Este documento discute o que são "Botnets" (redes de bots) e como elas são criadas e usadas para realizar ataques DDoS. Explica que os bots são programas instalados nos computadores de usuários sem seu conhecimento para recrutá-los para uma rede controlada por um atacante. Detalha como os ataques DDoS funcionam usando múltiplas fontes para sobrecarregar alvos, e discute vulnerabilidades comuns e formas de identificar e mitigar esses ataques.
Pagamentos por conta e Pagamentos especiais por conta
Botnets
1. Segurança e Auditoria Informática
(Licenciatura em Contabilidade e Auditoria)
Discente
Docente
Ano Letivo de 2012/2013
Segurança e Auditoria Informática
(Licenciatura em Contabilidade e Auditoria)
“Botnets”
Discente:
Maria José Moreira Rato Rodrigues –
Docente: Prof. Doutor Sérgio Nunes
Barcarena, 21 de Novembro
Segurança e Auditoria Informática
(Licenciatura em Contabilidade e Auditoria)
20111514.
de Novembro de 2012
2. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 2 de 14
Resumo
“BOTNETS”
O objetivo principal deste trabalho é dar a conhecer mais em pormenor o que são “Botnets”
(redes de “bots”), como estas redes são criadas, com que finalidades, quais os meios
utilizados, as vulnerabilidades a que os computadores estão sujeitos e formas de as evitar e
combater.
Palavras Chave: Botnets, Bot, Internet, DDoS, Redes Sociais.
Abstract
“BOTNETS”
The main goal of this work is to give an approach to what are Botnets, how they are created,
what are the purposes of it, what kind of knowledge is used for it, the vulnerabilities that
computers have to this kind of virus and the ways that we have to prevent them or to heal
them.
Keywords: Botnets, Bot, Internet, DDoS, Social Network.
3. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 3 de 14
1. ÍNDICE
Resumo..............................................................................................................................2
“BOTNETS” .......................................................................................................................... 2
Abstract .............................................................................................................................2
“BOTNETS” .......................................................................................................................... 2
1. ÍNDICE ....................................................................................................................3
2. Introdução................................................................................................................4
“BOTNETS” .......................................................................................................................... 4
3. As “Botnets” e as redes sociais...............................................................................5
4. Como se fazem os ataques DDos? ..........................................................................5
5. O que são “Bots”? ...................................................................................................7
6. O que são “Botnets”?..............................................................................................8
7. O poder de uma “Botnet”, a sua criação e utilização ..........................................9
8. Vulnerabilidades a estes ataques .........................................................................10
9. Como identificar e mitigar ataques por DDoS? .................................................10
10. Conclusão............................................................................................................13
Bibliografia......................................................................................................................14
4. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 4 de 14
2. Introdução
“BOTNETS”
Sendo o objetivo principal deste trabalho dar a conhecer o que são “Botnets” ou redes de
“bots”, como estas redes são criadas e com que finalidades; quais os meios utilizados para as
instalar; as vulnerabilidades a que os computadores e outros tipos de equipamentos estão
sujeitos; formas de as evitar e combater, não posso deixar de abordar este tema, tendo como
pano de fundo as redes sociais e o seu funcionamento, uma vez que elas se tornaram um dos
veículos preferenciais para o “recrutamento” de computadores ligados à internet.
Após recolha de informação mais técnica sobre o tema, pretendo dar uma explicação que seja
de fácil compreensão por forma a ser entendível para quem tenha menos conhecimentos ou
aptidões informáticas, uma vez que, hoje em dia, todos nós fazemos uso de computadores ou
outros equipamentos ligados à internet que facilmente podem ser recrutados por uma rede
deste tipo sem nos apercebermos.
Ao longo do trabalho ver-se-á como é fácil termos um “bot” instalado em qualquer um dos
nossos equipamentos sem disso termos dado conta.
O que é uma “BOTNET”?
Uma “Botnet” é um número de computadores
ligados à internet, que foram configurados
para reenviar vírus para outros computadores
igualmente ligados à internet.
5. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 5 de 14
3. As “Botnets” e as redes sociais
Através das redes sociais são muitos e variados os ataques maliciosos a que os utilizadores se
expõem.
