Ботнеты стали наносить столько вреда , что внимание на них обращают не только специалисты антивирусных компаний , но и государственные деятели. В Германии 15 сентября стартует программа по борьбе с зомби- сетями, на которую потратят около $2,7 млн. Реальный эффект от подобной инициативы возникнет, если она будет иметь глобальный характер , считают эксперты. Программа по борьбе с ботнетами, или зомби-сетями, запускается Министерством внутренних дел Германии , ее техническую поддержку будет осуществлять Федеральная комиссия информационной безопасности. По данным из описания проекта, его основная цель — исключить Германию из топ -10 списка стран с наиболее крупными и активными ботнетами . Пользователи, компьютеры которых оказались зараженными и включенными в зомби -сеть, будут получать уведомления по e-mail и телефону. Кроме того, доступ в сеть с их компьютеров будет отключен до полного излечения. Пользователи зараженных компьютеров будут переправляться на специальный сайт , на котором в доступной форме даются разъяснения , что такое ботнет, а также содержатся средства для лечения зараженных компьютеров. Если ни одно из содержащихся на сайте программных средств не помогло , провайдер обязан оказать пользователю помощь, используя собственную техническую поддержку . Отдельно отмечается, что программа абсолютно бесплатна для рядовых пользователей . Сейчас к инициативе немецких властей присоединились пять провайдеров , и в случае успеха программы ее обещают расширить до общеевропейского уровня . Немецкий опыт «Если в Германии удастся реализовать данную инициативу централизовано , то, вероятнее всего, эта затея даст положительные результаты, — высказал свою точку зрения в беседе с Infox.ru руководитель Центра Вирусных исследований и аналитики ESET. – Однако с точки зрения технической реализации остается много «белых пятен». Например, непонятно, откуда будут браться данные об активности ботнетов и каким образом ее будут вычислять . Ботсети работают по http-протоколу, и их поведение схоже с поведением веб-браузера, поэтому делать какие-то серьезные прогнозы об эффективности немецкой программы пока еще рано ». По словам эксперта, современные ботнеты можно разделить на два типа : первые имеют централизованное управление, другие — распределенное. «Последний тип менее популярен в данный момент времени — такого рода ботнеты сложнее администрировать , а также трудно защитить от кражи, — рассказал Александр Матросов. – При централизованном управлении с использованием так называемой админки (учетной записи администратора — Infox.ru), для прекращения функционирования ботнета достаточно закрыть его панель управления . Правда в реальных условиях опять-таки все несколько сложнее. Но успешные прецеденты были, например с нашумевшим ботнетом Mariposa, который удалось закрыть в конце прошлого года ». Инициатива, подобная немецкой, в России возможна, но существует множество трудностей, считает эксперт. «В данном случае возникает много организационных препон, — рассказал Александр Матросов. – И в первую очередь непонятно, зачем это нужно провайдерам? Я пока еще не верю в их сознательность, а подобного рода инициатива только добавит им лишней головной боли ». «Инициатива возможна и нужна, согласился с представителем ESET генеральный директор компании Group IB Илья Сачков. – Технически Россия уже к этому готова. Нужна воля силовой структуры и желание государства противостоять DDoSатакам и ботнетам . Кстати, DDoS-атаки — не самое грозное оружие ботнетов. Например, бот- сети направленные на кражу банковских ключей наносят гораздо больший ущерб . Особой специфики нет – надо просто начать действовать ». Российская компания Group IB участвует в программе, начатой немецким правительством. тенденции ботнетов По данным компании Group IB, за последние годы (2007−2010 год) в России наблюдались следующие тенденции для бот сетей . «Мы участвуем в этой программе, так как обладаем большим количеством информации о ботнетах , полученной в ходе расследования и в ходе мониторинга бот -сетей. Мы обмениваемся информацией не только в рамках этой программы, но и в рамках нескольких международных проектов, — рассказал Илья Сачков. – Суммарно мы контактируем в режиме 24/7 с 43 странами мира. Германская программа способна снизить количество «немецкого трафика» (а сети в Германии хорошие, так как трафик качественный) в общей статистики DDoS-атак. Но в целом она имеет смысл только в рамках международного проекта . Пока каждая страна не начнет в том или ином виде участвовать в проекте , победить ботнеты нереально». Трудные ботнеты По словам Ильи Сачкова, в России и СНГ борьба с бот-сетями хоть и возможна, но осложнена по целому ряду причин. Первая из них — отсутствие в России CERT’ов (Computer Emergency Response Team) в основных узлах связи, а так же в крупных телекоммуникационных компаниях . «Данные некоммерческие центры (которых в США, например, 53) отвечают за координацию действий между клиентами , провайдерами и другими участниками обмена информацией в интернете , — пояснил Илья Сачков. – В случае появления кибер-угрозы специалисты центров обмениваются информацией в режиме реального времени и минимизируют угрозу . Например, в ходе DDoS-атаки они могут заблокировать IP-адреса, принадлежащие активному ботнету , таким образом, атаку прекратив. Самое главное, что CERTы транснациональны, то есть нет бюрократических задержек и сложностей при обменом информацией между разными странами . В России на данный момент только один CERT». Другая причина — слабое техническое оснащение правоохранительных органов и малочисленность их штата , отсутствие оперативных координационных связей между различными подразделениями ФСБ и МВД по борьбе с компьютерными преступлениями . Кроме того, начать эффективную борьбу с ботнетами в России мешает отсутствие международных соглашений и законодательства по борьбе с подобными явлениями , должного количества судебной практики и международных методик по расследованию обстоятельств распределенных телекоммуникационных атак . «Киберпреступность не имеет своего государства, — отметил эксперт. — Создатель вируса может жить в России, управляющий атакой — в США, а заказчик — в Англии. Но, к сожалению, у каждого государства свои законы в области компьютерной преступности . Это делает расследование некоторых типов преступлений практически невозможным . До сих пор обмен некоторой информацией между правоохранительными органами разных стран идет на бумаге ». Среди прочих причин – быстрая эволюция ботнетов и низкий уровень компьютерной грамотности населения . «Методы противодействия бот- сетям быстро устаревают, — пояснил Илья Сачков. — Средний срок создания новой технологии нападения – полтора месяца . Используя сверхприбыли от преступной деятельности , хакеры легко находят финансирование для сверхсложных проектов ». Наконец, на распространение ботнетов серьезно влияет простота заражения персональных компьютеров вредоносным программным обеспечением . По словам эксперта, стоимость заражения 1000 машин вирусами начинается от $20. По данным компании Group IB, в 2010 году основными сферами деятельности, подвергшимися распределенным телекоммуникационными атаками являлись банковские платежные системы , системы электронных платежей, телекоммуникационные компании, средства массовой информации и предприятия электронной коммерции . Кроме того, DDoS-атаки, для организации которых используются ботнеты , это один из самых популярных типов преступлений в 2008 −2010 годах. DDoS-атак стало больше и они стали дешевле. Стоимость реальной DDoS-атаки в РФ составляет от 50 до 300 евро в день.
