» »

Avtonomni botnet z 1,5 milijona (asimiliranih) računalnikov

Crypto-Gram - Oktobra 2005 je nizozemska policija aretirala tri mladeniče stare 19, 22 in 27 let, ki naj bi z uporabo Toxbota (oziroma Codbota) okužili okrog 100.000 računalnikov, nanje namestili spyware in izvajali različne napade ter s pomočjo tega omrežja izsiljevali denar.

Kasneje se je izkazalo, da je okuženih 1,5 milijona računalnikov, Bruce Schneier pa pravi, da je ta številka morda občutno višja. Zanimivo pa je tudi dejstvo, da se prikrito omrežje kljub aretaciji njegovih lastnikov širi še naprej. Boti so namreč avtonomni in to kljub temu, da je policija ugasnila "kontrolni center" (IRC kanal kjer so se boti prijavljali).

We are the Borg and you will be assimilated!

46 komentarjev

Doman ::

Jaz bi tudi imel tok botkov:D

Paramedic ::

Predlagam, da to omrežje uporabijo v dobrodelne namene, npr. kot cluster za Folding@Home :D.
End transmission.

Highlag ::

Meni je isto prišlo na misel :D
Never trust a computer you can't throw out a window

necromncr ::

Je kdo naletel na sozalje.zip? .. sam sem malo pregledoval delovanje in se stvar konekta na nek irc server, a se mi je ustavilo, ker smo za po*ukano ISO (ne spusca nestandardnih portov).

Tear_DR0P ::

pa se še širi to omrežje?
me pa zanima kako bi nekdo imel avtonomno (brez gospodara) omrežje.
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

DCER ::

A nimajo boti ponavadi možnost za nadgradnjo? Bi pač dali gor nadgradnjo, ki bi jih onemogočila.

Monster ::

.. delajo tk ko overnet pa ove "nove" zadeve
Ka zaboga...

Matthai ::

Se še širi. Samo na centralni C-a-C se ne more povezovati. Na command-and-control bi morali dati ukaz ".die" ali kaj podobnega, pa bi zadeva umrla.

Če ima tak ukaz predviden. Vsi botneti ga nimajo...
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

MrStein ::

Kak pa se širi ?
S kakimi exploiti (katerimi) ?
Ali z maili tipa "Click for nude Britney" ?
Teštiram če delaž - umlaut dela: ä ?

Matthai ::

Odvisno. Navadno so to autoexploiti. Zadeva sama skenira, ko odkrije luknjo, vdre, se naloži in požene. In tako naprej.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Kami ::

Jap lahko bi jih killali, da se nebo nesnaga naprej širla.

Nevem zakaj jih še niso?

Če je problem postavit server na enakem IP-ju je najboljše, da kontaktirajo tam ko so domeno kupli pa pointajo na IP servera, katerega si postavijo pri sebi (domnevam, da so se boti povezovali na domeno, ne IP)
http://www.ubuntu.si || http://www.freebsd.si

Ch4N93 ::

Boti so namreč avtonomni in to kljub temu, da je policija ugasnila "kontrolni center"

genialnost ali idiotizem policije, to je zdaj vprašanje
Ni nam lahko...

Maria ::

Imajo torej ti botneti vse atribute živih bitij?

Maria

Thomas ::

> Imajo torej ti botneti vse atribute živih bitij?


Vsaka definicija "življenja" je težavna, nemožna v principu. Ampak če govorimo ohlapno - ja, ene sorte mikrobi so (že).
Man muss immer generalisieren - Carl Jacobi

Matthai ::

V bistvu sem razmišljal.. zadevo bi se dalo narediti tako, da bi boti lahko avtonomno živeli IN si poiskali nov center, tudi če bi jim en center ugasnili. Uporabiti bi se dalo koncept supernodov, kot ga uporablja skype, komunikacija pa bi morala preko ICMP protokola in DNS requestov potekat - s tem bi onesposobil večino požarnih zidov.

