Botnetek, a túlterheléses támadások eszközei Dr. Gyányi Sándor Óbudai Egyetem, Kandó Villamosmérnöki Kar

Informatikai támadások csoportosítása Szivárgás (leakage), amikor a támadónak olyan adatokat sikerül megszereznie, amihez nem szabadna hozzáférnie. Sérülés (corruption), vagyis az informatikai rendszerben található adatokat a támadónak sikerül megváltoztatnia, vagy törölnie. Megtagadás (denial), a megtámadott rendszer működése lehetetlenné válik. (Frederick B. Cohen)

Működésképtelenné tétel Ha a támadó csak kárt akar okozni, nem kell sok időt eltöltenie a behatolással, elegendő a működést lehetetlenné tenni. A számítógépes hálózatok működéséhez a bemenő adatok fogadása és kimenő adatok szolgáltatása is hozzátartozik. Ha működésüket lehetetlenné, vagy elviselhetetlenül lassúvá teszik, akkor az üzemszerű állapot lehetetlen.

Válaszidő 0,1s vagy rövidebb válaszidő esetén a felhasználó a választ azonnalinak érzékeli, így a rendszernek az eredmény megjelenítésén kívül semmilyen egyéb visszajelzést nem kell produkálnia. 1s alatti válaszidők esetén a felhasználó még nem érzi úgy, hogy a munkáját indokolatlanul megzavarnák, de már érzékeli a rendszer lassulását. A rendszernek még nem szükséges a lassulásról visszajelzést adnia. 10s az a határ, amit meghaladva a felhasználó már elkezd egyéb feladatokkal is foglalkozni, vagyis elveszti érdeklődését a rendszerrel szemben. 1-10s közötti válaszidőnél már fontos kijelezni a válasz várható időpontját, és így fenntartani az érdeklődést. (Jakob Nielsen: Usability Engineering)

DoS támadások Denial of Service: szolgáltatás megtagadás. A támadó a célpont informatikai rendszerét próbálja olyan módon túlterhelni, hogy az képtelen legyen a normál, üzemszerű működésre és így az általa nyújtott szolgáltatás nyújtására. Leggyakoribb módszer: túlterhelés.

DDoS Distributed Denial of Service: elosztott szolgáltatás megtagadásos támadási módszerek. A támadó egyidejűleg nagyszámú végpontot használva indítja meg a támadást. Lehetséges a hálózati hozzáférést vagy magát a célpont rendszerét megbénítani.

Hackitivizmus Kellő számú felhasználó összehangolt akciója képes túlterhelni a célpontot. EDT akciója volt az első. Az Anonymous egyik kedvelt módszere. Ha nem vesznek igénybe speciális támadó eszközöket, nehézkes a felelőségre vonás.

Bot, zombi PC A vírusok és a trójai falovak továbbfejlesztése olyan rosszindulatú alkalmazásokat eredményezett, amelyek segítségével az áldozat számítógépe távolról irányíthatóvá válik, és vírusként képes terjedni. Kedvelt elnevezésük a „robot” szó rövidítéséből adódó „bot”.

Botnetek A DDoS támadásokhoz szükséges nagy mennyiségű végpont ilyen távirányított számítógépekből is összeállítható. Központi vezérlés segítségével biztosítható az összehangolt működés.

Botnet részei Botmaster, vagy botherder: a botnet „tulajdonosa”. Ő adja ki a feladatokat. Command & Control (C2) csatorna: a botmaster és a botnet tagok közti kommunikációt biztosítja. Drop server: a botnet működése során keletkezett adatok tárolóhelye. A hálózat tagjai.

Botnet architektúra

Botnetek életciklusa Terjedési fázis: a botnet szervezője igyekszik minél több helyre telepíteni malware-t (tipikusan downloader). Fertőzési fázis: ekkor kerül az áldozat gépére a botnet kliens kódja. C2 csatorna kiépítése: ekkor szerveződnek a fertőzött gépek hálózattá. Támadás: a botnet aktív működésének fázisa.

Új típusú fenyegetések Megjelentek a teljes számítógépes kapacitással rendelkező mobiltelefonok és egyéb elektronikai készülékek. Egyre inkább terjednek az internetre köthető berendezések, amelyek így potenciális célponttá vagy eszközzé válhatnak. Különböző célú hálózatok átjárhatóvá válhatnak.

Mobiltelefon botnet C2 szerver Botmaster Telefon hálózat Botnet

Mi kell egy mobiltelefon botnet kialakításához? Mivel az okostelefonok alapvetően számítógépek, amelyek telefonos csatolófelülettel is rendelkeznek, így tartalmazhatnak sérülékenységeket. Ezek használatával akár rosszindulatú programkód is telepíthető. Jelenleg: 500 millió Android, 400 millió iOS operációs rendszert használó készülék.

Android Botnet? 2012. január: Android.Counterclank. Hivatalos alkalmazásokba került egy komponens, amelyet a Symantec botnet kártevőként azonosított. Ez egy hirdetési termék volt, amiről nem lehetett eldönti, hogy kártevő-e. 2012. július: az Android által használt levélfejlécekkel ellátott kéretlen leveleket találtak, és felmerült a gyanú, hogy egy botnet küldte ezeket. A támadók a Yahoo Androidos alkalmazásának hibáját kihasználva szereztek hozzáférést a tulajdonos postafiókjához. Nem tisztázott, hogy a telefonokról küldték-e a leveleket.

Alkalmazások fertőzése Az alkalmazások telepítésekor engedélyt kér a felhasználótól az egyes erőforrások használatára. Lehetséges rosszindulatú alkalmazást készíteni. Ezeket természetesen szűrni próbálják.

Rosszindulatú mobilalkalmazások Pénzszerzési céllal készülnek. Főként az ellenőrizetlen szoftveráruházak segítségével terjednek. Emelt díjas SMS küldésével bevételt termelnek a készítőknek.

DDoS támadás telefon hálózat ellen Egy megfelelően megírt alkalmazás képes lehet központilag kiosztott számokat automatikusan hívni. Megfelelő ütemezéssel és támadói kliens számmal hosszú időre lefoglalhatók lennének a vonalak. Okozhat életveszélyt?

Lehetséges motiváció Konkurencia ellehetetlenítése. Diszpécserközpontok kiiktatása. Egyéb, komplexebb támadás (akár terrorista akció) kiegészítőjeként zavarkeltés céljából.

Köszönöm a figyelmet!