Mostra tutti

Cosa sono i BOT e come influenzano il traffico internet mondiale

La metà del traffico internet mondiale non è generato da esseri umani

Secondo il Bot Traffic Report 2016” di Imperva Incapsula ha evidenziato che oltre il 50% del traffico sul web non è generato da utenti “umani” ma da bot. Vediamo di analizzare cosa sono i Bot e come generano questo traffico non umano.

Cosa sono i “Bot”

Il bot (abbreviazione di robot) in terminologia informatica in generale è un programma che accede alla rete attraverso lo stesso tipo di canali utilizzati dagli utenti umani (per esempio che accede alle pagine Web, invia messaggi in una chat, si muove nei videogiochi, e così via). Programmi di questo tipo sono diffusi in relazione a molti diversi servizi in rete, con scopi vari ma in genere legati all’automazione di compiti chel network fa credere all’utente di comunicare con un’altra persona umana. Questi bot migliorano di anno in anno ed è sempre più difficile distinguere un bot da una persona umana.

La maggior parte degli “utenti” che visitano le pagine web non sono esseri umani. Lo rivela un nuovo studio della società di sicurezza Imperva all’interno della sua nota annuale sulle attività dei bot online. Sono infatti i bot i maggiori fruitori del web, programmi sviluppati per eseguire attività automatizzate. Sono i veri lavoratori del web, cercando di eseguire operazioni efficacemente con finalità più disparate, anche “violente” come ad esempio grossi attacchi DDoS.

Il tipo più diffuso di bot programmato per navigare sul World Wide Web è quello dei web crawler, detti anche spider (“ragni”). Questi programmi attraversano le pagine Web “seguendo” i link ipertestuali che trovano nel testo per passare dall’una all’altra, e nel frattempo raccolgono informazioni sui contenuti delle pagine allo scopo di indicizzarle opportunamente nel database principale del motore di ricerca.

Tutti i bot sono responsabili del 52% del traffico web e il numero rappresenta un’indicativa inversione di tendenza visto che da quando Imperva ha memoria (dal 2012) il traffico umano aveva sempre avuto la meglio su quello automatizzato. L’analisi è stata effettuata su una base di circa 17 miliardi di visualizzazioni di pagina su 100 mila domini differenti e sottolinea non solo la rapida impennata dei bot in generale, ma anche una maggiore diffusione dei bot “cattivi”.

 bot, botnet, Bot Traffic Report, internet,

I programmi con finalità aggressive infatti sono stati responsabili del 29% del traffico web complessivo, laddove quelli “buoni” ne hanno prodotto solamente il 23%: “La statistica più allarmante di questa indagine è anche il trend più persistente che osserva”, ha scritto il marketing director di Imperva, Igal Zeifman, annunciando i risultati. “Negli ultimi cinque anni ogni terzo visitatore delle varie pagine web è stato un attack bot”.

In altri termini più del 94% dei 100 mila domini analizzati nel report ha affrontato un attack bot nel periodo di 90 giorni su cui si è basato lo studio della società. I bot entrano ed escono dai siti a prescindere dalla loro popolarità fra gli esseri umani, tuttavia cercano di replicare il comportamento di un utente in carne ed ossa. Fra i bot benefici più attivi abbiamo i feed fetcher, bot che aggiornano la pagina web di un utente su Facebook, e che da soli rappresentano il 4,4% del traffico web.

Abbiamo inoltre bot dei motori di ricerca, spider per l’estrazione di dati a fini commerciali, bot per il monitoraggio dei siti web. Spesso sono del tutto invisibili, se non agli amministratori dei siti, ma altri tipi di bot possono essere riconosciuti molto facilmente: gli spambot ad esempio sono abusatissimi sui social con i loro messaggi relativi al marketing di prodotti, alle campagne politiche, all’attivismo sociale, e ci sono anche spambot totalmente nonsense (non saremmo su internet altrimenti).

