„Botnet“ tinklai yra vieni populiariausių įrankių, kuriuos naudoja kompiuteriniai įsilaužėliai. Virusais užkrėsti kompiuteriai padeda programišiams gauti naudingus duomenis, vykdyti įvairaus pobūdžio atakas, platinti nepageidaujamus el. laiškus ir t.t.
Pernai įvairių šalių teisėsauga bei ir kompiuterinio saugumo specialistai sunaikino ar išardė daug stambių „botnet“ tinklų, tokių kaip „Citadel“, „ZeroAccess“, „Kelihos“, „Zeus“, „3322“, „Virut“, „SpyEye“, „Bamital“ ar „Cutwail“.
Didžiausius pasaulio „botnet“ tinklus sudaro milijonai įrenginių. Manoma, kad yra tinklų, į kuriuos įtraukta net 5–10 proc. visų pasaulio kompiuterių.
Taigi jų naikinimas turėtų būti svarbi ir naudinga veikla? Ne visada.
Išjungus „botnet“ tinklą jo veikla praktiškai sustabdoma, bet tik iš vienos pusės – jam priklausantys kompiuteriai-zombiai nesupranta, kad turėtų išsijungti. Taigi nors visos atakos nutraukiamos, šlamštlaiškiai nebeplatinami, informacija nebevagiama, patys kompiuteriai ir toliau vykdo kenkėjiškos programos kūrėjo nurodymą kreiptis į centrinį serverį bei klausti naujų instrukcijų. Taip jie daro tol, kol savininkai išvalo virusus.
„Nenumirusių „botnet“ tinklų problema yra gerai žinoma. Yra daug būdų, kaip sunaikintų tinklų liekanos gali prisikelti ir būti sugrąžintos žalingai veiklai“, – sako Delfto technologijos universiteto profesorius Michelas van Eetenas.
Vienas garsiausių pavyzdžių – „Conficker“ kompiuterių-zombių tinklas, kuris buvo labiausiai išplitęs 2008 metais. Ir nors jis jau seniai uždarytas, pasaulyje tebėra milijonai kompiuterių, užkrėstų virusu, kuris juos įtraukė į šį „botnet“ tinklą.
Saugumo ekspertas Robertas Stucke nusprendė pats išsiaiškinti, kiek laiko „botnet“ tinklai gali išgyventi be centrinio serverio.
Įprastai virusais užkrėsti kompiuteriai kreipiasi į interneto domeną, kuris atstoja valdymo centrą. Dideli tinklai turi daug skirtingų domenų, kuriais valdomi skirtingi tinklo segmentai. Uždarius „botnet“ tinklą, šie domenai (ar bent dalis jų) būna konfiskuojami.
R.Stucke nupirko kelis domenus, kurie anksčiau buvo naudojami didelių „botnet“ tinklų valdymui. Juos lengva rasti, nes aptikus kenkėjiškus domenus jie įtraukiami į specialias duomenų bazes, kurios padeda saugumo kompanijoms ir didelėms korporacijoms blokuoti prieigą.
Už kelias dešimtis tokių domenų saugumo ekspertas sumokėjo 6 dolerius (15 Lt). Gavęs prieigą prie jų valdymo, R.Stucke galėjo matyti lankomumo srautą ir pastebėjo, kad kai kurie tariamai numarinti „botnet“ tinklai iš tiesų buvo pakankamai aktyvūs.
Į šiuos domenus reguliariai kreipėsi daugiau nei 25 tūkst. įrenginių. Kai kurie tik raportavo esantys pasiruošę veiklai, kiti siuntė galimai vertingą informaciją.
„Jei domeno registravimo laikas baigiasi ir bet kas gali jį perimti, šis asmuo gauna ir „botneto“ valdymą. Taigi panašu, kad šių tinklų naikinimas yra beprasmis“, – sakė R.Stucke.
Kiti kompiuterinio saugumo specialistai išreiškė panašius nuogąstavimus. „Šių tinklų dalys dažnai lieka užmirštos. Net jei „botnetas“ sunaikinamas, „zombiai“ to nežino ir nuolat bando susisiekti su valdytoju“, – teigė buvęs kibernetinės policijos darbuotojas, dabar saugumo kompanijos „Damballa“ technikos konsultantas Adrianas Culley.