É por isso que vou incidir o tema do meu trabalho por esta via, uma vez que as “Botnets”, não
sendo um ataque apenas possível através das redes sociais é, talvez, usando os exemplos que
se lhes possam aplicar que se tornará mais claro perceber como estes ataques são perpetrados
e como podem, ou não, ser evitados ou corrigidos, pois as redes sociais são, atualmente,
porventura, uma das ferramentas da internet mais usadas pela maioria dos internautas.
Vou tentar abordar este tema tanto pela perspetiva da vítima como do atacante, possibilitando,
assim, uma melhor compreensão do que são “Botnets”.
4. Como se fazem os ataques DDos?
Embora neste trabalho dê mais enfoque sobre o ataque do tipo DDoS1
, fica a informação de
que as “Botnets” foram utilizadas para lançar muitos outros ataques, incluindo, roubo de
identidade, extorsões, etc.
Vou escalpelizar um pouco mais este tipo de ataque informático que é deveras bastante
assustador, como vão ter oportunidade de verificar.
Para começar os DDoS são fáceis de executar e é difícil de detetar o atacante. Basicamente
qualquer pessoa que tenha um computador e saiba um pouco de informática pode lançar um
ataque DDoS.
De início os ataques DDoS podiam ser lançados apenas porque, simplesmente, alguém não
gostava de uma pessoa ou empresa. A seguir essa pessoa, vestindo já a pele de atacante,
determinava o tipo de DDoS que queria lançar, tendo à sua disposição uma vasta lista de tipos
de ataques DDoS mais comuns, por exemplo:
“Ping of Death” em que o atacante envia um pacote de pedido-eco de ICMP2
(Protocolo de Mensagens da Internet) que é maior do que o tamanho máximo do
6. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 6 de 14
pacote IP3
da vítima e, quando a vítima recebe esse pacote, o IP vai tentar montá-lo
mas, como o pacote é grande demais não o vai conseguir, causando na vítima um
“crash” ou até um “reboot”.
Chegando a esta fase os atacantes só tinham de escolher a data e a hora para o ataque,
mandavam um pacote aos seus cúmplices, contendo a indicação do ataque, data e hora e as
instruções para a realização do ataque. Depois era só esperar para ver.
Mas esta forma de atacar ainda não tinha atingido uma boa performance, se assim lhe
podemos chamar, pois, estando o atacante dependente de cúmplices, acabava por ficar
também à sua mercê, daí que, quanto menos pessoas envolvidas no processo melhor seria para
o atacante, ficando assim mais protegida a sua identidade.
Com a evolução os atacantes começaram a enviar vírus que instalavam aplicações nos
computadores de utilizadores que não fossem suspeitos, ficando esses computadores
“escravos” dos atacantes e obedecendo cegamente aos seus “mestres”, para lançarem ataques
sem que os seus utilizadores sequer sonhassem com o que se estava a passar.
Foi nesta altura que este tipo de ataques DDoS em rede ficaram conhecidos como “Botnets”.
(wikinoticia, 2011)
7. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 7 de 14
5. O que são “Bots”?
A palavra “bot” teve origem na palavra “robot”, existindo diversas espécies de “bots”, dos
quais ficam aqui alguns exemplos:
“GTbot” – consiste num conjunto de scripts de mIRC4
, usados para controlar a atividade do
sistema remoto. Depois o “bot” ativa o cliente com os scripts de controlo, lançando também
outra aplicação que esconde o mIRC do utilizador.
“Agobot” – este tipo de “bot” é uma multiameaça e tenta esconder-se do utilizador, usando
“NTFS Alternate Data Stream5
” (permite que mais do que uma string de dados seja associada
ao nome de um ficheiro), mata o antivírus (evitando que ele dê pela sua presença) e um motor
de encriptação polimórfica (permite ao vírus transmutar-se a cada infeção). Este “bot”
permite, por exemplo, o “sniffing”6
de tráfego.
“Dataspy Network X” (DSNX)7
– é um Trojan que é instalado no sistema da vítima. O dono
da “Botnet” pode, então, comunicar com o DSNX através de um canal de IRC, usando um
código forte. O DSNX pode, inclusivamente, fornecer informação acerca de vários aspetos do
sistema da vítima, tornando-o completamente vulnerável.
“SDBot” – este “bot” é semelhante aos “Agobot” e “DSNX”, contudo o seu código não é
claro e é limitado em termos de funcionalidades.
Um “bot” pode ser criado de raiz ou pode usar-se um que já tenha sido criado e adaptá-lo. Se
se souber usar um “bot” que já tenha sido criado é fácil fazer-se uma “Botnet” (rede de
“bots”).
Depois de se ter o “bot”, equipamo-lo com um servidor de IRC e informação de canal,
restringe-se o acesso ao “bot”, torna-se o canal de IRC seguro e fornece-se uma lista de
utilizadores seguros, podendo, também, equipar-se o “bot” com informação sobre o tipo de
ataque que se pretende lançar e sobre a vítima a atingir com esse ataque.
8. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 8 de 14
6. O que são “Botnets”?
Pertencendo as “Botnets” a um ataque do tipo DoS (Denial-of-service) – negação de serviço,
na sua versão mais avançada, vamos recuar um pouco na história da tecnologia dos ataques
informáticos deste tipo para melhor compreender os ataques DDoS (Distributed Denial-of-
Service) – negação de serviço distribuído, ou “botnets”.
Podemos definir um DoS como um ataque proveniente de um endereço de IP para esgotar os
recursos de um computador e assim impedir o utilizador de os usar como, por exemplo, se
quisermos impedir uma pessoa de utilizar um telemóvel, podemos fazê-lo se começarmos a
ligar para essa pessoa e a desligar a chamada assim que ela atende e, fazendo isto de uma
forma continuada, a outra pessoa, que se vai sentir incomodada vai, muito provavelmente,
desligar o telemóvel, pelo menos por algum tempo. Conseguimos, então, que essa pessoa
fique impedida de usar os recursos do seu equipamento.
Dado este exemplo mais simplista e passando para o nível informático o que os ataques de
DoS, normalmente, pretendem afetar são, de entre outros, um dos seguintes recursos do
utilizador:
consumir os recursos informáticos, tais como a largura da banda, espaço de disco ou
tempo de processamento;
quebra da informação configurada, tal como roteamento de informação8
quebra da informação de estado, tal como religações não solicitadas de sessões de
TCP9
obstrução de comunicações de “media” entre os utilizadores interessados e a vítima,
para que não consigam comunicar adequadamente.
Ora. Um ataque DDoS é uma versão mais avançada de um ataque DoS.
Em vez de ser utilizada apenas uma fonte de ataque utilizam-se diversas fontes de ataque ao
mesmo tempo. Com esta nova versão o alvo do ataque esgota todos os seus recursos e, se esse
mesmo ataque for proveniente de diversas localizações, torna-se muito mais difícil de
encontrar o atacante.
9. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 9 de 14
7. O poder de uma “Botnet”, a sua criação e utilização
No seguimento do ponto anterior é fácil depreender que, quanto mais “escravos” (bots) a rede
conseguir “recrutar”, tanto mais “mortíferos” se tornarão os ataques.
É assustador verificar-se como este tipo de ataque se veio a vulgarizar, de tal forma que, hoje
em dia, pode-se inclusivamente, desde que motivados para isso, aceder à internet e alugar uma
“Botnet” para lançar ataques de DDoS.
Imagine-se o que seria tornar uma rede social inteira numa autêntica “Botnet”, seria possível?
Pois não só é possível como também é praticável.
Podemos indicar o início dos anos 2000 como o despontar do uso malicioso das “Botnets”.
Nessa altura muitas pessoas para se comunicarem utilizavam o mIRC. Assim sendo os “bots”
tomando a aparência de clientes legítimos do mIRC, escondiam-se nas diretorias do
Windows. Então, os atacantes, ao alertarem os utilizadores para fazerem atualizações de
software para protegerem os seus computadores, na realidade infetavam-nos, instalando um
“bot”. O dono do “bot” podia, então, enviar aos “bots” da sua rede os comandos para lançar
um ataque. O que de resto foi já explicado com mais pormenor no ponto 5. O que são
“bots”?
De uma forma simplista podem considera-se os seguintes passos na criação, utilização e
destruição de uma “Botnet”:
Criação dos “bots”
Configuração dos “bots”
Infecção dos “bots”
Controlo dos “bots” por parte do atacante, “Dono” da “Botnet”
Destruição da “Botnet” por parte do atacante, deitando abaixo o canal de IRC.
10. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 10 de 14
8. Vulnerabilidades a estes ataques
Neste tipo de ataques as principais vulnerabilidades encontram-se a nível das portas do
Windows, indico algumas das portas que podem ser utilizadas para a introdução e alojamento
de “bots”:
Porta Serviço
42 WINS (nome do servidor anfitrião)
80 http (vulnerabilidade IIS ou Apache10
)
1025 Windows Messenger
1433 Servidor SQL11
da Microsoft
5000 UPnP (Plug and Play Universal)
(Timm & Perez, 2010)
A par de todas as vulnerabilidades em termos de hardware e software a este e outros tipos de
ataques, temos que ter em conta, igualmente, o desconhecimento e má utilização por parte dos
utilizadores que, se alertados para estes factos, poderiam proteger-se melhor, criando barreiras
à intrusão de software malicioso.
9. Como identificar e mitigar ataques por DDoS?
Primeiro temos de nos inteirar se fomos alvo de um ataque por DDoS.
Se verificarmos que múltiplos servidores vão abaixo e que a nossa ligação à internet está
demasiado lenta isso é já um indício de que, muito provavelmente, fomos alvo de um desses
ataques.
Se tivermos conhecimentos mais avançados de informática, após termos identificado os que
se passa na nossa rede, poderemos ser nós próprios a tentar mitigar o problema, mesmo que
seja apenas para podermos utilizar alguns dos nossos recursos, e isso pode ser feito de duas
formas:
limiar o tráfego – possibilita a limitação de tráfego mas pode também limitar tráfego
que seja importante;
11. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 11 de 14
filtrar o tráfego para um “Honeypot” – isto permite enviar o tráfego para uma interface
que não existe, aliviando, desta forma, o consumo dos recursos.
De qualquer forma, pela literatura consultada, verificamos que é muito difícil mitigar um
ataque deste tipo mesmo recorrendo a ferramentas apropriadas como é o caso do Cisco Guard,
Intruguard e Netscreen.
Foi notícia em 2009 um ataque ao Planet que é um fornecedor de hospedagem de sites e que
utiliza o Cisco Guard que, embora tendo a proteção correta, foram vítimas de um ataque de
DDoS que foi contra o comportamento usual de um ataque desse tipo. Eles conseguiram
resolver o problema mas ainda estiveram afetados durante um período de 2 horas e meia.
No entanto, apesar da grande dificuldade, senão impossibilidade, por enquanto, em evitar um
ataque de DDoS, ficam aqui algumas recomendações que, talvez por serem tão simples, não
as utilizamos normalmente, ou seja:
utilizar software antivírus e antimalware
manter o antivírus atualizado
não abrir e-mail’s de quem não conhecemos
não clicar em links que não conhecemos
não visitar sites com os quais não estamos familiarizados
Estes são os procedimentos básicos para se evitarem problemas.
Se assim não tivermos procedido e notarmos que o nosso equipamento está muito lento, o
mais provável, é termos sido atacados.
Então, há que verificar essa situação. E como se pode verificar?
Se se tratar de um equipamento particular, em ambiente MS-DOS12
utilizamos o comando
netstat que nos apresenta todas as comunicações entradas e saídas ativas o que nos vai
permitir, desde que possuamos conhecimentos para tal, se estamos ou não infetados. Este
comando funciona tanto em sistemas Windows como em Unix.
12. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 12 de 14
Se chegarmos à conclusão de que fomos atacados desligamos todos os browsers e aplicações
da internet, fazemos uma atualização do antivírus com base na última assinatura. Depois de
atualizarmos o antivírus temos de proceder a uma verificação completa do sistema e remover
o vírus. Por fim reiniciamos o equipamento e o problema deve ficar resolvido.
Se se tratar de uma empresa devemos, de uma forma proactiva, proceder da seguinte forma
para mitigar os utilizadores de serem atacados com “bots”:
instalar software de antivírus em todos os equipamentos
manter o antivírus sempre atualizado
instalar um IDS (sistema de deteção de intrusão) com base na rede ou um IPS (sistema
de prevenção de intrusão) nos pontos de entrada da rede e em volta dos servidores
críticos
instalar IDS/IPS, com base no anfitrião, nos servidores críticos
ficar atento às atualizações sobre novas ameaças
bloquear as ligações de saída a todas as portas que não sejam necessárias aos negócios
da empresa
usar filtros de internet e/ou servidores de proxy13
para ajudar a bloquear vírus
executáveis e a detetá-los.
