Hlavní navigace

Příchod hackerů: zrod botnetů

Lukáš Erben 23. 9. 2014

Tisíce, desetitisíce, statisíce a někdy i miliony nakažených PC, která čekají na příkaz svých „pánů“, aby provedla útok – rozeslání spamu či DDoS. Stejný počet nic netušících uživatelů, kterým hackeři pod rukama čtou doslova každý znak, včetně čísel kreditních karet a hesel k bankovním účtům. Tak fungují botnety.

Vynálezy a myšlenky – ať už dobré či špatné, užitečné nebo škodlivé, bývají kombinací cíleného snažení i neskutečné souhry náhod. Platí to i pro botnety, které jsou jednou z významných hrozeb dnešního internetu. Na jejich počátku přitom stála nevinná hra, jedna z prvních chatovacích platforem a snaha o její automatickou správu. Na konci je kybernetický zločin poskytovaný jako služba, řízený bezpečně a na dálku, navíc stále častěji fungující v “distribuovaném” P2P módu, který činí botnet prakticky nezničitelným. Začalo to přitom tak nevinně.

1972: Hunt the Wumpus

Když Gregory Yob napsal v roce 1972, během svých studií na UMD, svou jedinou hru Hunt the Wumpus, nemohl tušit, že právě jeho dílo bude stát u zrodu botnetů. Hunt the Wumpus byla prostě jen povedená logická textová hra, zajímavá tím, že její herní svět nepracoval s pro tu dobu typickými mapami 10×10 čtverců, ale například plochami dvanáctistěnu.

Hon na Wumpuse“ se v průběhu 70 let stal slavným a objevil se na řadě platforem, včetně mnoha domácích počítačů a dokonce i na programovatelné kalkulačce HP-41C. Hra se stala ve své době natolik slavnou, že smyšlená příšera “Wumpus” se dostala i do stolních “Magic: The Gathering” nebo do knihy Coryho Doctorowa.

Gregory Yob se po Hunt the Wumpus již žádného dalšího hitu nedočkal, počátek slávy botnetů ale zažil, zemřel v roce 2005 ve věku nedožitých 60 let a podle všeho nechal své tělo zmrazit s nadějí, že jednou bude znovu oživen.

1998: Internet Relay Chat

Ještě před příchodem všemožných Whatsappů, Messengerů, Facebooků, Linkedinů, Líbímseti, Myspaců, ale i před zrodem ICQ, MSN či Yahoo messengera, dříve, než světlo světa spatřily servery Mageo či původní Mamedia a vůbec všechny ty internety, ba dokonce dříve, než svůj první modem zapojila legendární BBS Infima, se zrodilo IRC. Bylo to v srpnu 1988, kdy na Technické Univerzitě v Helsinkách naprogramovala a spustila dvojice finských programátorů první server IRC na adrese tolsun.oulu.fi.


Urpo Lankinen, Flickr

Původní první server IRC vyfocený v roce 2001 (jedná se zjevně o server SUN, přestože má patrně nalepeno logo Apple).

Byl to geniální nápad. Už žádná elektronická pošta putující na konci osmdesátých let někdy i minuty či hodiny (a v případě sítí typu FidoNet i dny), ale diskuse v reálném čase. Zrodil se tak moderní, otevřený chat s kanály (později diskusní “místnosti”), do něhož se dalo připojit pomocí aplikace (klienta). Zpočátku se sice nemohl rozšířit mimo Finsko jednoduše proto, že tamní akademické univerzitní sítě, neměly zahraniční konektivitu. To se ale záhy změnilo a již v roce 1989 se připojují university v dalších zemích a vzniká mezinárodní síť, která je v létě 1990 pojmenována EFnet.

Je to právě setkání Hunt the Wumpus a IRC, které je klíčem ke vzniku botů. HtW byl jednoduchý prográmek, a tak není divu, že si už na konci 80. let našel cestu i na “diskusní” síť IRC, kde bylo možné HtW hrát. Grega Lindahla, jednoho ze správců prvních IRC serverů, napadlo, že by mohl naprogramovat pro IRC jednoduchý prográmek, který by hru Hunt the Wumpus hrál s uživateli sám – aby nemuseli hledat “živého” protivníka. Vznikl tak GM – game manager, vůbec první IRC “bot”, tedy virtuální robot, který poskytoval své herní služby na diskusním kanále IRC. Podobně se objevili i další herní boti, například Bartneder Billa Wishera, a také první boti, kteří poskytovali různé specifické automatizované služby v rámci IRC.

Na počátku 90 let se začaly vést diskuse o tom, co vše by bylo možné v rámci IRC zlepšit a jak jej používat (například pro vedení firemních telekonferencí), a jednou z diskutovaných otázek byli i “boti” (díky tomu, že některé z těchto diskusí jsou archivovány, dnes víme o významu GM Grega Lindahla). Další “boti” tak na sebe nedali dlouho čekat – jejich úkolem bylo udržovat IRC kanály “otevřené” (k tomu je obvykle třeba přítomnost alespoň jednoho uživatele, nebo bota), ale také hlídat pravidla diskusního kanálu (vyhazovat uživatele za sprostá slova), bavit (nejrůznější hádankové hry, vyprávění vtipů) a řada dalších “provozních” úkonů. Jedním z nejpopulárnějších (a dodnes vyvíjených) se stal Eggdrop uvedený koncem roku 1993. Ke vzniku škodlivých botnetů tak zbýval ve druhé polovině 90. let už doslova jen krůček.

