האמת שמאחורי רשתות הבוטים

חוקרים מאוניברסיטת קליפורניה, פרסמו השבוע מאמר המפרט את את התוצאות של מחקר בו הם הצליחו להשתלט על רשת בוטים (Botnet), מוקדם יותר השנה, למשך עשרה ימים. החוקרים הצליחו לאסוף מעל ל-70GB של נתונים שמפעילי הבוטים גנבו ממשתמשים כולל 56,000 סיסמאות שנאספו תוך פחות משעה.

מקור: Hackaday

מקור: Hackaday

חוקרים מאוניברסיטת קליפורניה, פרסמו השבוע מאמר המפרט את את התוצאות של מחקר בו הם הצליחו להשתלט על רשת בוטים (Botnet), מוקדם יותר השנה, למשך עשרה ימים. החוקרים הצליחו לאסוף מעל ל-70GB של נתונים שמפעילי הבוטים גנבו ממשתמשים כולל 56,000 סיסמאות שנאספו תוך פחות משעה. המידע החדש סיפק תגליות לגבי אופן הפעולה של הרשת אך מעבר לכך, זכו החוקרים לראות ולחשוף לראשונה עד כמה משתמשים באמת פועלים באופן בטוח ומאובטח בכל הקשור לפעילויות האינטרנט שלהם והתשובה לא נראית כל-כך טוב.

רשת הבוטים המדוברת נשלטה ע"י קוד זדוני המוכר בשם Torpig (או Sinowal) אשר מיועד לאסוף מידע אישי ופיננסי ממחשבים מבוססי Windows. החוקרים "גנבו" שליטה על הרשת תוך ניצול פרצה במערכת קבלת הפקודות של המחשבים החברים ברשת. אופן פעולת המערכת התבסס על-כך שהמחשבים הנגועים ייצרו רשימת דומיינים (לפי אלגוריתם ידוע מראש) ושרתים שאליהם הם ייפנו לצורך קבלת הפקודות. החוקרים הצליחו לפצח את האלגורתים ומצאו כי חלק מהדומיינים אליהם יגיעו השרתים אינם רשומים עדיין. הם ביצעו רישום של הדומיינים והשרתים שהמחשבים הנגועים אמורים לפנות אליהם והעלו שרתים אשר יספקו למחשבים הנגועים את ה"שירות" אותו הם היו מקבלים ממפעילי הרשת המקורית. השיטה החזיקה מעמד כ-10 ימים לפני שמפעילי הרשת המקוריים עלו על ה"באג" ולקחו את הרשת שלהם בחזרה.

מקור: Your Botnet is My Botnet: Analysis of a Botnet Takeover, אוניברסיטת קליפורניה

מקור: Your Botnet is My Botnet: Analysis of a Botnet Takeover, אוניברסיטת קליפורניה

במהלך הזמן המדובר, החוקרים הצליחו לאסוף כמויות גדולות של מידע המסבירות כיצד מתפקדת רשת הבוטים ואיזה סוג של מידע היא מתכוננת לאסוף. בזמן השליטה על המערכת, התקבלו במעבדת המחקר מעל ל-300,000 זהויות חיבור (שמות משתמש וסיסמאות) שונות ו-28% מהמשתמשים במחשבים הנגועים השתמשו בשמות המשתמש שנחשפו בעת גישה ל-368,051 אתרי אינטרנט, מה שהפך את המשך עבודת איסוף המידע על המשתמשים לקלה ופשוטה אף יותר. החוקרים אף ציינו כי הם קיבלו גישה לאלפי הודעות מייל, פורומים צ'אטים והודעות מיידיות שהכילו פרטים אישיים ושיחות אינטימיות של משתמשי המחשבים הנגועים.

המטרה העיקרית של רשת הבוטים הייתה כמובן לגנות מידע כלכלי כגון מספרי כרטיסי אשראי וזהויות חיבור לאת בנק. במשך 10 ימים בלבד, הרשת הביאה לידי החוקרים זהויות חיבור ל-8,310 חשבונות במעל 410 מוסדות פיננסיים שונים כולל Paypal והבנקים האמריקאים הגדולים, Capital One ו-Chase. החוקרים ציינו כי מעל ל-40% מהסיסמאות הגנובות הגיאו ממנגוני שמירת הסיסמאות המובנים בכל דפדפן ולא מביצוע הזדהות ממשית מול אתרי הבנק. כמו כן, נראה כי במהלך הזמן בו בחנו החוקרים את פעילות הרשת, מפעיליה עשו שימוש בפרטים הפיננסיים שנגנבו לצורך ביצוע עסקאות בשווי 8.3 מיליון דולר. החלק המעניין שציינו החוקרים הייתה הייתה העובדה שנדרש מאמץ מאוד גדול על-מנת לגרום למוסדות שנפגעו כתוצאה מהפריצות להבין את מה שקרה ולהודיע למשתמשים. גם החיבור והעבודה מול ספקי האינטרנט, רשמי דומיינים וכוחות החוק היה "מתוסבך" במיוחד לדבריהם.

החוקרים הגיעו למסקנה שרוב המחשבים הנופלים קורבן לרשתות בוטים מסוג זה הם מחשבים שאינם מתוחזקים ומנוהלים כמו שצריך, ללא תוכנות הגנה ובעלי סיסמאות קלות וניתנות לניחוש. החוקרים מסכמים בכך שאף על פי שאנשים מכירים בצורך באבטחה פיזית (לנעול את הבית) או בצורך לתחזק את הרכב, חלקם הגדול עדיין אינו תופס את התוצאות של התנהגות בלתי אחראית מהסוג המדובר בעת שימוש במחשב.

יניב פלדמן

צ'יף-גיק ועורך ראשי. יזם, סטטיסטיקאי חובב, טכנולוג בדם, בעל תואר ראשון במנהל עסקים ו-Microsoft MVP בתחום אבטחת מידע. התחביב האהוב עליו הוא מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

הגב

1 תגובה on "האמת שמאחורי רשתות הבוטים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
trackback

[…] לכל הצרות, הביטוי Denial of service הפך לפופולרי ברשת ורשתות בוטים ניצלו את המצב והפיצו ספאם וקישורים […]

wpDiscuz

תגיות לכתבה: