Příchod hackerů: zrod botnetů

Lukáš Erben 23. 9. 2014

Tisíce, desetitisíce, statisíce a někdy i miliony nakažených PC, která čekají na příkaz svých „pánů“, aby provedla útok – rozeslání spamu či DDoS. Stejný počet nic netušících uživatelů, kterým hackeři pod rukama čtou doslova každý znak, včetně čísel kreditních karet a hesel k bankovním účtům. Tak fungují botnety.

Vynálezy a myšlenky – ať už dobré či špatné, užitečné nebo škodlivé, bývají kombinací cíleného snažení i neskutečné souhry náhod. Platí to i pro botnety, které jsou jednou z významných hrozeb dnešního internetu. Na jejich počátku přitom stála nevinná hra, jedna z prvních chatovacích platforem a snaha o její automatickou správu. Na konci je kybernetický zločin poskytovaný jako služba, řízený bezpečně a na dálku, navíc stále častěji fungující v “distribuovaném” P2P módu, který činí botnet prakticky nezničitelným. Začalo to přitom tak nevinně.

1972: Hunt the Wumpus

Když Gregory Yob napsal v roce 1972, během svých studií na UMD, svou jedinou hru Hunt the Wumpus, nemohl tušit, že právě jeho dílo bude stát u zrodu botnetů. Hunt the Wumpus byla prostě jen povedená logická textová hra, zajímavá tím, že její herní svět nepracoval s pro tu dobu typickými mapami 10×10 čtverců, ale například plochami dvanáctistěnu.

Hon na Wumpuse“ se v průběhu 70 let stal slavným a objevil se na řadě platforem, včetně mnoha domácích počítačů a dokonce i na programovatelné kalkulačce HP-41C. Hra se stala ve své době natolik slavnou, že smyšlená příšera “Wumpus” se dostala i do stolních “Magic: The Gathering” nebo do knihy Coryho Doctorowa.

Gregory Yob se po Hunt the Wumpus již žádného dalšího hitu nedočkal, počátek slávy botnetů ale zažil, zemřel v roce 2005 ve věku nedožitých 60 let a podle všeho nechal své tělo zmrazit s nadějí, že jednou bude znovu oživen.

1998: Internet Relay Chat

Ještě před příchodem všemožných Whatsappů, Messengerů, Facebooků, Linkedinů, Líbímseti, Myspaců, ale i před zrodem ICQ, MSN či Yahoo messengera, dříve, než světlo světa spatřily servery Mageo či původní Mamedia a vůbec všechny ty internety, ba dokonce dříve, než svůj první modem zapojila legendární BBS Infima, se zrodilo IRC. Bylo to v srpnu 1988, kdy na Technické Univerzitě v Helsinkách naprogramovala a spustila dvojice finských programátorů první server IRC na adrese tolsun.oulu.fi.


Urpo Lankinen, Flickr

Původní první server IRC vyfocený v roce 2001 (jedná se zjevně o server SUN, přestože má patrně nalepeno logo Apple).

Byl to geniální nápad. Už žádná elektronická pošta putující na konci osmdesátých let někdy i minuty či hodiny (a v případě sítí typu FidoNet i dny), ale diskuse v reálném čase. Zrodil se tak moderní, otevřený chat s kanály (později diskusní “místnosti”), do něhož se dalo připojit pomocí aplikace (klienta). Zpočátku se sice nemohl rozšířit mimo Finsko jednoduše proto, že tamní akademické univerzitní sítě, neměly zahraniční konektivitu. To se ale záhy změnilo a již v roce 1989 se připojují university v dalších zemích a vzniká mezinárodní síť, která je v létě 1990 pojmenována EFnet.

Je to právě setkání Hunt the Wumpus a IRC, které je klíčem ke vzniku botů. HtW byl jednoduchý prográmek, a tak není divu, že si už na konci 80. let našel cestu i na “diskusní” síť IRC, kde bylo možné HtW hrát. Grega Lindahla, jednoho ze správců prvních IRC serverů, napadlo, že by mohl naprogramovat pro IRC jednoduchý prográmek, který by hru Hunt the Wumpus hrál s uživateli sám – aby nemuseli hledat “živého” protivníka. Vznikl tak GM – game manager, vůbec první IRC “bot”, tedy virtuální robot, který poskytoval své herní služby na diskusním kanále IRC. Podobně se objevili i další herní boti, například Bartneder Billa Wishera, a také první boti, kteří poskytovali různé specifické automatizované služby v rámci IRC.

Na počátku 90 let se začaly vést diskuse o tom, co vše by bylo možné v rámci IRC zlepšit a jak jej používat (například pro vedení firemních telekonferencí), a jednou z diskutovaných otázek byli i “boti” (díky tomu, že některé z těchto diskusí jsou archivovány, dnes víme o významu GM Grega Lindahla). Další “boti” tak na sebe nedali dlouho čekat – jejich úkolem bylo udržovat IRC kanály “otevřené” (k tomu je obvykle třeba přítomnost alespoň jednoho uživatele, nebo bota), ale také hlídat pravidla diskusního kanálu (vyhazovat uživatele za sprostá slova), bavit (nejrůznější hádankové hry, vyprávění vtipů) a řada dalších “provozních” úkonů. Jedním z nejpopulárnějších (a dodnes vyvíjených) se stal Eggdrop uvedený koncem roku 1993. Ke vzniku škodlivých botnetů tak zbýval ve druhé polovině 90. let už doslova jen krůček.

