Sécurité : Comment se protèger des botnets ?
Pourra-t-on un jour éradiquer cette menace ?
Le 2009-08-26 18:24:12, par Katleen Erna, Expert éminent sénior
Comment se protèger des botnets ? Pourra-t-on un jour éradiquer cette menace ?
Alors que les feux d'artifices embrasaient le ciel du 4 juillet dernier (fête nationale), des milliers d'ordinateurs zombis attaquaient divers sites web du gouvernement américain. Un botnet utilisant plus de 200.000 PCs infectés par le virus MyDoom a tenté de faire refuser l'accès de plusieurs sites sensibles (dont celui de la Maison Blanche et de la Federal Trade Commission) à ses utilisateurs légitimes.
Cet assaut était là pour nous rappeler que le problème des botnets est toujours d'actualité. Nous vous parlions d'ailleurs hier du risque planant sur Google qui pourrait devenir une plate-forme de transmisson d'informations pour des attaques via botnets.
Un botnet est formé par un réseau d'ordinateurs compromis qui agissent ensemble, tous contrôlés à distance par un programme, sans que le propriétaire légitime de la machine ne s'en rende compte. Ces infections sont très fréquentes et votre ordinateur pourrait très bien y être sujet.
Pour preuve, la Shadow Server Foundation, un groupe spécialisé dans la surveillance des botnets, a annoncé en juillet que le nombre de bots repérés par ses services était passé de 1500 à 3500 en deux ans. Chacun de ses 3500 réseaux pourrait contenir plusieurs milliers d'ordinateurs infectés.
La contamination s'effectue en général en téléchargeant du code malveillant déguisé en vidéo sur un site, ou bien par le biais d'un virus ou d'un malware qui se serait introduit dans votre système. Quand un bot infecte votre PC, il se connecte à son serveur CnC (command-and-control) pour recevoir ses instructions.
Les robots ont des missions très différentes les uns des autres. Certains servent aux spammers pour envoyer des millions de messages ; d'autres sont utilisés pour réaliser des attaques paralysant des sites commerciaux (souvent en échange d'une rançon) ; ils permettent aussi des attaques fast-flux (pour garder les sites de phishing actifs, il faut régulièrement les changer de domaine, ce qui est possible via ce procédé qui permet de les dissimuler par l'utilisation du protocole DNS en attribuant à un même nom de domaine de nombreuses adresses IP). Tous ces services se monnaieraient très bien selon plusieurs experts.
Pour être opérationnel, un botnet a besoin de connexions fréquentes avec son serveur CnC (qui peuvent trahir sa présence, et également renseigner les experts sur la taille du bot en question). Des modifications dans le comportement de votre PC peuvent également être visibles.
Cependant, restez vigilants même si votre antivirus ne vous signale pas de communications inappropriées ni de présence inopportune sur votre système. Certains bots sont très difficiles à détecter. Microsoft propose un outil performant pour cette tâche (mis à jour tous les mois) : le Malicious Software Removal Tool.
D'autres solutions existent, comme BotHunter, qui fonctionne sous Linux, Unix, Mac OS et Windows (XP et Vista). Ce programme gratuit de SRI International surveille silencieusement le trafic internet de votre machine et conserve une trace des échanges de données qui pourraient correspondre à ceux d'un PC infecté par un malware. Il fut le premier à identifier la manière dont communique Conficker en novembre 2008, bien avant les autres solutions existantes.
Source : Shadow Server Foundation
Alors que les feux d'artifices embrasaient le ciel du 4 juillet dernier (fête nationale), des milliers d'ordinateurs zombis attaquaient divers sites web du gouvernement américain. Un botnet utilisant plus de 200.000 PCs infectés par le virus MyDoom a tenté de faire refuser l'accès de plusieurs sites sensibles (dont celui de la Maison Blanche et de la Federal Trade Commission) à ses utilisateurs légitimes.
Cet assaut était là pour nous rappeler que le problème des botnets est toujours d'actualité. Nous vous parlions d'ailleurs hier du risque planant sur Google qui pourrait devenir une plate-forme de transmisson d'informations pour des attaques via botnets.
Un botnet est formé par un réseau d'ordinateurs compromis qui agissent ensemble, tous contrôlés à distance par un programme, sans que le propriétaire légitime de la machine ne s'en rende compte. Ces infections sont très fréquentes et votre ordinateur pourrait très bien y être sujet.
Pour preuve, la Shadow Server Foundation, un groupe spécialisé dans la surveillance des botnets, a annoncé en juillet que le nombre de bots repérés par ses services était passé de 1500 à 3500 en deux ans. Chacun de ses 3500 réseaux pourrait contenir plusieurs milliers d'ordinateurs infectés.
