Barbaři uvnitř firewallu

Web 2.0 obohatil internet o mnoho nových funkcí, zároveň ale přinesl i některé nepříjemné možnosti, zejména celou škálu nových bezpečnostních hrozeb, které se dokáží potichu nainstalovat, když uživatel navštíví infikovanou stránku.

Web 2.0 nabízí větší prostor a více funkcí, které lze zneužít – a samozřejmě vyšší přenosové rychlosti, více komunikačních kanálů (instant messaging, P2P) a více operací, které je možné spouštět na straně klienta.

Nejsofistikovanější formou těchto útoků jsou sítě botů (botnets). Tyto skupiny softwarových robotů běží na infikovaných strojích, označovaných obvykle jako „zombie“ a kontrolovaných tzv. „pasáky botů“ pomocí speciálních ovládacích rozhraní. Hodnota takové sítě botů pochopitelně závisí na počtu a významu počítačů, které ovládá. Jakmile se nákaza dostane za váš firewall, může krást důvěrná data, infikovat další PC a spouštět zákeřné útoky. Agregovaná kapacita sítě botů může být navíc využita pro distribuované útoky DDoS.

Nikdo přesně neví, kolik botů na síti je, ale podle našich zkušeností se nacházejí ve zhruba 65 procentech podnikových sítí a 100 procentech univerzitních sítí, s nimiž jsme v letošním roce pracovali. Naprosto fantastické je přitom sledovat objem aktivit, které dokáže vygenerovat jediný bot – není výjimkou, když jediný bot provede více než milion IP skenů a stovky tisíc rozeslání spamů za jediný den. V jediné síti s 8 000 PC jsme kupříkladu objevili během prvního měsíce 145 botů, kteří za tu dobu provedli přes 136 milionů IP skenů.

NEJLEPŠÍ POSTUPY PRO DETEKCI A PREVENCI BOTŮ

Objem komunikace procházející při ovládání botů přes firewall je záměrně udržován na minimu ve snaze zamezit jejich odhalení tradičními postupy a prostředky. Ačkoli někteří ISP či firmy nabízející bezpečnostní monitoring sítí dokáží zjistit, když z podnikové sítě přichází větší množství DDoS či spamové komunikace, nedokáží obvykle zjistit, zda jsou stroje v dané části podnikové sítě skutečně nakaženy ani o které konkrétní se případně jedná. Pro jejich přesné odhalení za firewallem je třeba mít možnost monitorovat komunikaci ve vnitřní síti spolu s daty směřujícími dovnitř a ven. Lze tak odhalit, kde jsou boti rozšířeni podle toho, odkud pocházejí DDoS útoky či odeslané spamy. V ideálním případě může bezpečnostní systém zablokovat veškerou internetovou komunikaci napadených počítačů a případně automaticky provést vymazání botů.

Podobně jako u ostatních bezpečnostních hrozeb ani v případě botů neexistuje magická hůlka pro jejich okamžité odstranění. Prvním krokem je nasadit vícevrstevnou ochranu (na pracovních stanicích a internetových bránách), která omezí množství infekcí boty. Následovat by mělo vytvoření systému včasného varování, který dokáže odhalit nakažená PC a zabránit jim v odesílání citlivých dat. Podle Gartneru bude na konci roku 2007 celých 75 podnikových sítí nakaženo nezjištěným, finančně motivovaným a cíleným malwarem, který pronikl tradičními typy ochrany – nebuďte mezi nimi.

Autor je zakladatelem a CEO společnosti Mi5 Networks.