Logo Eggdropu, užitečného bota, který byl nakonec zneužit, vypadá tak nevinně…

1999: rok kdy se zrodily botnety

Dobře známý a populární “legální” IRC bot Eggdrop napsal v roce 1993 Robey Pointer pro sledování jediného kanálu. Byla napsán v C a navržen tak, aby bylo možné přidávat uživatelské TCL skripty s dalšími funkcemi. Eggdrop měl jednu klíčovou funkci nazvanou botnet. Tak byla navržena tak, aby umožňovala bezpečné přiřazování pravomocí mezi boty, sdílení uživatelských seznamů i “blacklistů” a další řízení diskusních kanálů. Díky tomu mohli administrátoři IRC propojit několik běžících botů a využít jejich kombinovaných možností a jednotného ovládání. Není pravděpodobné, že by autor mohl předvídat, jak zlomyslně bude jednou tato architektura zneužita – pro ovládání sítí s desítkami tisíc “zombie” PC. Jednalo se ale o dokonalý nástroj právě pro tyto účely.

Ze zprávy společnosti Symantec “The Evolution of Malicious IRC Bots”.

Byl červen 1999 a světlo světa spatřil první internetový červ, který pro vzdálené řízení použil IRC. PrettyPark.Worm napsali jeho autoři v Delphi a vytvořili tak, aby zjišťoval o napadených počítačích nejrůznější citlivé a osobní údaje. Díky ovládání přes IRC bylo možné jej také aktualizovat a doplňovat o další funkce.

Smyslem skutečně škodlivých červů už dávno nebylo uživatele zjevně obtěžovat a viditelně mu škodit, ale potichu a nenápadně získávat cenné informace. V případě PrettyPark to byly jak základní informace o napadeném PC, tak účty a hesla k různým službám jako bylo ICQ či vytáčené připojení.

Vedle červa PrettyPark se v témže roce objevil ještě “Trojan” Sub7. Přestože o něm jeho autor vystupující pod přezdívkou “Mobman” prohlašoval, že se jedná o nástroj pro vzdálenou správu (jeho vývoj pak pokračoval až do roku 2009), řada funkcí, například keylogger pro “odezírání” klávesnice a načítání hesel, připomínala spíše malware. Na druhou stranu tu byly i nástroje pro penetrační testy a další funkce, které jsou naopak typické pro nástroje vzdálené správy a podpory. Sub7 bylo navíc možno na dálku řídit pomocí IRC, a tak i když sám o sobě malwarem v pravém slova smyslu nejspíš nebyl, stal se společně s PrettyPark inspirací pro skutečné hrozby, které měly dorazit v následujícím roce.

2000: GTbot – globální hrozba

Nejen Eggdrop, ale i další oblíbený software ze světa IRC, nejpoužívanější klient mIRC, se stal základem pro první “drsné” boty a botnety. V roce 1999 přidali autoři mIRC řadu funkcí zahrnující skriptovací jazyk, přímý přístup k UDP a TCP soketům a další vylepšení, která byla doslova jako stvořena pro využití na “druhé straně zákona”.

Díky tomu se zrodila Global Threat bots – sada nástrojů, skriptů a upravené verze aplikace mIRC, s jejíž pomocí bylo možné vytvořit malware, který se po úspěšné nákaze hostitelského PC připojil ke vzdálenému IRC serveru a čekal na příkazy. Mezi základní podporované funkce patřila “účast” na DDoS útocích, nicméně díky možnosti aktualizace mohly přibývat i další, jako je rozesílka nevyžádané pošty, sledování uživatele napadeného PC a získávání citlivých údajů. Mezi zajímavé schopnosti “GTbota” patřilo také vyhledávání PC, kde byl nainstalován Sub7 a jeho nahrazení GTbotem.

widgety

Z legendární textové hry a jedné z prvních chatovacích platforem se zrodil se svět botnetů a zombie PC – jak se dále rozvíjel a funguje dnes, bude téma pro některý z následujících dílů.

Odkazy

Obrázky: Wikimedia, není-li uvedeno jinak.

Našli jste v článku chybu?
Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: RRTV: licence pro Šlágr TV

RRTV: licence pro Šlágr TV

Vitalia.cz: Voda z Vltavy před a po úpravě na pitnou

Voda z Vltavy před a po úpravě na pitnou

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Lupa.cz: Patička e-mailu závazná jako vlastnoruční podpis?

Patička e-mailu závazná jako vlastnoruční podpis?

Podnikatel.cz: Noví úředníci na finančáku za miliony

Noví úředníci na finančáku za miliony

Vitalia.cz: Tahák, jak vyzrát nad zápachem z úst

Tahák, jak vyzrát nad zápachem z úst

Lupa.cz: Proč jsou firemní počítače pomalé?

Proč jsou firemní počítače pomalé?

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

120na80.cz: Galerie: Čínští policisté testují českou minerálku

Galerie: Čínští policisté testují českou minerálku

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Vitalia.cz: Tradiční čínská medicína a rakovina

Tradiční čínská medicína a rakovina

Vitalia.cz: Antibakteriální mýdla nepomáhají, spíš škodí

Antibakteriální mýdla nepomáhají, spíš škodí

Podnikatel.cz: Udělali jsme velkou chybu, napsal Čupr

Udělali jsme velkou chybu, napsal Čupr

DigiZone.cz: Nova opět stahuje „milionáře“

Nova opět stahuje „milionáře“

Podnikatel.cz: Nemá dluhy? Zjistíte to na poště

Nemá dluhy? Zjistíte to na poště

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle