Scopri come funziona una botnet e come proteggere i tuoi dispositivi.
Le botnet sono diventate una delle principali minacce ai sistemi di sicurezza di oggi. Sono sempre più utilizzate dai cybercriminali perché consentono di infiltrarsi in quasi tutti i dispositivi connessi a Internet, da un riproduttore DVR ai mainframe aziendali. Per questo, ultimamente le botnet sono un argomento molto discusso nel mondo della cybersicurezza.
Il punto di inflessione l’abbiamo raggiunto con la purga di 70 milioni di account fake di Twitter che diffondevano fake news durante le elezioni presidenziali degli USA del 2016. Ovviamente, l’opinione pubblica rispecchia la preoccupazione di politici e cittadini sul potenziale di distruzione delle botnet. Di fatto, alcuni studi del MIT pubblicati recentemente hanno confermato che i bot e gli account automatizzati dei social media hanno un ruolo fondamentale nella diffusione delle fake news.
Inoltre, molti cybercriminali utilizzano le botnet per fare cryptojacking, ovvero il mining illegale di criptovalute su sistemi informatici di terzi. Secondo le previsioni si tratta di una tendenza destinata ad aumentare: sempre più computer verranno infettati con malware di mining e verranno rubati sempre più portafogli digitali.
Oltre a essere pericolosi strumenti di persuasione politica e cryptojacking, le botnet sono una minaccia per aziende e consumatori perché diffondono malware, lanciano attacchi a siti web, rubano dati personali e truffano inserzionisti pubblicitari. Insomma, le botnet sono chiaramente un grosso problema, ma siamo sicuri di sapere esattamente cosa sono e come funzionano? E come si fa a proteggere i propri dispositivi e dati personali? La prima cosa da fare è capire come sono fatte. A quel punto, potremo imparare a proteggere i nostri dispositivi.
Significato di botnet
Per capirne meglio il funzionamento, proviamo a dare una definizione di botnet. Prendiamo il termine “botnet”, che è la fusione dei termini “robot” e “network” (rete). In generale, le botnet sono proprio questo: una rete di robot utilizzati per commettere cybercrimini. I cybercriminali che le controllano vengono chiamati botmaster o bot herder (che tecnicamente significa “mandriani”, sottolineando come l’efficacia di una botnet dipenda dalla sua estensione).
Le dimensioni contano
Per creare una botnet, i botmaster hanno bisogno di controllare migliaia di dispositivi infetti (bot) e connessi a Internet. Le dimensioni di una botnet dipendono direttamente dal numero di bot connessi. Più grande è la botnet, più danni fa.
Immagina questa situazione: hai assoldato dieci amici per chiamare la Motorizzazione Civile alla stessa ora del giorno. A parte il fastidio di dieci telefoni che squillano contemporaneamente e un picco di stress per i poveri impiegati che sono di turno, non succede nient’altro. Adesso immagina di fare la stessa cosa ma con 100 amici, o 1000. Il flusso in entrata di così tante chiamate sovraccaricherà la rete telefonica della Motorizzazione ed è molto probabile che questo collassi del tutto e smetta di funzionare.
I cybercriminali utilizzano le botnet per ottenere un effetto simile su Internet. Ordinano al loro esercito di bot infetti di sovraccaricare un sito web fino al punto in cui questo smette di funzionare e viene negato l’accesso ai visitatori. Gli attacchi di questo tipo vengono chiamati distributed denial of service (DDoS), che in inglese significa “interruzione distribuita del servizio”.
Infezioni da botnet: come si finisce “nella rete”
Normalmente, le botnet non vengono create per danneggiare un solo computer, ma per infettare milioni di dispositivi, come illustra il caso del 2010 della botnet Mariposa. Spesso, per inglobare i computer nelle botnet, i botmaster utilizzano virus di tipo Trojan. La strategia è questa: l’utente infetta inconsapevolmente il proprio sistema aprendo un allegato fraudolento, facendo clic su un annuncio popup o scaricando un software infetto da un sito web non affidabile. Una volta infettato il dispositivo, la botnet può visualizzare e modificare i dati personali presenti, utilizzarlo per attaccare altri computer e commettere altri crimini informatici.