V bistvu dost strašljivo kaj bi lahko naredili, če bi se zadeve lotili pravi profesionalci.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

Monster ::

.. če se že niso :)
Ka zaboga...

sidd ::

ne nas strašit no :P >:D

Daedalus ::

He he, na koncu se bo en botnet začel zavedat...pol pa bo rulal internetu>:D
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]

darkolord ::

Takim bi blo treba prste rezat
spamtrap@hokej.si
spamtrap@gettymobile.si

Matevžk ::

Končno neodvisna oblast nad internetom! :D
edit: nanaša se na predprejšnji post.
lp, Matevžk

Zgodovina sprememb…

  • spremenil: Matevžk ()

Alexius Heristalski ::

Ja in potem nas bo veliki kosmati internet povezal z debelo verigo, odnesel v svoj brlog in požrl.
fantje, ni blo slabo, samo dajte še v herbicidščini

64738 ::

Ne mulce ampak MS naj lovijo.

Maria ::

Vprašanje je bilo namenjeno študiju podobnosti z možgansko mrežo na nivoju signalnega vzbujanja, če je botnet center ali skupina aksonov zadolžena za določene impulzne mehanizme. Dilema je, kakšna metodologija in principi naj med PC-ji v botnetu veljajo, da bo simulacija cimbolj realna in obnašanje čimbolj podobna.

Kako podobno (primerjalno glede na možgane) se efekti odražajo na celotnem sistemu, kakšne so korelacije in kakšni so lahko globalni odzivi samega interneta, predvsem v primeru, ko je botnet velik (prevelik - korelacija z npr. rakom v možganih)?

Je korelacija sploh mogoča, kje so sistemske razlike, ...?

Maria

Thomas ::

Veš v čem je hec, po moje?

Zadeva je precej nepovezana. Signal potuje počasi od enega do drugega konca in nobene velike koherence ni. Sistem je preveč kaotičen.
Man muss immer generalisieren - Carl Jacobi

Maria ::

Tudi v primeru DDOS-a ali v kakršnemkoli časovno usklajenem dogajanju? Kar se lahko vgradi v avtonomno delovanje.

Maria

sverde21 ::

V bistvu dost strašljivo kaj bi lahko naredili, če bi se zadeve lotili pravi profesionalci.

Se gremo enga projekta lotit ?:D >:D :)) >:D --> končni cilj DDOS na M$>:D
Our (wannabe) blog: http://randomplac.es/ :)
<?php echo `w`; ?>

Zgodovina sprememb…

  • spremenil: sverde21 ()

Matevžk ::

Thomas in Maria, prosim, nadaljujta, v zanimivo smer se razvija vajin pogovor! :))
lp, Matevžk

Thomas ::

Tkole bom rekel, Maria.

Dva bota, ali kar sta že, sta vsaj tisočinko sekunde daleč drug od drugega.

V RAMu enega računalnika, sta milijonkrat bliže, samo nanosekundo.

Tako da takšna simulacija na "internet substratu" je bistveno manj učinkovita, kot v RAMU enega računalnika.

Sploh kakšnega 10000 krat bolj hudega od PCa.


Drugo pa je, če tak bot zavzame večji del procesiranja mašine, ki jo je "nasledil". Potem je interkomunikacija manj pomembna od introkomunikacije. Potem bi pa že lahko počeli kaj netrivialnega. Samo bi bili prej opaženi.
Man muss immer generalisieren - Carl Jacobi

BigWhale ::

Tam kjer se boti naselijo, tam so v glavnem neopazeni. Vseeno koliko resourcev pokurijo... :P

Thomas ::

No, če bi pokurili 10% CPUja, je to že ogromno. Distributivni computing, večji kot na tanajbolj ostri mašini na svetu, če zanovačijo milijon mašin.

Vsekakor, možnost vredna upoštevanja. Realna opcija.

