Mraky spamu z jednoho počítače

A pokud si už takové riziko uvědomuje, zpravidla uplatní zlehčení ve smyslu „vždyť o nic nejde a možný podíl je vlastně zanedbatelný“. Jenže jak už tomu tak bývá, situace může být mnohem vážnější. Pojďme se podívat na to, jak může jeden jediný nakažený počítač přispět k úspěchu malware – možná vás překvapí, kolik spamu může z jednoho nakaženého počítače odejít.

Značné procento malware je dnes oprávněně spojováno s tzv. malware roboty či zkráceně boty. A tedy i se specializovanými sítěmi, které roboty řídí a využívají – tzv. botnety. Jak již názvy napovídají, jednotlivé botnety se skládají právě z botů, tedy škodlivého software běžícího na nakažených počítačích. Princip fungování botnetů je založený na velmi jednoduchém mechanismu. Robot si „zavolá“ svému nadřízenému článku (jde o tzv. botherder / botmaster) a zjistí si, co má udělat. Případně nežádoucí kroky, na které byl předem naprogramován, rovnou provádí. Bot je tedy výkonnou škodlivou silou, kterou řídí někdo zvenčí – a ani mírně pokročilý uživatel nemusí vědět, že se něco děje.

Od hesel…

Na základě instrukcí z řídícího uzlu provádí bot činnosti, které z běžných uživatelů potěší snad jen opravdové masochisty. Jde například o:

• záznam stisknutých kláves, mj. pro zjišťování přihlašovacích údajů
• prohledávání souborů na disku a odesílání potenciálně zneužitelných dat
• podvodné prokliky na reklamu
• vystavování falešných doporučení na sociálních sítích jménem poškozeného
• stahování dalšího škodlivého software, mezi kterým nechybí ani ransomware – typ infiltrace, která zakóduje data na počítači a pro zpřístupnění vyžaduje zaplacení určité částky
• provádění cílených útoků na webové stránky – a ano, běžný uživatel tak vypadá jako útočník
• poskytování služeb dalším počítačovým zločincům – připojení k internetu, maskování … 

…Ke spamu

Samozřejmě nejde o úplný výčet rizik, zdaleka nejčastějším využitím botů je rozesílání nevyžádané pošty – spamu. Velmi často se rozesílání spamů děje pomocí velmi sofistikovaného distribuovaného mechanismu, který umí využít služeb i stovek tisíc nakažených počítačů – respektive botů – současně. Díky tomu lze ve velmi krátké době rozeslat opravdu ohromné množství nevyžádané pošty. Mimochodem, kyberzločinec, který nemá svůj vlastní botnet, si může potřebné služby pronajmout. Nastává tak doba, kdy jsou (nejen) botnety dostupné prostřednictvím služby – tedy v režimu CaaS (crimeware-as-a-service).

Mezi výhody distribuovaného rozesílání spamů patří:

• Vysoká odolnost – vzhledem k tomu, že nevyžádaná pošta je rozesílána velkým množstvím počítačů, zamýšlený cíl neohrozí výpadek či vyléčení i několika desítek tisíc z nich.
• Velmi malé náklady – spameři neplatí prakticky nic za připojení k internetu, veškeré rozesílání funguje prostřednictvím konektivity infikovaných počítačů. Pro běžné uživatele je velkou nevýhodou to, že se jejich poskytovatelé služeb (či dokonce jejich konkrétní IP adresy) mohou ocitnout na blokačních seznamech.
• Vysoký výkon – rozeslání sta milionů spamů po 10 000 zprávách prostřednictvím 10 000 počítačů je obvykle rychlejší, než kdyby měl vše na starosti jeden spamovací server.

Pět milionů spamů týdně

A jak vychází konkrétní čísla? V maďarských laboratořích globální sítě pro zkoumání hrozeb SophosLabs proběhl zajímavý experiment, kdy bezpečně nakonfigurovaný bot (tzv. honeybot) přijímal pokyny od svého řídícího uzlu, generoval spam a zdánlivě jej odesílal. V reálné situaci by sice byly zjištěné hodnoty o něco nižší, například v důsledku chybných adres a nefunkčnosti některých článků, ale i tak jsou výsledky alarmující. Domácí počítač infikovaný jedním jediným malwarem by během jednoho týdne:

• rozeslal 750 286 unikátních spamů jedenácti typů na 5,5 milionu e-mailových adres
• poslal přibližně 30 gigabajtů dat
• připojil ke každému čtvrtému spamu jiný škodlivý kód (26 procent)
• odkazoval v 74 procentech na farmaceutický web a využil přitom 3 771 zkrácených odkazů a 58 infiltrovaných serverů

Je velmi důležité si všimnout, že 30 gigabajtů přenesených dat za týden není pro současné běžné uživatele problém – bot si vystačí se šířkou pásma asi 400 Kb/s a zdaleka nedosahuje nejčastějších limitů. Uživatelé tak nemusí zaznamenat vůbec žádný pokles přenosové rychlosti.

Čísla budou vypadat ještě děsivěji, pokud se botnet skládá z desítky tisíc počítačů – týdně by taková síť dokázala rozeslat 50 miliard spamů. A jak čelit svému podílu na tomto nebezpečí? Nevzdávat se filtrování nevyžádané pošty a v případě zjištění nákazy okamžitě podstoupit kroky nutné k odstranění infiltrace. Jinými slovy, pokud není uživatel součástí řešení, je součástí problému. S bojem pomohou specializované programy, například Sophos UTM Home Edition. Ten je pro domácí použití zdarma a nabízí všechny výhody komerčního produktu – od filtrování webových adres a e-mailových zpráv až po detekci průniků do sítě. Navíc má domácí uživatel k dispozici i 12 licencí antivirového programu Sophos Anti-Virus pro Windows. Nula korun proti milionům spamů? To nezní špatně.

Vanja Svajcer, ředitel výzkumu ve společnosti Sophos