Alcune botnet più complesse possono addirittura espandersi automaticamente, trovando e infettando nuovi dispositivi senza l’intervento diretto del botmaster. I bot di queste reti cercano continuamente altri dispositivi connessi a Internet da infettare e prendono di mira quelli in cui il sistema operativo non è aggiornato o che sono sprovvisti di un software antivirus.
Inoltre, le botnet sono difficili da rilevare: utilizzano una quantità irrisoria di risorse del computer per non interferire con il normale funzionamento dei programmi e non destano alcun sospetto nell’utente. Le botnet più avanzate sono anche in grado di modificare il proprio comportamento in base ai sistemi di cybersicurezza dei computer per evitare di essere rilevate. Nella maggior parte dei casi, gli utenti non sanno che i propri dispositivi sono connessi a una botnet e controllati da cybercriminali. Ma la cosa peggiore è che le botnet continuano a evolversi, e le nuove versioni sono sempre più difficili da rilevare.
Infine, le botnet hanno bisogno di tempo per crescere. Molte rimangono inattive finché il numero di bot connessi è abbastanza alto. A quel punto, il botmaster le attiva e comanda a tutti i bot di realizzare un attacco DDoS o un invio di massa di spam.
Dispositivi vulnerabili
Le botnet possono infettare praticamente qualsiasi dispositivo connesso a Internet. PC, portatili, dispositivi mobili, DVR, smartwatch, telecamere di sicurezza e perfino gli elettrodomestici intelligenti possono essere inglobati da una botnet. Sembra assurdo che un frigorifero possa essere un complice inconsapevole di un cybercrimine, eppure succede sempre più spesso, perché i produttori utilizzano password non sicure per proteggere i dispositivi, rendendoli un facile bersaglio dei bot automatizzati che rastrellano Internet alla ricerca di nuove vittime da infettare.
Da questo punto di vista, lo sviluppo dell’Internet of Things è una manna dal cielo per i botmaster, che avranno sempre più opportunità di espandere le proprie botnet e causare danni ancora maggiori. Prendiamo ad esempio il caso di Dyn, la grande azienda di infrastrutture per Internet che nel 2016 ha subito uno dei peggiori attacchi DDoS su larga scala. In quell’occasione è stata utilizzata una botnet fatta di telecamere di sicurezza e DVR. L’attacco ha messo in crisi Internet, rendendola inutilizzabile in vaste aree degli Stati Uniti e creando disagi a molte piattaforme web del calibro di Twitter e Facebook.
Attacchi di botnet
A parte gli attacchi DDoS, i botmaster utilizzano le botnet per altri scopi illegali:
Frode pubblicitaria
I cybercriminali sfruttano la potenza di calcolo combinata delle botnet per organizzare frodi. Ad esempio, possono ordinare a migliaia di dispositivi infetti di visitare siti web fraudolenti e “fare clic” sugli annunci pubblicati nelle pagine del sito. Per ogni clic sugli annunci l’hacker riceve una percentuale della commissione pubblicitaria.
Botnet in vendita e in affitto
Uno degli aspetti più controversi del Web è che rende disponibile a tutti qualsiasi risorsa, anche quelle illegali. Di fatto, gli hacker non hanno neanche bisogno di saper creare botnet. Su Internet è possibile comprarle o addirittura affittarle! Dopo aver infettato e inglobato migliaia di dispositivi, i botmaster cercano altri cybercriminali che hanno bisogno di una botnet. Così, i compratori possono sferrare altri cyberattacchi o rubare dati personali senza essere esperti di informatica.
La legislazione in materia di botnet e cybercrimine è in costante evoluzione. Dato che le botnet stanno diventando una minaccia sempre più seria per le infrastrutture di Internet, i sistemi di telecomunicazione e addirittura per le reti di distribuzione elettrica, prima o poi agli utenti verrà richiesto di garantire la sicurezza dei propri dispositivi. È probabile che in futuro le normative di cybersicurezza attribuiranno più responsabilità agli utenti per i crimini commessi con i loro dispositivi.
Struttura delle botnet
Le botnet possono essere progettate in due modi, entrambi destinati a massimizzare il controllo dei botmaster sui bot:
- Modello client-server. In questo tipo di botnet un server controlla le trasmissioni di dati di ciascun client, come nella struttura classica di una rete. Il botmaster utilizza un software apposito per creare server Command and Control (C&C), che impartiscono istruzioni a ciascun dispositivo-client. Questo modello è ottimo per mantenere il controllo sulla botnet, ma ha diversi svantaggi: per le forze dell’ordine è abbastanza facile localizzare il server C&C e ha un solo centro di controllo. Una volta distrutto il server, la botnet non esiste più.
- Peer-to-peer. Invece di affidarsi a un server C&C centrale, le botnet più recenti si basano su una struttura peer-to-peer (P2P). In una botnet P2P ciascun dispositivo infetto funziona sia come client sia come server. Ogni bot ha un elenco degli altri dispositivi infetti e li contatta quando ha bisogno di aggiornare o trasmettere informazioni. Le botnet P2P sono più difficili da smantellare per le forze dell’ordine perché mancano di un’origine centrale. Come l’idra della mitologia greca, tagliare una delle teste non è sufficiente per uccidere il mostro, perché ne ha molte altre che lo mantengono in vita.
Prevenzione contro le botnet
A questo punto dovrebbe essere chiaro che per prevenire l’infezione da botnet è necessario adottare una strategia su più fronti, basata principalmente su regole per una navigazione sicura e un sistema di protezione antivirus. Ora che sai come funziona una botnet, ecco i nostri consigli di sicurezza:
-
- Aggiorna il sistema operativo
La prima cosa da fare per prevenire l’infezione da malware è mantenere aggiornato il sistema operativo. Gli sviluppatori di software combattono attivamente il malware e, soprattutto, sono i primi a scoprire le nuove minacce. Imposta l’aggiornamento automatico del sistema operativo e verifica di utilizzare la versione più recente. - Non aprire allegati di email di mittenti sconosciuti o sospetti
Gli allegati delle email sono tra le maggior fonti di diffusione di molti tipi di virus. Non aprire gli allegati di messaggi che ricevi da persone che non conosci. Per la verità, ti consigliamo di fare attenzione anche alle email di amici, colleghi e parenti. Molte botnet utilizzano le rubriche dei dispositivi infetti per inviare spam attraverso indirizzi “di fiducia”. Ad esempio, se ricevi un’email da tuo padre con un allegato, fai attenzione perché anche quella potrebbe essere un messaggio fraudolento inviato da una botnet. - Non scaricare file da reti P2P e di file sharing
Le botnet utilizzano questo tipo di reti per infettare altri computer. Fai una scansione dei file che scarichi prima di aprirli oppure cerca un’alternativa più sicura per trasferirli. - Non fare clic su link sospetti
I link a siti web fraudolenti sono un altro veicolo di infezioni molto diffuso, per cui ti consigliamo di fare attenzione prima di fare clic. Passa il mouse sopra il link e controlla a quale URL indirizza. I luoghi in cui è facile trovare link fraudolenti sono le bacheche dei forum, i commenti su YouTube e gli annunci popup. - Utilizza un software antivirus
Un buon antivirus è la migliore difesa contro le botnet. Cerca un sistema di protezione antivirus per tutti i dispositivi e non solo per il computer. Ricordati che le botnet possono infettare qualsiasi tipo di dispositivo, per cui è importante scegliere un software di cybersicurezza versatile e completo.
- Aggiorna il sistema operativo
L’Internet of Things si diffonderà sempre di più nel prossimo futuro, per cui anche le dimensioni e la potenza delle botnet sono destinate ad aumentare. Presto cambieranno anche le leggi, e gli utenti verranno considerati responsabili delle azioni commesse con i loro dispositivi. Previeni le infezioni da botnet per proteggere la tua identità, i tuoi dati e i tuoi dispositivi.
Buona navigazione e buona protezione dalle botnet!