Ampak ne iz primitivnih botov gor, to ne. Iz takih, ki že znajo pokuriti lep kos virov. Ki ne zgubijo velike večine časa zato, da prisluškujejo, če je že prišel kakšen paket, tisto je zguba.
Man muss immer generalisieren - Carl Jacobi

Matevžk ::

Se strinjam, pretirano možganom podobne zadeve taka stvar ne bi bla zmožna narest.
Bi pa znala precej enostavno uiti izpod nadzora svojemu stvaritelju. Kakšni mislite, da bi bili "naši" ukrepi? Shutdown of the internet for a few minutes (kot v znanstveni fantastiki, ko rebootajo kkšne krmilnike (česar sicer nikol ne nardijo) zato, da "se virus pobriše" :D) verjetno ne bi pomagal ... Gospodarska škoda bi bila ... uf.
lp, Matevžk

Matthai ::

No, jaz sem razmišljal takole. Tile boti so narejeni tako, da imajo po navadi hardcodano lokacijo kamor se povezujejo. Morda imajo kakšni boti tudi config file, kjer se zapiše tak podatek, vendar je to načeloma tudi hardcodano. To pomeni, da ko bota odkrijemo, je mogoče ugotoviti kam se povezuje in potem od tam uničiti botnet.

Če bi pa boti imeli neko avtonomijo, bi bilo drugače. Vprašanje ja, kako bi taka avtonomija delovala. Recimo tako, da bi se boti iskali med sabo (če bi center padel dol). Ko bi se dva bota našla, bi se zmenila kdo bo host. Host bib il seveda tisti, ki bi imel največji uptime, bandwith, itd. Lahko bi imela še rezervne hoste (če bi jih bilo več). Ko bi se dve skupini srečali, bi se združili. Da ne bi prišlo do prevelike obremenitve enega hosta, bi se hierarhično razvrščali.

Ko bi bil botnet enkrat razbit, bi se ostanki pričeli povezovati med seboj in se dinamično seliti iz enega hosta do drugega. Seveda bi bil problem kontrole botneta v takem primeru, ker bi napadalec moral host spet najti.

To bi bil že zametek neke inteligence, nekega življenja. Sicer zelo primitivno, vendar bi stvar bila sposobna preživeti in rasti. Neke vrste rak.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

OwcA ::

Ko bi bil botnet enkrat razbit, bi se ostanki pričeli povezovati med seboj in se dinamično seliti iz enega hosta do drugega. Seveda bi bil problem kontrole botneta v takem primeru, ker bi napadalec moral host spet najti.

Zakaj. Saj (bi) lahko vsak bot posreduje ukaze svojemu hostu.
Otroška radovednost - gonilo napredka.

Matevžk ::

Napadalec v tem primeru je bilo, kakor razumem, mišljeno kot človek/skupina, ki želi bota uničiti.
lp, Matevžk

Matthai ::

Ja, nekoč v prihodnosti se vsi boti najdejo med sabo in so povezani. V vmesnem času se pa tvorijo nepovezane skupien, ki se iščejo. V tem vmesnem času je problem najti host.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

para! ::

Ja, tisti, ki mate dovolj znanja mal manj govort, pa se spravte narest en tak botnet...

lp
Death before dishonor!

para! ::

Mislim, tak botnet, kot ga omenja Matthai :)

lp
Death before dishonor!

DCER ::

raje delat nekaj kar bo koristilo ljudem, ne pa škodilo. Če kdo hoče emulirat življenje, naj to dela v kontroliranem okolju pa naredi bolj resno zadevo kot nek botnet. Tako da bodo živi programčki potem popolnoma avtonomni (brez kontrole kogar koli a omejeni v kontroliranem okolju) in bodo sposobni razmnoževanja, menjave "dednega zapisa" in posledično evolucije.

Thomas ::

Se strinjam. Takle poskus, bi bil zelo neučinkovit in zelo nezakonit.

Čista destrukcija, ne kaj pametnega.
Man muss immer generalisieren - Carl Jacobi

Matthai ::

Točno tako. Mene zanima predvsem kako bi se proti temu lahko borili. V bistvu bi rabil neke vrste potujoče agente, ki bi se znali priklopiti na tak botnet, ga posrkat vase in potem uničit.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

DCER ::

Verjetno bi bilo potrebno predvsem opazovanje prometa mašin. če bi imeli boti specifičen port bi kar šlo, če pa bi se port tudi menjaval bi pa bilo zanimivo. Mogoče bi potem bila potrebna migracija vseh pcjev na preoblikovan os ki ga boti ne bi mogli okužiti.

