инструментами системного администратора.
- Понимание особенностей развертывания, настройки и обслуживания сетей, построенных на базе Linux.
- Способность быстро решать возникающие проблемы и обеспечивать стабильную и бесперебойную работу системы.
Проверьте себя на вступительном тесте и смотрите подробнее программу по .