Botnetek, a túlterheléses támadások eszközei

1. Botnetek, a túlterheléses támadások eszközei Dr. Gyányi Sándor Óbudai Egyetem, Kandó Villamosmérnöki Kar

2. Informatikai támadások csoportosítása • Szivárgás (leakage), amikor a támadónak olyan adatokat sikerül megszereznie, amihez nem szabadna hozzáférnie. • Sérülés (corruption), vagyis az informatikai rendszerben található adatokat a támadónak sikerül megváltoztatnia, vagy törölnie. • Megtagadás (denial), a megtámadott rendszer működése lehetetlenné válik.(Frederick B. Cohen)

3. Működésképtelenné tétel • Ha a támadó csak kárt akar okozni, nem kell sok időt eltöltenie a behatolással, elegendő a működést lehetetlenné tenni. • A számítógépes hálózatok működéséhez a bemenő adatok fogadása és kimenő adatok szolgáltatása is hozzátartozik. • Ha működésüket lehetetlenné, vagy elviselhetetlenül lassúvá teszik, akkor az üzemszerű állapot lehetetlen.

4. Válaszidő • 0,1s vagy rövidebb válaszidő esetén a felhasználó a választ azonnalinak érzékeli, így a rendszernek az eredmény megjelenítésén kívül semmilyen egyéb visszajelzést nem kell produkálnia. • 1s alatti válaszidők esetén a felhasználó még nem érzi úgy, hogy a munkáját indokolatlanul megzavarnák, de már érzékeli a rendszer lassulását. A rendszernek még nem szükséges a lassulásról visszajelzést adnia. • 10s az a határ, amit meghaladva a felhasználó már elkezd egyéb feladatokkal is foglalkozni, vagyis elveszti érdeklődését a rendszerrel szemben. 1-10s közötti válaszidőnél már fontos kijelezni a válasz várható időpontját, és így fenntartani az érdeklődést.(Jakob Nielsen: Usability Engineering)

5. DoS támadások • Denial of Service: szolgáltatás megtagadás. A támadó a célpont informatikai rendszerét próbálja olyan módon túlterhelni, hogy az képtelen legyen a normál, üzemszerű működésre és így az általa nyújtott szolgáltatás nyújtására.Leggyakoribb módszer: túlterhelés.

6. DDoS • Distributed Denial of Service: elosztott szolgáltatás megtagadásos támadási módszerek. • A támadó egyidejűleg nagyszámú végpontot használva indítja meg a támadást. • Lehetséges a hálózati hozzáférést vagy magát a célpont rendszerét megbénítani.

7. Hackitivizmus • Kellő számú felhasználó összehangolt akciója képes túlterhelni a célpontot. • EDT akciója volt az első. • Az Anonymous egyik kedvelt módszere. • Ha nem vesznek igénybe speciális támadó eszközöket, nehézkes a felelőségre vonás.

8. Bot, zombi PC • A vírusok és a trójai falovak továbbfejlesztése olyan rosszindulatú alkalmazásokat eredményezett, amelyek segítségével az áldozat számítógépe távolról irányíthatóvá válik, és vírusként képes terjedni. • Kedvelt elnevezésük a „robot” szó rövidítéséből adódó „bot”.

9. Botnetek • A DDoS támadásokhoz szükséges nagy mennyiségű végpont ilyen távirányított számítógépekből is összeállítható. • Központi vezérlés segítségével biztosítható az összehangolt működés.

10. Botnet részei • Botmaster, vagy botherder: a botnet „tulajdonosa”. Ő adja ki a feladatokat. • Command & Control (C2) csatorna: a botmaster és a botnet tagok közti kommunikációt biztosítja. • Drop server: a botnet működése során keletkezett adatok tárolóhelye. • A hálózat tagjai.

11. Botnet architektúra

12. Botnetek életciklusa • Terjedési fázis: a botnet szervezője igyekszik minél több helyre telepíteni malware-t (tipikusan downloader). • Fertőzési fázis: ekkor kerül az áldozat gépére a botnet kliens kódja. • C2 csatorna kiépítése: ekkor szerveződnek a fertőzött gépek hálózattá. • Támadás: a botnet aktív működésének fázisa.

13. Új típusú fenyegetések • Megjelentek a teljes számítógépes kapacitással rendelkező mobiltelefonok és egyéb elektronikai készülékek. • Egyre inkább terjednek az internetre köthető berendezések, amelyek így potenciális célponttá vagy eszközzé válhatnak. • Különböző célú hálózatok átjárhatóvá válhatnak.

14. Mobiltelefon botnet C2 szerver Botmaster Telefon hálózat Botnet

15. Mi kell egy mobiltelefon botnet kialakításához? • Mivel az okostelefonok alapvetően számítógépek, amelyek telefonos csatolófelülettel is rendelkeznek, így tartalmazhatnak sérülékenységeket. • Ezek használatával akár rosszindulatú programkód is telepíthető. • Jelenleg: 500 millió Android, 400 millió iOS operációs rendszert használó készülék.

16. Android Botnet? • 2012. január: Android.Counterclank. Hivatalos alkalmazásokba került egy komponens, amelyet a Symantec botnet kártevőként azonosított. Ez egy hirdetési termék volt, amiről nem lehetett eldönti, hogy kártevő-e. • 2012. július: az Android által használt levélfejlécekkel ellátott kéretlen leveleket találtak, és felmerült a gyanú, hogy egy botnet küldte ezeket. A támadók a Yahoo Androidos alkalmazásának hibáját kihasználva szereztek hozzáférést a tulajdonos postafiókjához. Nem tisztázott, hogy a telefonokról küldték-e a leveleket.

17. Alkalmazások fertőzése • Az alkalmazások telepítésekor engedélyt kér a felhasználótól az egyes erőforrások használatára. • Lehetséges rosszindulatú alkalmazást készíteni. • Ezeket természetesen szűrni próbálják.

18. Rosszindulatú mobilalkalmazások • Pénzszerzési céllal készülnek. • Főként az ellenőrizetlen szoftveráruházak segítségével terjednek. • Emelt díjas SMS küldésével bevételt termelnek a készítőknek.

19. DDoS támadás telefon hálózat ellen • Egy megfelelően megírt alkalmazás képes lehet központilag kiosztott számokat automatikusan hívni. • Megfelelő ütemezéssel és támadói kliens számmal hosszú időre lefoglalhatók lennének a vonalak. • Okozhat életveszélyt?

20. Lehetséges motiváció • Konkurencia ellehetetlenítése. • Diszpécserközpontok kiiktatása. • Egyéb, komplexebb támadás (akár terrorista akció) kiegészítőjeként zavarkeltés céljából.

21. Köszönöm a figyelmet!