Grid-Computing ist eine Technologie, die überflüssige Rechenkapazität ans Internet angeschlossener PCs für komplexe Berechnungen zur Verfügung stellt. So beteiligen sich beim World Community Grid, an dem sich IBM beteiligt, allein in Europa über 96’000 Personen (Schweiz: 1800) mit ihren Computern freiwillig an der Berechnung eines komplexen Proteins in der Krebsforschung. Weit weniger Freiwillige wird man finden, wenn man Rechner für den Spam-Versand oder die Passwortspionage zusammenschliessen will. Und trotzdem rechnen täglich mehrere Millionen PCs genau an solchen Aufgaben.
Bots sind kleine Programme, die sich vom Nutzer unbemerkt auf seinem System einnisten. Dort geben Sie dem Bot-Erfinder unsichtbar die Kontrolle über den Rechner und binden ihn in ein ganzes Netzwerk weiterer infizierter Maschinen. So entsteht ein ganzes Netzwerk fleissiger Rechner, die am Aufspüren von Passwörtern oder dem Knacken von Zugangscodes arbeiten.
Um ein Botnet aufzubauen, muss der Erfinder möglichst viele PCs mit seinem Bot-Programm infizieren und dafür sorgen, dass ihre Aktivität nicht bemerkt oder unterbrochen wird. Bei beidem tauchen immer raffiniertere Varianten auf. Um die kleinen Programme auf die Rechner der Opfer zu bringen, setzen die Erfinder immer mehr auf Social Engineering: Sie parken bösartigen Code auf bekannten Webseiten oder Foren oder verschicken Spam-Mails mit einem vielversprechenden Dokument mit versteckter Ladung. Die Variationen sind sehr vielfältig, haben aber alle ein Ziel: die Infektion des Systems des Benutzers, wenn möglich ohne dass dieser darauf aufmerksam wird. Gegen solche Methoden bieten auch gut gepatchte Systeme keinen ausreichenden Schutz mehr, denn einen Patch gegen Social Engineering gibt es nicht.
Botnets profitieren aktuell vor allem von der enormen Verbreitung von Breitbandanschlüssen in den Haushalten. Es ist fast schon selbstverständlich, 24 Stunden online zu sein. Durch die Dauerverbindung ins Internet können solche Maschinen jederzeit im Botnet genutzt werden. So konnten die illegalen Netze in den vergangenen Monaten stark wachsen und erreichten neue Rekordgrössen. Das Botnet «Storm» setzte vergangenes Jahr beispielsweise eine neue Höchstleistung mit weit über einer Million aktiver Bots. Davon waren innerhalb des beobachteten Zeitraums von 24 Stunden über 250’000 aktiv. Diese Dimensionen machen Botnets plötzlich zu gefährlichen wie auch mächtigen Instrumenten.
Die Schwierigkeit besteht vor allem in der Erkennung solcher Angriffe, da diese von einer enormen Vielzahl von Systemen kommen und meist wie legitimer Traffic aussehen – jedoch in einer solch hohen Zahl, dass die Systeme schlichtweg überfordert sind. Dabei gehen die Botnetze immer intelligenter vor, die Ziele der Angriffe werden breiter. Waren vor kurzem vor allem Endsysteme die Opfer der Angriffe, geraten immer mehr Internetseiten ins Visier der Botnetze, um die Verbreitung und Infektion möglichst vieler Systeme zu erweitern. So findet man immer häufiger bösartigen Code zur Installation von Bots in Blogs, Foren oder auch Suchmaschinen. Der Benutzer muss immer vorsichtiger werden, welche Seiten er besucht und welchen Code sein System ausführen darf.
Ein weiterer wichtiger Antrieb für die Bots und Botnets ist die Entwicklung des sogenannten Cybercrime. Das organisierte Verbrechen hat über die letzten Jahre Interesse am Internet gefunden und sich entsprechend organisiert, denn mit den Diensten eines Botnet lässt sich Geld verdienen. Bereits heute sind Angebote im Internet zu finden, welche Distributed-Denial-of-Service-Attacken mit mehr als 50’000 Bots anbieten – und dies für Preise von unter 500 US-Dollar pro Stunde. Aber auch Spam-Dienste oder das Sammeln von ganz spezifischen Passwörtern können gekauft werden. So kann ganz einfach per Suchauftrag ein gültiger Zugang zur Firma XY in Auftrag gegeben werden.
Ein Blick in die Kristallkugel ist deshalb gefragter denn je: Wie wird es mit Bots und Botnetzen weitergehen? Von einer kleinen Unannehmlichkeit haben sich Bots zur wahren Bedrohung hochgearbeitet. Bereits heute tragen Bot-Entwickler und die Verteidiger (z.B. Anti-Viren-Hersteller) ein Wettrüsten aus. Neue Ideen auf Seiten der Bot-Entwickler verlangen nach neuen Mitteln der Verteidigung. Neue Verteidigungs-Strategien und -Software führen zu noch clevereren Tarntechniken der Bots. Weitere Energie ziehen Botnets aus dem Geld, welches mit ihrer Entwicklung verdient werden kann.