A volte non sono gradevoli, ma solitamente non sono pericolosi. Il pericolo si cela soprattutto nei bot utilizzati per l’esecuzione di attacchi DDoS, che hanno occupato il 24% del traffico web complessivo nello scorso anno. Fra questi troviamo malware di varia natura, come Nitol, Cyclone e Mirai, che ha provocato ad ottobre dei malfunzionamenti su internet negli USA. Altri bot possono essere usati per il furto di dati o per la ricerca di eventuali vulnerabilità di sicurezza da sfruttare.

Quella che ci accingiamo ad affrontare potrebbe essere definita la “Bot Age”, l’età dei Bot, e sono ormai molte le società di investimenti che stanno osservando il fenomeno per sfruttarlo al fine di gonfiare ulteriormente i loro capitali.

Analizziamo una botnet

Una botnet è una rete controllata da un botmaster e composta da dispositivi infettati da malware specializzato, detti bot o zombie.

I dispositivi connessi ad Internet che hanno vulnerabilità nella propria infrastruttura di sicurezza informatica possono talvolta diventare parte della botnet e, se l’agente infettante è un trojan, il botmaster può controllare il sistema tramite accesso remoto. I computer infetti possono scagliare attacchi Distributed Denial of Service contro altri sistemi e/o compiere altre operazioni illecite, in taluni casi persino su commissione di organizzazioni criminali.

Applicazioni legali

In generale il termine viene usato per quelle reti capaci di agire con sincronia ed autonomia per fini illegali, ma esistono botnet legali usate per il calcolo distribuito e per studiare la diffusione del malware.

Applicazioni illegali

Le botnet a volte compromettono i computer in cui le difese di sicurezza possono essere violate (credenziali di accesso deboli o corte, firewall mal configurati o software server vulnerabili) e il controllo è ceduto al botmaster, in grado di dirigere le attività di questi computer tramite protocolli di rete come IRC e HTTP/HTTPS.

Alcune botnet possono essere affittate da criminali informatici per una varietà di scopi, come ricatti, attentati e la conservazione di materiale illecito come ad esempio la pedopornografia.

Modalità di funzionamento e uso

I malware/trojan specializzati, non appena assunto il controllo del sistema, devono poter fornire al proprio autore i dati relativi al sistema infettato. Per fare ciò spesso sfruttano i canali IRC e si connettono ad un canale privato protetto da password per dare accesso esclusivo all’autore. Tramite il canale di chat l’autore è in grado di controllare contemporaneamente tutti i sistemi infetti in ascolto sul canale (i quali possono essere anche decine di migliaia) e di impartire ordini a questi, richiedendo immagini dello schermo, indirizzo IP o (ad esempio) fornendo l’hostname/IP di una vittima da attaccare tramite DDoS. I botmaster possono anche controllare i computer zombie tramite le sofisticate reti peer-to-peer (fra cui addirittura Skype), e quindi con protocolli binari e crittografati. Se il bersaglio è dietro un firewall particolarmente severo, è anche possibile che venga usato HTTP/HTTPS per eludere i controlli, dato che la porta 80 è nella whitelist dei firewall di quasi tutti gli utenti: il collegamento sfrutta un server intermedio specializzato che supporta il protocollo direttamente o lo usa come incapsulamento per altri protocolli che devono restare nascosti.

Questi malware sono spesso programmati in modo da spiare il sistema infetto come se fossero spyware, intercettando password ed altre informazioni private ma utili all’attaccante. Possono anche offrire accesso alle macchine infette tramite backdoor oppure offrire servizi proxy che garantiscono l’anonimato in rete a discapito della banda della rete infetta.

Un uso più sofisticato delle botnet è come proxy verso un sistema compromesso: i bot infatti spesso vengono ripuliti dal malware, ma se l’attaccante installa un server su una di queste macchine e ne perde il controllo il danno per lui può essere rilevante. Per ridurre queste penalità, una tecnica usata recentemente è quella del fastflux[2] in cui una macchina fuori dalla botnet fa girare un finto server (per esempio per fare dello spoofing) e le macchine della botnet fungono solo da proxy verso questa macchina.

Con l’aumentare del numero di sistemi compromessi, l’attaccante può sfruttare sempre più potenza di calcolo al fine di indovinare le password dei sistemi che prima risultavano impervi tramite il calcolo distribuito.

