Разбиването на мрежите от ботове повдига етични въпроси
Наско Атанасов
4.5.2008
Неотдавнашният ръст на ботнет дейностите в интернет накараха учените да се вгледат в някои необикновени и вероятно неприятни тактики за разбиване на ботнет разпространението и изваждането от строя на ботовете в инфектираните машини.
Ботнетът Кракен в момента е инфектирал десетки хиляди персонални компютри и не показва никаква тенденция към забавяне. Изследователите, изучаващи зловредния код, са забелязали, че машините, контролирани от автора на Кракен, работят през предварителен списък от домейни и търсят функциониращ управляващ и контролиращ сървър, за да си комуникират с него. Ако този сървър бъде изваден от действие или по друг начин направен недостъпен, авторът ще регистрира следващия домейн от списъка и ще задейства нов команден сървър. Ботовете в мрежата ще работят по списъка, докато не стигнат до новия домейн и просто не започнат да получават команди от тази машина.
Изследователите от лабораториите на TippingPoint са открили тази функция като потенциална възможност и са започнали да регистрират някои от поддомейните в списъка на Кракен и да емулират команден сървър. Подставеният сървър незабавно е започнал да получава заявки за свързване от инфектирани с Кракен компютри из интернет, като те са достигнали 20 000 за една седмица. Сега изследователите могат да изпратят каквато си искат заповед към хилядите ботове от армията на Кракен.
Въпросът обаче е, каква заповед да изпратят. Имат ли право да заредят инфектираните машини с нов код, който ще извади от строя ботовете Кракен? Изследователите са се борили с този проблем и в крайна сметка са стигнали до решението да не спират ботовете, но не без да проведат сериозна дискусия. Защитниците на идеята, са твърдели, че не може да има нищо лошо в това, че те могат да премахнат Кракен зомбите.
Това напомня на споровете дали е правилно да се пишат добри червеи (няколко дори са пуснати в Мрежата), които да „кърпят” уязвими сървъри, която тече от години. Разликата обаче е, че докато веднъж пуснат добрият червей не може да бъде спрян, в този случай може да се спре по всяко време, тъй като това е двустранна връзка – инфектираната система се свързва с подставения сървър и той й изпраща двоичен код, който ликвидира бота. Изследователите забравят за машината, а собствениците на бот мрежата не могат да контролират вече сървъра.
По-рано този месец немски учени показаха своя разработка, показвща възможността им да „отровят” Сторм мрежата, като публикуват голямо количество фалшиви ключове за ползване от инфектираните машини. Сторм ботовете използват ключове, за да комуникират със същите по ранг компютри.
Много експерти по сигурността обаче смятат, че независимо от добрите намерения да се изпращата команди до персонални компютри, притежавани от други хора, не е добра идея. Все пак те не са полицията на интернет, за да блокират атаките, макар, че изследователите споделят, че изкушението е голямо. Има обаче твърде много законови, етични и технически въпроси, които първо трябва да бъдат решение.
Пол Роял, главен изследовател в Damballa Inc., където е открит Кракен, казва: „Много майстори на ботовете могат да извадят от строя други ботове и да запушват уязвимости, през които са преминали. Това ги прави специалисти по ботовете, но така могат без да искат и да причинят по-големи вреди на машината.”