Heute werden die Botnets noch für verhältnismässig einfache Aufgaben eingesetzt: E-Mail versenden, Passwörter aufzeichnen, Webanfragen ausführen. Moderne Botnets mit mehreren hunderttausend Bots vereinen aber eine unglaubliche Rechenpower. Es entstehen regelrechte illegale Grids, die Aufgaben lösen können, für die einzelne Systeme Jahre benötigten. Die vergangenen Attacken auf CAPTCHAs sind wohl erst der Beginn der Möglichkeiten. Bots werden sich in den nächsten Monaten weiter auf mobile Endgeräte wie zum Beispiel Smartphones ausdehnen. Daten zu Telefonaten und der Location des Nutzers sind für kriminelle Entwickler eine interessante Beute. Durch ein Botnet könnten sie geliefert und ausgewertet werden.
Daneben werden die Bot-Entwickler weiter an der Verfeinerung der Bots bauen. Heute basieren die Bots und deren Betrieb noch stark auf dem Einsatz eines zentralen Kommunikations-Channels (meist einem Chat-Kanal auf einem Internet Relay Chat Server). Diese Kommunikation wird aktuell meist noch im Klartext abgewickelt und gilt als eine mögliche Achillessehne der Bots, denn wenn der zentrale Kommunikationsserver ausgeschaltet werden kann, so stirbt das Botnet.
Allerdings ist auch schon die Lösung für das Problem in Sicht: Sogenannte Fast-flux-Botnets setzen Domain Names anstatt einer IP-Adresse für die Kommunikation zu einem zentralen Server ein. Die Domain-Names zeigen zwar auf eine IP-Adresse, sie wird aber in rascher Folge immer wieder gewechselt. Der Single-Point-of-Failure, der zentrale Kommunikationsserver, wird dadurch plötzlich vervielfacht – stirbt einer, ist dies für das Botnet nicht das Ende. Es kann auf den nächsten ausweichen.
Das Aufspüren der zentralen Server wird durch die schnellen Wechsel auch bedeutend schwieriger und aufwendiger. Mittels dem «Rock-Phishing» werden dazu die Kommunikationsserver hinter einer Reihe von Proxys versteckt, um die Suche noch weiter zu erschweren. Parallel sieht man auch erste Ansätze von Peer-to-Peer Botnets. Statt auf einen oder mehrere zentrale Server zurückzugreifen, versuchen die Bots untereinander ein Netzwerk zu knüpfen, welches gegen Ausfälle einzelner Knoten praktisch immun ist.
Die Entwicklung der Bots und Botnets ist beeindruckend und beängstigend zugleich. Schon jetzt zeichnet sich eine harte Aufholjagd für die Verfolger und Anti-Viren-Hersteller ab. Aber über Erfolg oder Scheitern eines Botnet wird am Ende jeder einzelne Benutzer entscheiden. Denn wenn die Infektionen einzelner Systeme durch Bots eingeschränkt werden können, so verlieren die Botnets an Kraft und somit an Bedeutung.
Verschiedene technische Massnahmen stehen parat oder sind in Entwicklung, neue kommen fast wöchentlich dazu. Es liegt in der Hand der Nutzer – und ihrer Entscheidung – wie viel Sicherheit ihre Systeme benötigen. Nur treffen sie die Entscheidung wie bei Viren nicht nur für sich, sondern womöglich für das gesamte Internet.
Bots sind kleine Programme, die gewisse Dienste im Internet übernehmen. Bots gibt es, seit es das Internet gibt, und nicht alle sind «böse». Gutartige Bots übernehmen zum Beispiel in Computerspielen die Steuerung der Figuren.
· Hat sich ein Bot erst einmal auf einem System (PC) installiert, schliesst es sich mit anderen «infizierten» Systemen zu einem Botnet zusammen.
· Botnets führen gemeinsam Befehle wie zum Beispiel Denial-of-Service-Attacken aus.
· Zur Kommunikation nutzen Bots meist Chat Channels (IRC – Internet Relay Chat) – über sie erhalten sie ihre Befehle.
· In letzter Zeit werden Botnets verstärkt auch für komplexere illegale Aufgaben genutzt, wie zum Beispiel das gezielte Ausspionieren von Passwörtern und Identitäten. Es gelang Bots sogar, automatisch Accounts zu erstellen, die durch in Bildern versteckten Text geschützt waren. Bislang konnten Maschinen den Textcode in den Bildern nicht entschlüsseln.
· Eines der grössten aufgedeckten Botnets war 2007 das «Storm»-Netz. Es hatte weit über eine Million aktive Bots und ist auch im 2008 noch äusserst aktiv.
· Um aktiv werden zu können, muss sich ein Bot unbemerkt vom User in dessen System einnisten. Die ersten Bots drangen meist nur über eine bekannte Schwachstelle in die PCs der Nutzer ein. Mittlerweile können sie auf ein ganzes Arsenal von möglichen Angriffen und Infektionswegen zurückgreifen.
Reto Baumann, IT Security Architect, Ethical Hacker,
IBM Schweiz AG