Logo Eggdropu, užitečného bota, který byl nakonec zneužit, vypadá tak nevinně…

1999: rok kdy se zrodily botnety

Dobře známý a populární “legální” IRC bot Eggdrop napsal v roce 1993 Robey Pointer pro sledování jediného kanálu. Byla napsán v C a navržen tak, aby bylo možné přidávat uživatelské TCL skripty s dalšími funkcemi. Eggdrop měl jednu klíčovou funkci nazvanou botnet. Tak byla navržena tak, aby umožňovala bezpečné přiřazování pravomocí mezi boty, sdílení uživatelských seznamů i “blacklistů” a další řízení diskusních kanálů. Díky tomu mohli administrátoři IRC propojit několik běžících botů a využít jejich kombinovaných možností a jednotného ovládání. Není pravděpodobné, že by autor mohl předvídat, jak zlomyslně bude jednou tato architektura zneužita – pro ovládání sítí s desítkami tisíc “zombie” PC. Jednalo se ale o dokonalý nástroj právě pro tyto účely.

Ze zprávy společnosti Symantec “The Evolution of Malicious IRC Bots”.

Byl červen 1999 a světlo světa spatřil první internetový červ, který pro vzdálené řízení použil IRC. PrettyPark.Worm napsali jeho autoři v Delphi a vytvořili tak, aby zjišťoval o napadených počítačích nejrůznější citlivé a osobní údaje. Díky ovládání přes IRC bylo možné jej také aktualizovat a doplňovat o další funkce.

Smyslem skutečně škodlivých červů už dávno nebylo uživatele zjevně obtěžovat a viditelně mu škodit, ale potichu a nenápadně získávat cenné informace. V případě PrettyPark to byly jak základní informace o napadeném PC, tak účty a hesla k různým službám jako bylo ICQ či vytáčené připojení.

Vedle červa PrettyPark se v témže roce objevil ještě “Trojan” Sub7. Přestože o něm jeho autor vystupující pod přezdívkou “Mobman” prohlašoval, že se jedná o nástroj pro vzdálenou správu (jeho vývoj pak pokračoval až do roku 2009), řada funkcí, například keylogger pro “odezírání” klávesnice a načítání hesel, připomínala spíše malware. Na druhou stranu tu byly i nástroje pro penetrační testy a další funkce, které jsou naopak typické pro nástroje vzdálené správy a podpory. Sub7 bylo navíc možno na dálku řídit pomocí IRC, a tak i když sám o sobě malwarem v pravém slova smyslu nejspíš nebyl, stal se společně s PrettyPark inspirací pro skutečné hrozby, které měly dorazit v následujícím roce.

2000: GTbot – globální hrozba

Nejen Eggdrop, ale i další oblíbený software ze světa IRC, nejpoužívanější klient mIRC, se stal základem pro první “drsné” boty a botnety. V roce 1999 přidali autoři mIRC řadu funkcí zahrnující skriptovací jazyk, přímý přístup k UDP a TCP soketům a další vylepšení, která byla doslova jako stvořena pro využití na “druhé straně zákona”.

Díky tomu se zrodila Global Threat bots – sada nástrojů, skriptů a upravené verze aplikace mIRC, s jejíž pomocí bylo možné vytvořit malware, který se po úspěšné nákaze hostitelského PC připojil ke vzdálenému IRC serveru a čekal na příkazy. Mezi základní podporované funkce patřila “účast” na DDoS útocích, nicméně díky možnosti aktualizace mohly přibývat i další, jako je rozesílka nevyžádané pošty, sledování uživatele napadeného PC a získávání citlivých údajů. Mezi zajímavé schopnosti “GTbota” patřilo také vyhledávání PC, kde byl nainstalován Sub7 a jeho nahrazení GTbotem.

Z legendární textové hry a jedné z prvních chatovacích platforem se zrodil se svět botnetů a zombie PC – jak se dále rozvíjel a funguje dnes, bude téma pro některý z následujících dílů.

Odkazy

Obrázky: Wikimedia, není-li uvedeno jinak.

Našli jste v článku chybu?

23. 9. 2014 15:46

ohmit (neregistrovaný)

Autor si clanok trosku skratil tym, ze opomenul historiu IRC pred EFnetom.
EFnet samotny bol az dosledok security problemov, ktore sposobovala povodna architektura IRC, kde sa neoverovali nielen uzivatelia, ale ani servery navzajom.
Viac na http://en.wikipedia.org/wiki/EFnet



23. 9. 2014 9:09

Honz (neregistrovaný)

Už jsem se bál, že tu najdu článek bez slova "neskutečně"...

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Lupa.cz: EET v e-shopech? Zdražení a horší komfort

EET v e-shopech? Zdražení a horší komfort

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Hledáte investora? Neunáhlete se

Hledáte investora? Neunáhlete se

Podnikatel.cz: Babiš: E-shopy z EET možná vyjmeme

Babiš: E-shopy z EET možná vyjmeme

Vitalia.cz: Často čůrá a má žízeň? Příznaky dětské cukrovky

Často čůrá a má žízeň? Příznaky dětské cukrovky

120na80.cz: Rakovina oka. Jak ji poznáte?

Rakovina oka. Jak ji poznáte?

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Lupa.cz: Seznam mění vedení. Pavel Zima v čele končí

Seznam mění vedení. Pavel Zima v čele končí