BOTNET - mối nguy của Internet
Chúng chính là nguy cơ lớn nhất cho mạng máy tính toàn cầu này.Những “bóng ma” này được gọi là “zombie” - là những máy tính bị hacker chiếm quyền điều khiển. Thủ đoạn phát tán virus máy tính và các phần mềm độc hại (malware) của hacker càng ngày càng tinh vi nên đa số chủ nhân của các máy zombie đều không biết hệ thống của họ đang bị lợi dụng để gửi thư rác, ăn cắp thông tin để truy cập vào tài khoản cá nhân, mở các cuộc tấn công từ chối dịch vụ phân tán (Distributed Denial of Service – DDoS)... Một hacker có thể tạo ra nhiều zombie ở khắp nơi trên thế giới và kết nối thành một “mạng máy tính ma” gọi là “botnet”.
Khái quát về Botnet
Hacker thường kiểm soát botnet từ xa thông qua IRC (Internet Relay Chat). Đây là một giao thức hội thoại trực tuyến có mã nguồn mở dựa trên nền tảng TCP (Transmission Control Protocol – giao thức điều khiển việc truyền tải dữ liệu trên Internet). Hầu hết mọi máy chủ IRC đều cho phép truy cập miễn phí, không kể đối tượng sử dụng. Có hai mức truy cập cơ bản vào kênh IRC : mức người dùng (user) và mức điều hành (operator). Zombie sẽ gửi một bộ các tập lệnh hoặc một chương trình độc lập đến máy chủ IRC để thiết lập kênh liên lạc do hacker thực hiện. IRC được xem là công cụ tốt nhất để hacker phát động các cuộc tấn công nhờ tính linh hoạt và dễ sử dụng. Nó cũng cho phép kẻ tấn công che đậy nhân dạng thật của mình với một số thủ thuật đơn giản như sử dụng proxy nặc danh hay giả mạo địa chỉ IP. Khi trở thành zombie, máy tính thường dùng kênh IRC liên lạc với người điều hành để nhận những chỉ thị mới.
Nạn nhân chủ yếu của botnet là người dùng máy tính đơn lẻ, máy chủ ở các trường Đại học hoặc mạng doanh nghiệp nhỏ. Đó là do máy tính ở những nơi này không được giám sát chặt chẽ, các lớp bảo vệ mạng thường bị hở hoặc thiết lập lỏng lẻo. Những đối tượng người dùng này cũng không xây dựng cho mình các chính sách bảo mật, hoặc nếu có thì chỉ ở một số khu vực trong mạng.
Tác hại của Botnet
Mức độ phá hoại của botnet hoàn toàn phụ thuộc vào trình độ của hacker. Nó thường được sử dụng trong một số ứng dụng phổ biến:
Mở các cuộc tấn công DDoS. Những cuộc tấn công này sẽ gây tràn tài nguyên trên máy chủ của mạng bị tấn công, làm tràn ngập băng thông và tắc nghẽn đường truyền khiến cho người sử dụng không thể kết nối với mạng. Kết quả là mạng đó bị sập;
Phát tán thư rác. Botnet là một công cụ lý tưởng cho những kẻ phát tán thư rác. Nó được dùng để trao đổi địa chỉ e-mail thu thập được, phát tán các phần mềm quảng cáo (Adware) để hiển thị hoặc tải về những thông tin quảng cáo mà người sử dụng không hề yêu cầu. Việc phát tán này có cơ chế giống với kiểu tấn công DDoS;
Đánh cắp thông tin cá nhân. Botnet bí mật cài đặt các phần mềm gián điệp (Spyware) và các chương trình kiểm soát tập tin được truyền tải (sniffing) hoặc giám sát thao tác trên bàn phím (keylogging) vào máy tính của người sử dụng để thu thập những thông tin nhạy cảm của họ;
lPhát tán malware. Một botnet với 10.000 máy tính zombie có khả năng phát tán virus qua e-mail rất nhanh, để lại một hậu quả không lường. Witty worm là một trường hợp điển hình. Đây là loại virus đầu tiên tấn công vào những lỗ hổng trong các phần mềm bảo mật mạng. Ngày 19/3/2004, virus này bắt đầu tấn công các máy tính có kết nối Internet và chỉ trong vòng 30 phút nó đã lây nhiễm đến 12.000 máy tính.
Phòng ngừa Botnet
Các chuyên gia về an ninh mạng đã đưa ra những bước cơ bản giúp người sử dụng giảm nguy cơ khiến máy tính của họ trở thành những zombie như sau:
Ngăn chặn virus máy tính. Dùng các chương trình diệt virus để quét hệ thống máy tính mỗi ngày. Cài đặt các chương trình ngăn chặn spyware, malware ngay từ khi tải bất kỳ thông tin nào từ Internet về máy tính;
Giám sát chặt chẽ luồng thông tin trong mạng. Thiết lập các công cụ giám sát luồng thông tin ra vào hệ thống mạng, như hệ thống phát hiện sự xâm nhập không được phép (intrusion detection system) để phát hiện những nguyên nhân làm trì trệ, ách tắc sự lưu thông này. Có thể tham khảo danh sách các địa chỉ IP được xem là các nguồn phát tán những hoạt động thư rác tại trang web:
http://www.spamhaus. org/sbl/index.lasso;
Kiểm soát chặt chẽ các cổng thông tin của máy tính. Hầu hết các phần mềm về an ninh mạng hiện hành đều cho phép người sử dụng đóng các cổng trao đổi thông tin trong máy tính không cần dùng đến. Càng mở ít cổng càng dễ kiểm soát máy tính của mình. Việc sử dụng Internet thường chỉ cần mở một vài cổng là đủ, ví dụ như cổng 25 và 110 cho e-mail, cổng 43 cho DNS (Domain Name System – hệ thống quản lý tên miền trên Internet), cổng 80 cho web và cổng 443 cho SSL (Secure Sockets Layer – giao thức web để thiết lập bảo mật giữa máy chủ và máy khách). Trang web http://www.chebucto.ns.ca/~rakerman/trojan-port-table.html liệt kê các cổng được xem là nguy hiểm vì thường bị các chương trình Trojan và malware khác sử dụng;
Cảnh báo cho người sử dụng. Đây là một công việc cần thiết nhằm nâng cao ý thức bảo mật ở người sử dụng, hạn chế tối đa các điểm yếu về an ninh phụ thuộc vào yếu tố con người trong quá trình sử dụng máy tính.