Разрешите сайту отправлять вам актуальную информацию.

15:59
Москва
22 ноября ‘24, Пятница

Чиновники будут бороться с ботнетами

Опубликовано
Текст:
Понравилось?
Поделитесь с друзьями!

Ботнеты стали наносить столько вреда, что внимание на них обращают не только специалисты антивирусных компаний, но и государственные деятели. В Германии 15 сентября стартует программа по борьбе с зомби-сетями, на которую потратят около $2,7 млн. Реальный эффект от подобной инициативы возникнет, если она будет иметь глобальный характер, считают эксперты.

Программа по борьбе с ботнетами, или зомби-сетями, запускается Министерством внутренних дел Германии, ее техническую поддержку будет осуществлять Федеральная комиссия информационной безопасности. По данным из описания проекта, его основная цель -- исключить Германию из топ-10 списка стран с наиболее крупными и активными ботнетами.

Пользователи, компьютеры которых оказались зараженными и включенными в зомби-сеть, будут получать уведомления по e-mail и телефону. Кроме того, доступ в сеть с их компьютеров будет отключен до полного излечения. Пользователи зараженных компьютеров будут переправляться на специальный сайт, на котором в доступной форме даются разъяснения, что такое ботнет, а также содержатся средства для лечения зараженных компьютеров.

Если ни одно из содержащихся на сайте программных средств не помогло, провайдер обязан оказать пользователю помощь, используя собственную техническую поддержку. Отдельно отмечается, что программа абсолютно бесплатна для рядовых пользователей.

Сейчас к инициативе немецких властей присоединились пять провайдеров, и в случае успеха программы ее обещают расширить до общеевропейского уровня.

Немецкий опыт

«Если в Германии удастся реализовать данную инициативу централизовано, то, вероятнее всего, эта затея даст положительные результаты, - высказал свою точку зрения в беседе с Infox.ru руководитель Центра Вирусных исследований и аналитики ESET. – Однако с точки зрения технической реализации остается много "белых пятен". Например, непонятно, откуда будут браться данные об активности ботнетов и каким образом ее будут вычислять. Ботсети работают по http-протоколу, и их поведение схоже с поведением веб-браузера, поэтому делать какие-то серьезные прогнозы об эффективности немецкой программы пока еще рано».

По словам эксперта, современные ботнеты можно разделить на два типа: первые имеют централизованное управление, другие - распределенное.

«Последний тип менее популярен в данный момент времени -- такого рода ботнеты сложнее администрировать, а также трудно защитить от кражи, - рассказал Александр Матросов. – При централизованном управлении с использованием так называемой админки (учетной записи администратора - Infox.ru), для прекращения функционирования ботнета достаточно закрыть его панель управления. Правда в реальных условиях опять-таки все несколько сложнее. Но успешные прецеденты были, например с нашумевшим ботнетом Mariposa, который удалось закрыть в конце прошлого года».

Инициатива, подобная немецкой, в России возможна, но существует множество трудностей, считает эксперт.

«В данном случае возникает много организационных препон, - рассказал Александр Матросов. – И в первую очередь непонятно, зачем это нужно провайдерам? Я пока еще не верю в их сознательность, а подобного рода инициатива только добавит им лишней головной боли».

«Инициатива возможна и нужна, согласился с представителем ESET генеральный директор компании Group IB Илья Сачков. – Технически Россия уже к этому готова. Нужна воля силовой структуры и желание государства противостоять DDoSатакам и ботнетам. Кстати, DDoS-атаки -- не самое грозное оружие ботнетов. Например, бот-сети направленные на кражу банковских ключей наносят гораздо больший ущерб. Особой специфики нет – надо просто начать действовать».

Российская компания Group IB участвует в программе, начатой немецким правительством.

По данным компании Group IB, за последние годы (2007-2010 год) в России наблюдались следующие тенденции для бот сетей.
«Мы участвуем в этой программе, так как обладаем большим количеством информации о ботнетах, полученной в ходе расследования и в ходе мониторинга бот-сетей. Мы обмениваемся информацией не только в рамках этой программы, но и в рамках нескольких международных проектов, -- рассказал Илья Сачков. – Суммарно мы контактируем в режиме 24/7 с 43 странами мира. Германская программа способна снизить количество «немецкого трафика» (а сети в Германии хорошие, так как трафик качественный) в общей статистики DDoS-атак. Но в целом она имеет смысл только в рамках международного проекта. Пока каждая страна не начнет в том или ином виде участвовать в проекте, победить ботнеты нереально».

Трудные ботнеты

По словам Ильи Сачкова, в России и СНГ борьба с бот-сетями хоть и возможна, но осложнена по целому ряду причин.

Первая из них -- отсутствие в России CERT’ов (Computer Emergency Response Team) в основных узлах связи, а так же в крупных телекоммуникационных компаниях.

«Данные некоммерческие центры (которых в США, например, 53) отвечают за координацию действий между клиентами, провайдерами и другими участниками обмена информацией в интернете, - пояснил Илья Сачков. – В случае появления кибер-угрозы специалисты центров обмениваются информацией в режиме реального времени и минимизируют угрозу. Например, в ходе DDoS-атаки они могут заблокировать IP-адреса, принадлежащие активному ботнету, таким образом, атаку прекратив. Самое главное, что CERTы транснациональны, то есть нет бюрократических задержек и сложностей при обменом информацией между разными странами. В России на данный момент только один CERT».

Другая причина - слабое техническое оснащение правоохранительных органов и малочисленность их штата, отсутствие оперативных координационных связей между различными подразделениями ФСБ и МВД по борьбе с компьютерными преступлениями.

Кроме того, начать эффективную борьбу с ботнетами в России мешает отсутствие международных соглашений и законодательства по борьбе с подобными явлениями, должного количества судебной практики и международных методик по расследованию обстоятельств распределенных телекоммуникационных атак.

«Киберпреступность не имеет своего государства, - отметил эксперт. - Создатель вируса может жить в России, управляющий атакой -- в США, а заказчик -- в Англии. Но, к сожалению, у каждого государства свои законы в области компьютерной преступности. Это делает расследование некоторых типов преступлений практически невозможным. До сих пор обмен некоторой информацией между правоохранительными органами разных стран идет на бумаге».

Среди прочих причин – быстрая эволюция ботнетов и низкий уровень компьютерной грамотности населения.

«Методы противодействия бот-сетям быстро устаревают, - пояснил Илья Сачков. - Средний срок создания новой технологии нападения – полтора месяца. Используя сверхприбыли от преступной деятельности, хакеры легко находят финансирование для сверхсложных проектов».

Наконец, на распространение ботнетов серьезно влияет простота заражения персональных компьютеров вредоносным программным обеспечением. По словам эксперта, стоимость заражения 1000 машин вирусами начинается от $20.

По данным компании Group IB, в 2010 году основными сферами деятельности, подвергшимися распределенным телекоммуникационными атаками являлись банковские платежные системы, системы электронных платежей, телекоммуникационные компании, средства массовой информации и предприятия электронной коммерции.

Кроме того, DDoS-атаки, для организации которых используются ботнеты, это один из самых популярных типов преступлений в 2008-2010 годах. DDoS-атак стало больше и они стали дешевле. Стоимость реальной DDoS-атаки в РФ составляет от 50 до 300 евро в день.

Реклама