(Tupinambá)
Tablet da Apple suporta três tipos de VPN
13. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 13 de 14
10. Conclusão
As “Botnets” são uma realidade e, se uma “Botnet” for de uma dimensão razoável pode ser
alugada ou vendida, rendendo uma boa maquia para quem a vende.
Vimos que há formas de mitigar este tipo de ataque com técnicas simples e naturais, as quais
devíamos já estar a praticar.
Se assim não o fazemos será melhor que o façamos bem rapidamente pois, se estas ameaças
são já do domínio público, de certeza que novos ataques estão já em estudo ou até, quiçá, em
implementação.
No campo da informática, como em tantos outros, o que nós conhecemos já pertence ao
passado daí a necessidade de nos mantermos sempre atualizados sobre as ameaças novas ou
as emergentes.
Como curiosidade deixo aqui alguns exemplos de como as “Botnets” constituem uma
verdadeira ameaça:
• Em 2007, Vint Cerf, coinventor do TCP/IP, indicava que 100 a 150 milhões de 600
milhões de computadores ligados à internet faziam parte de uma “Botnet”. (Timm &
Perez, 2010)
• A Conflicker recrutou mais de 10.000.000 bots capazes de produzir 10 biliões de
mensagens de spam por dia. (Timm & Perez, 2010)
• A Srixbi recrutou 450.000 bots capazes de produzir 60 biliões de mensagens de spam
por dia. (Timm & Perez, 2010)
Se estes números não nos assustarem não sei, então, o que nos possa
assustar!
14. “BOTNETS”
Maria José Rodrigues – 2012 – Universidade Atlântica Página 14 de 14
Bibliografia
Timm, C., & Perez, R. (2010). Seven Deadliest Social Network Attacks. Burlington: Adam
Ely.
Tupinambá, R. (s.d.). Obtido em 14 de 11 de 2012, de
http://rtupinamba.blogspot.pt/2011_05_01_archive.html#.UKO13eRNXIc
wikinoticia. (22 de 06 de 2011). pt.wikinoticia.com. Obtido em 14 de 11 de 2012, de
pt.wikinoticia.com: http://pt.wikinoticia.com
1
DDoS - as tarefas de ataque de negação de serviço são distribuídas a um "exército" de máquinas escravizadas.
2
ICMP - é o protocolo utilizado por todos os switchs, para assinalar um erro (chamado Delivery Problem).
3
IP - Cada computador na internet possui um IP (Internet Protocol) único, que é como as máquinas se comunicam na
Internet.
4
scripts de mIRC – é uma distribuição para o mIRC que engloba várias utilidades que faz com que a sua utilização seja
mais simples ou completa que o mIRC em si.
5
NTFS Alternate Data Stream – um ficheiro NTFS é composto de streams de dados. Qualquer tipo de informação pode
ser armazenada num ADS, e permanece invisível para o utilizador.
6
“sniffing” - O sniffing pode ser utilizado com propósitos maliciosos por atacantes que tentam interceptar o tráfego da rede
com diversos objetivos: obter cópias de arquivos importantes durante a sua transmissão, e obter passwords que permitam
alargar o seu raio de penetração num ambiente atacado ou ver as mensagens em tempo real.
7
“Dataspy Network X” (DSNX) – O vírus DSNX é um virus Trojan que pode conceder ao seu criador acesso ao seu
computador. Tal como muitos outros viris Trojans, o virus DSNX é controlado pelo deu criador, usando canais de IRC.
8
roteamento de informação – informação por pacotes através de routers.
9
sessões de TCP - Significa 2 máquinas terem o mesmo sistema de identificação e procederem da mesma maneira
para estabelecimento da ligação e troca de dados.
10
vulnerabilidade IIS ou Apache – O Apache é um software de código aberto para o sistema Linux e IIS é um pacote
da Microsoft Windows.
11
Servidor SQL – É um servidor de sistema gerenciador de bases de dados
12
ambiente MS-DOS – Sistema operativo
13
servidores de proxy – servidores intermediários de ligação a outros servidores