Recent is een buitengewoon boeiend rapport gepubliceerd over Botnets (http://www.cs.ucsb.edu/%7Eseclab/projects/torpig/torpig.pdf). Het is bij mijn weten de eerste keer dat er onderzoek is gedaan naar dit fenomeen vanuit de positie van de crimineel. Onderzoekers van de University of California zijn er in geslaagd om gedurende tien dagen een Torpig-botnet 'over te nemen' en om gedetailleerde informatie te verzamelen over hoe dit netwerk functioneert. Hoe snel het groeit, welke informatie er beschikbaar komt, welke instellingen er het meeste last van hebben. Een fascinerende inkijk in de wereld van hoe professioneel cybercriminaliteit vandaag is.
Een botnet is een verzameling pc's die geïnfecteerd is met een computervirus of netwerkworm, meestal met als doel informatie in te zamelen en dit te sturen naar een 'commandocentrum' in het botnet. Deze informatie kan voor heel veel doeleinden gebruikt worden, variërend van marketing (niet alleen spam, maar het komt voor dat ook in de 'bovenwereld' aangeboden adresbestanden afkomstig zijn van duistere bronnen), (bedrijfs)spionage, chantage en verschillende vormen van diefstal. Belangrijk voor een bot is dan ook om niet op te vallen, een bot richt zich niet op het verstoren van de pc. Torpig is slechts een van de vele bots, bekende anderen zijn Conficker en Kraken. Bots beperken zich niet tot crimineel gebruik zoals de Dalai Lama en verschillende ambassades recent hebben kunnen ondervinden.
Even wat cijfers uit het rapport om de omvang van zo'n botnet in beeld te brengen. Gedurende de tien dagen van het onderzoek werden meer dan 180.000 pc's wereldwijd geïnfecteerd en gedurende die periode werd er 70 gigabyte aan data naar het 'commandocenter' verstuurd. Alles wat ingetikt wordt of informatie die op het scherm getoond wordt kan worden overgestuurd, weinig blijft geheim.
Torpig doet dit uiterst slim met verschillende geavanceerde technieken om alleen interessante informatie te verzamelen, maar maakt ook gebruik van slimme methoden om te voorkomen dat botnetverkeer eenvoudig door een netwerkbeheerder te identificeren en te blokkeren is. Alles bij elkaar heel professionele malware die voor tal van criminele activiteiten gebruikt kan worden. Indien botnets beursgenoteerd zouden zijn, zou het een interessante investering in een snel groeiende markt zijn.
Nog wat meer boeiende cijfers om de dreiging in beeld te brengen. Als we kijken naar het verspreidingsgebied van het botnet van de onderzoekers dan staat de VS met ruim 54.000 infecties fier bovenaan, maar ook Nederland haalt met zo'n 2300 geïnfecteerde pc's nog net de top tien. Italië en Duitsland staan nummer twee en drie (en dat alles in slechts tien dagen!). In die periode wist men 1660 creditkaartgegevens buit te maken. Visa is schijnbaar erg populair op het internet, met ruim duizend buitgemaakte kaartgegevens lieten ze andere maatschappijen ver achter zich (een Torpig-server die in 2008 werd opgespoord, bevatte zo'n 250.000 creditcardgegevens!). Paypal is ook een gewild doelwit voor Torpig met bijna 1800 onderschepte accounts. In diezelfde periode werden bijna 300.000 logingegevens buitgemaakt waarvan na analyse zo'n 56.000 passwords gekraakt werden. Ook wist men een aardig overzicht te krijgen over waar mensen zoal mee bezig zijn en welke sites ze bezoeken. Dit gecombineerd met informatie van sites zoals LinkedIn, Plaxo, en Facebook kan weer gebruikt worden om mensen in kaart te brengen en potentieel te chanteren. Vanuit security-oogpunt valt er veel te leren uit dit rapport, het blijkt bijvoorbeeld dat niet alleen de naïeve thuisgebruiker slachtoffer is maar ook een flink deel van de pc's (zo'n ruim 17.000) bevonden zich op het corporate netwerk. Genoeg cijfers om in te zien dat het internet waarschijnlijk de onveiligste buurt is in Nederland, waar je niet onbeschermd moet gaan wandelen.
Uiteraard zit aan dit onderzoek ook een schaduwzijde omdat de onderzoekers gedurende deze periode actief de wet hebben overtreden. Het rapport vertelt niet of zij voorafgaande aan het onderzoek met de Amerikaanse justitie hebben overlegd, maar het is onwaarschijnlijk dat zij met de Nederlandse justitie hebben gesproken. En ook bij ons werden 2300 pc's afgetapt. Ik denk dat als securityfirma's een dergelijk onderzoek zouden uitvoeren zij de ethische grenzen behoorlijk zouden overschrijden. Universiteiten hebben misschien meer speelruimte, maar waar liggen deze grenzen? Ik heb de indruk dat deze grenzen hier flink zijn overschreden. Niettemin een zeer nuttig en waardevol onderzoeksrapport.
De les voor ons allen is natuurlijk dat het steeds belangrijker wordt ervoor te zorgen dat pc's voorzien zijn van de laatste securitypatches. De kans op besmetting door een van de vele bots is aanzienlijk, de kans op detectie vaak een stuk kleiner. Wie weet hoeveel ogen meekijken als je jouw pc gebruikt? In ieder geval is het rapport een aanrader voor elke securityprofessional.
Thanks Sinclair.. leerzame materie 🙂