Zgodovina sprememb…

  • spremenilo: DCER ()

Matthai ::

Saj v bistvu bi bilo dovolj, da enega bota odkriješ (kar ni težko, če spremljaš promet ene mašine), potem pa ugotoviš kriterije po katerih bot napreduje na lestvici hubov. Na podlagi tega bi potem moral narediti svoj hub, kjer bi se zbirali ostali boti.

Če prav pomislim, bi bilo podobno kot sedaj, le da bi jim nastavil past - pravi honeypot.
Zloraba oblasti, avtokracija in tema nikoli ne pridejo hipoma, vedno je vmesno
obdobje mračenja, ko se dan preveša v noč; biti moramo pozorni opazovalci
okolja in varuhi luči, da ne postanemo nemočni ujetniki teme. --W. Douglas

64738 ::

Hrm. Kaj ne more noben narediti bota, ki bi spremljal usenet (alt.test ipd) ali kaksen javni web in od tam dobival info kam naj se na novo poveze? Na primer: 'Photocrap Super Pro v9.1 serial: FCE2-C0A8-7BFE', ki je potem FCE2 = 64738 (thats us!) > 0xC0A87BFE > 0xC0.0xA8.0x7B.0xFE > 192.168.123.254 (my router ip, hehe). Ali pa torrent z imenom 3232267262.pr0n.pix.torrent > 3232267262 = 0xC0A87BFE > 0xC0.0xA8.0x7B.0xFE > 192.168.123.254. To je samo tako za primer. Lahko string tudi zakodiras ipd...

Druga metoda je kaksen bolj napreden net z boti, na primer p2p ali freenet (omg!)...

darkolord ::

Še vedno bi bila lokacija/lokacije, kamor gleda, hardcodana
spamtrap@hokej.si
spamtrap@gettymobile.si

64738 ::

Jah... Zato sem tudi omenil usenet ali kaksno bolj javno stran, ker je ne mores kar ukiniti zaradi enega bota. Samo vseeno je problem, ker potem lahko vsak spremlja isto lokacijo in sledi novi lokaciji kamor se boti javijo. Morda bi bilo boljse, ce bi boti dobili na tej lokaciji kar zakodiran info kaj morajo narediti in se nebi niti javili nikamor ampak samo zaceli z delom. In v primeru da nimajo informacij par tednov, se unicijo in pobrisejo vse za sabo. Ne samo zaradi tega ker ni vec masterja ampak zato, da ne ovirajo novih botov.

Kako pa bi delalo s p2p/tor/freenet ipd pa ne vem, morda se bi tam dalo kaj bolj skritega narediti. Ampak osebno bi raje videl da hekerji porabijo cas za kaj bolj koristnega kot cyber terorizem. :(

Matevžk ::

Še vedno bi bila lokacija/lokacije, kamor gleda, hardcodana

Kot rečeno, ni nujno. Lahko informacije pobirajo z različnih internetnih iskalnikov ali celo p2p omrežij!
lp, Matevžk


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Windows Vista, podrobnosti nove licenčne pogodbe in datum izida (strani: 1 2 3 4 5 6 )

Oddelek: Novice / Operacijski sistemi
25316562 (7357) Paramedic
»

Schneierjeva analiza programa US-VISIT

Oddelek: Novice / Zasebnost
221749 (954) Looooooka
»

Internet Explorer je najmanj varen brskalnik (strani: 1 2 )

Oddelek: Novice / Varnost
796591 (4372) Matevžk
»

MSN izdal svoj iskalnik

Oddelek: Novice / Brskalniki
212106 (2106) Pithlit
»

ICS -- Interneted Content Sharing?

Oddelek: Novice / Zasebnost
6952 (952) Ziga Dolhar

Več podobnih tem