Berta Sándor

Botnetekbe törnének be amerikai kutatók

Tengerentúli informatikusok egy olyan módszert fejlesztettek ki, amelynek segítségével kikémlelhetik a botnetekben zajló kommunikációt.

Az amerikai kutatók nem csak arra képesek, hogy lehallgassák a botnetek központi számítógépei és a hálózatot alkotó többi PC közötti kommunikációt, hanem arra is, hogy beavatkozzanak a kapcsolatba, és azt úgy módosítsák, hogy akár ki is kapcsolhassanak egy botnetet. Juan Caballero és kollégái, Pongsin Poosankam, Christian Kreibich és Dawn Song a módszert részletesen leírták a Dispatcher: Enabling Active Botnet Infiltration using Automatic Protocol Reverse-Engineering című anyagban.

Amennyiben a megoldás sikeres, úgy egy nagy lépést lehetne tenni a sok felhasználó és cég életét megkeserítő botnetek kikapcsolására, ezzel pedig számos probléma megoldása is könnyebbé válna. Elég például csak a kéretlen elektronikus reklámlevelekre gondolni, amiknek milliárdjait szintén ilyen hálózatok segítségével küldik el a spammerek, de nehezebbé válna a koordinált online támadások végrehajtása is egyes intézmények vagy szervezetek ellen.

Némelyik botnet több mint egymillió, kémprogramokkal megfertőzött számítógépből épül fel, így nem véletlen, hogy a bejelentés azonnal nagy érdeklődést váltott ki. A botnetek kikapcsolásának lehetőségét már régóta kutatják a szakemberek, és most komoly lépést sikerült tenniük. Juan Caballero és három kollégája egy virtuális számítógép segítségével elemezték a botnetek felépítését és azok kódjait. Az általuk kifejlesztett eljárást beépítették a Dispatcher nevű szoftverbe, és így nemcsak beavatkozni tudtak a botnetek belső kommunikációjába, hanem azt módosíthatták is.

A módszert sikeresen tesztelték a MegaD nevű hálózaton. Sikerült úgy módosítaniuk az adatátvitelt, hogy a központi számítógép nem küldött több spam e-mailt a többi PC-nek. "Egy botnet parancsnoki és ellenőrző protokolljának megértése elengedhetetlenül szükséges ahhoz, hogy előre láthassuk a tevékenységeit és beszivároghassunk a rendszerbe" - írták a dokumentumhoz kiadott előszóban Caballero és kollégái.
A négy szakember az új módszert bemutatja az Association for Computing Machinery (ACM) által szervezett Conference on Computer and Communications Security nevű rendezvényen.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • bakagaijin #6
    Szerintem nem. Beavatkoz: pl. blokkol. Módosít: lecseréli az utasítást.
  • kvp #5
    Egyik sem varhato a kozeljovoben. A legtobb modern botnet nem rendelkezik kozponti geppel, teljesen elosztottak, mint a gnutella rendszer. Ha visszafejtjuk a protokollokat, akkor nem csak blokkolni lehet oket, hanem nehany gep felett at is lehet venni az iranyitast. Ha a vezerlocsatornan kepes egy tamado iranyitonak kiadni magat, akkor akar az egesz halozatot le lehet nyulni az eredeti keszitojetol. Ez kb. az, amikor valaki feltori egy taviranyitasu katonai robot kommunikaciojat es nem csak blokkolja, hanem a atveszi az iranyitast es a keszitoje vagy egy harmadik celpont ellen forditja azt. A problemat a titokositas hasznalata jelenti, tehat az, amikor a vezerlesi parancsok digitalisan ala vannak irva egy olyan kulccsal amit a botnet tagjai csak olvasni tudnak, de nem tudjak vele alairni. Ilyenkor az adott titkositas feltorese nelkul csak megzavarni vagy blokkolni lehet a botnetet (esetleg belepni tagkent), de az iranyitast atvenni nem. Tipikus peldaja egy ilyen jol megtervezett es kiepitett rendszernek az xbox live szolgaltatas.
  • globint #4
    Minden hatalmat a szovjeteknek!
    NEM-NEM-NEM-NEM-NEM
    Új idők járnak!
    Minden hatalmat az amcsiknak!
  • djw #3
    szóval most már más irányítja a botneteket... az amerikai kormány...?
  • teddybear #2
    Még jobb lenne, ha a botnet központi szervere a vezérlést végző számítógépre ráküldene egy lokációs programot. Meg némi vírust, hogy összeomoljon az egész botnet.
  • astrobal #1
    "így nem csak beavatkozni tudtak a botnetek belső kommunikációjába, hanem azt módosíthatták is."
    beavatkozni, módosítani, nem ugyanaz?