La contamination s'effectue en général en téléchargeant du code malveillant déguisé en vidéo sur un site, ou bien par le biais d'un virus ou d'un malware qui se serait introduit dans votre système. Quand un bot infecte votre PC, il se connecte à son serveur CnC (command-and-control) pour recevoir ses instructions.
Les robots ont des missions très différentes les uns des autres. Certains servent aux spammers pour envoyer des millions de messages ; d'autres sont utilisés pour réaliser des attaques paralysant des sites commerciaux (souvent en échange d'une rançon) ; ils permettent aussi des attaques fast-flux (pour garder les sites de phishing actifs, il faut régulièrement les changer de domaine, ce qui est possible via ce procédé qui permet de les dissimuler par l'utilisation du protocole DNS en attribuant à un même nom de domaine de nombreuses adresses IP). Tous ces services se monnaieraient très bien selon plusieurs experts.
Pour être opérationnel, un botnet a besoin de connexions fréquentes avec son serveur CnC (qui peuvent trahir sa présence, et également renseigner les experts sur la taille du bot en question). Des modifications dans le comportement de votre PC peuvent également être visibles.
Cependant, restez vigilants même si votre antivirus ne vous signale pas de communications inappropriées ni de présence inopportune sur votre système. Certains bots sont très difficiles à détecter. Microsoft propose un outil performant pour cette tâche (mis à jour tous les mois) : le Malicious Software Removal Tool.
D'autres solutions existent, comme BotHunter, qui fonctionne sous Linux, Unix, Mac OS et Windows (XP et Vista). Ce programme gratuit de SRI International surveille silencieusement le trafic internet de votre machine et conserve une trace des échanges de données qui pourraient correspondre à ceux d'un PC infecté par un malware. Il fut le premier à identifier la manière dont communique Conficker en novembre 2008, bien avant les autres solutions existantes.
Source : Shadow Server Foundation
-
vg-matrixMembre confirméCela veut dire qu'être connecté au réseau internet aujourd'hui est un risque potentiel et que les utilisateurs lambda représentent des dangers pour eux même et pour le monde.le 27/08/2009 à 14:17
-
turican2Membre actifComment éradiquer les botnets?
Je pense qu'une partie de la solution est assez simple. Il faudrait que les grosses entreprises fournissant des logiciels incontournables trouvent le moyens de baisser radicalement leur tarif de vente afin de casser le réflexe crack.
Exemple: A l'école en 2007, le prof de marketing n'acceptait que les docx car il était équipé de cette suite et n'était pas vraiment à l'aise en informatique (comprendre que ce n'était pas son boulot) mais ce comportement nous imposait à l'époque Office 2003. Au vu du tarif de la licence, beaucoup ont été tenté de le télécharger + cracker. Même en passant le crack à l'antivirus tout allait bien "aucun virus trouvé". J'ai rallumé pour récupérer des cours ce dit pc récemment et là bing.. l'antivirus après mise à jour qui se met à gueuler dans tous les sens que mon pc est infecté.
Je ne suis pas là pour critiquer Microsoft qui fait d'énorme effort. Office 2010 gratuit avec la pub, utilisation pour les étudiants à prix casser de certain de leur soft.. pour pour les gens normaux au revenu normaux comment suivre la tendance avec de tel prix?
Au final je pense que pour les gens n'aient plus le réflexe de craquer leur logiciel qu'un effort de la part des entreprises soit réaliser. Comme bon élève (et pitié ne me lyncher pas à ce sujet) je pourrait citer Oracle qui fourni à titre gracieux (à utilisation non commerciale) la quasi totalité de ces produits. Je trouve ce comportement responsable.le 28/02/2010 à 16:26 -
Et fournir à tous les geeks incasables une copine, façon blonde sulfureuse, pour casser le réflexe site porno?
Sérieusement, si les virus ne se propagent pas par les logiciels crackés, il le feront autrement. Ils continueront à le faire tant qu'il y aura une demande pour des botnets (les botnets se louent...)
A mon avis la solution, c'est d'essayer de casser la demande de botnets, c'est à dire de réprimer un peu plus sérieusement le spam, de chercher à remonter et à punir les attaques (au lieu de les cacher, comme c'est le cas de 99% des entreprises), et disposer d'un arsenal juridique (international, forcément), à des fins répressives. Si le spam devient moins rentable, parce que plus dangereux, si les fraudes au nom de domaine et autres attaques, sont systématiquement poursuivies, la demande de botnet baissera.
Francoisle 28/02/2010 à 18:26 -
deadalnixMembre émériteEt puis surtout, informer les utilisateurs. Voire même les responsabiliser un peu.le 28/02/2010 à 20:36