Meccanismi di protezione botnet

I malware C&G (Command and Control), punto di forza dell’infrastruttura, possono essere anche una debolezza: i mezzi per accedervi devono essere protetti da altri pirati informatici. Questo livello di protezione è garantito tramite:

  • hosting bulletproof;
  • Dynamic DNS;
  • fast fluxing;
  • domain fluxing.

Domain Fluxing

Per evitare che i domini che consentono l’accesso alle macchine infette vengano bloccati, l’attaccante può usare software che genera dinamicamente nomi di dominio sempre differenti ed usa un proprio sistema DNS. Avendo il controllo sui record DNS, il malware può scambiare velocemente gli IP a cui puntano i nomi di dominio, puntare domini verso altri domini o ancora rinominare ad intervalli causali i domini seguendo un pattern prevedibile dal malware. Questi sono tutti elementi del domain fluxing, usato spesso assieme ad architetture robuste (come stella, multi-server, gerarchica e randomizzata) per evadere i blocchi delle autorità e degli Fornitori di Servizi Internet.

Modello client-server

Una rete basata sul modello client-server, dove i singoli clienti richiedono i servizi e le risorse da server centralizzatidefault

Il modello client-server è apparso sui primi tipi di Internet botnet ed è stato generalmente basato su IRC o su siti web contenenti liste di comandi predefinite. IRC è un protocollo testuale facile da implementare e le botnet basate su esso hanno agenti infettanti vantaggiosamente piccoli, che richiedono poca banda di rete e utilizzano metodi semplici per la comunicazione. Questo tipo di canale, però, può essere inibito da semplici filtri basati su parole chiave, anche se l’agente crea nuovi canali di chat casuali: infatti la maggior parte delle grandi botnet usavano domini ed hosting protetto anziché IRC nella loro costruzione (vd. Rustock botnet, Srizbi botnet).

Con il tempo il modello client-server è diventato troppo facile da bloccare ed i botmaster hanno optato per l’uso di protocolli peer-to-peer.

Peer-to-peer Botnet

Una rete peer-to-peer (P2P), in cui interconnessa nodi (“peers”) per condividere le risorse tra loro senza l’uso di un sistema amministrativo centralizzato

la maggior parte delle botnet basato sul modello client-server sono stati trovati in una questione di tempo, gli hacker si sono spostati verso il P2P come alternativa per evitare il blocco di botnet. Alcuni sono stati conosciuti per utilizzare la crittografia come un modo per proteggere o bloccare la botnet da altri, la maggior parte del tempo quando usano la crittografia è una crittografia a chiave pubblica e ha presentato le sfide sia in attuazione e la rottura.(Gameover ZeuS, ZeroAccess botnet)

Alcune botnet più recenti sono quasi interamente P2P. il comando e controllo è incorporato nella botnet piuttosto che basarsi su server esterni, evitando così ogni singolo punto di errore e di eludere molte contromisure. I comandanti possono essere identificati solo attraverso la chiave di sicurezza, e tutti i dati ad eccezione del binario possono essere crittografati. Ad esempio, un programma spyware può crittografare tutte le password sospette con una chiave pubblica che è hard-coded in esso, o distribuito con il software bot e solo con la chiave privata (conosciuta solo dagli operatori di botnet) possono i dati acquisiti dal bot essere letti.

Nel metodo P2P di C&C il bot conosce un elenco di peer di cui si può inviare comandi al e che sono passati ad altri peers più in basso livello. L’elenco tende ad essere circa 256 colleghi, che permette di essere abbastanza piccolo per poter consentire i comandi e per essere rapidamente trasmessi ad altri peers e rende più difficile interrompere il funzionamento della botnet se i principali numeri di peers sono tirato giù.

Diventa molto difficile, oggi, prendere delle decisioni di marketing quando il tuo account di Google Analytics viene alterato dai BOT. Sembra quasi fantascienza, ma è la realta! Di seguito una iconografia dei Bot “Buoni” su internet.

bot, botnet, Bot Traffic Report, internet,

Quali sono i Good Bot

  • Feed fetcher
  • Search engine bots
  • Commercial crawlers
  • Monitoring bots

Credits:

libro vita da hacker