Helt op til en fjerdedel af alle computere på internettet kan være under kriminel kontrol – det svarer til mellem 100 og 150 millioner computere ifølge Vint Cert. Han er det menneske, der oftest bliver kaldt »internettets fader«. På trods af disse svimlende tal er de fleste brugere lykkeligt uvidende om, at deres maskiner er blevet invaderet.

Disse millioner af pc’er kaldes »zombier« (fordi maskinens ejer ikke aner, at systemet bliver brugt af andre) eller »bots« (softwarerobotter), og man kan gruppere dem på nettene som »zombiehære« eller »botnets«, idet den kriminelle, der styrer dem, kaldes en »botherder«.

De kriminelle bruger disse botnets til at begå alle mulige former for ondsindede og bedrageriske handlinger. Op til tre fjerdedele af al e-mail-spam stammer fra botnets. På den måde kan spammerne undgå at blive opdaget, og de slipper for udgifterne til en netforbindelse.

Hvis spam-mail kommer fra ens computer, betaler man for forbindelsen, og man hænger på klagerne og de returnerede mails. Zombierne bruger også falske websider til phishing-svindel, hvor uskyldige brugere bliver bedt om at levere bankoplysninger eller kontokortnumre. De kan også udgøre en del af processen med at vaske penge hvide ved at hoste websites til rekruttering af pengekurerer – folk, der modtager pengeoverførsler og varer og derefter sender dem til en kriminel til gengæld for en kommission.

Botnet skjuler ulovlig materiale

Brugen af botnets til at gemme ulovligt materiale, for eksempel børnepornografi, er også vidt udbredt. De invaderede maskiners ejere har ingen anelse om, hvad der ligger på deres harddiske, hvorfra det bliver falbudt på internettet.

Den enorme stigning i pay per click-reklamer, såsom Google AdWords og Yahoo! Search Marketing har skabt endnu en mulighed for botherders – click-bedrageri – der bruger zombier til at køre scripts, der simulerer et menneske, der klikker på en reklame og genererer indtægt til forbryderen.

Botnets bliver også brugt til at gennemføre DDoS-angreb (distributed denial of service), der fører til afpresning eller er del af cyberterrorisme. DDoS-angreb er beregnet til at tvinge et site eller en tjeneste i knæ, så de legitime brugere ikke kan få adgang, samtidig med at sitets ejere får enorme problemer. I nogle tilfælde, for eksempel online-spillesteder, kan de kriminelle forhindre et website i at svare i en time eller to, hvorefter de aftvinger ejerne penge som sikkerhed for, at sitet kører normalt fremover.

Pengeafpresning er hverdag

Det er en klassisk form for pengeafpresning, den finder blot sted i den digitale tidsalder. Hvis den kriminelle sætter tusinder af zombier til at gå på det samme site samtidig, er det nemt at tvinge sitet i knæ.

På lignende vis bruger terrorister botnets til at angribe offentlige sites eller organisationer, der er kendt for at være modstandere af terroristernes synspunkter. Offentlige institutioner kan også bruge botnets til at angribe den kritiske nationale infrastruktur i et fjendtligt land – endnu et aspekt af cyberkrigsførelse.

Man kan inficere computere med en bot på en række forskellige måder. Ofte er hovedingrediensen en trojansk hest – ondsindet software, der fremstår som legitim, nyttig software, men som i virkeligheden skjuler sig på den intetanende brugers computer.

Et program, der hævder at være en uskyldig screen-saver kan indeholde malware, som fungerer som en server, der rummer ulovligt materiale og åbner for fjernadgang til computeren som en del af et botnet. Man finder hyppigt trojanske heste i cracket software – software, der er blevet ulovligt kopieret. Man anslår, at 50 procent af alle ulovlige eksemplarer af Windows XP er inficeret med en trojansk hest.

Både virus og orme

Bots kan også rumme en computervirus eller en orm. Vira spreder sig gennem e-mails, websites, instant messaging og net til fildeling, og de formerer sig fra computer til computer, idet de lægger en bot på hver maskine. Rootkits bliver brugt til at begrave den trojanske hest i operativsystemet og gemme den for antivirussoftware. Selv når politiet har fundet og stoppet en botherder, er de invaderede maskiner stadig ramte og sårbare over for udnyttelse af en anden kriminel i fremtiden.

I 2005 forpurrede hollandsk politi en botnetaktion, der styrede cirka 1,5 millioner computere, som var blevet invaderet af en internetorm ved navn W32.toxbot. Man mistænkte banden for at ville afpresse et amerikansk firma og udtænke en keylogger, der skulle skaffe kodeord og kontokortoplysninger.

Botnet via messenger

En af de mest almindelige mekanismer, når det gælder om at styre et botnet, sker via Internet Relay Chat (IRC). Den inficerede maskine logger på en kommando- og kontrolserver ved hjælp af IRC og venter på kommandoer. Botherderen bruger IRC-servere til at orkestrere angreb ved hjælp af det nødvendige antal zombier.

Et velgennemtænkt botnet har omfattende redundans, ikke kun når det gælder om at have mange bots at trække på, men også ved at have mange lagdelte kommando- og kontrolservere. Den software og den teknik, de kriminelle bruger, udvikler sig konstant, men i sidste instans falder det hele tilbage på brugernes uvidenhed eller dovenskab. Infektion er næsten altid automatisk og kræver enten dårligt beskyttede maskiner eller brugere, der ikke er klar over, hvilke risici de løber. Eller begge dele.

Hovedparten af botnets består af Windowsmaskiner, simpelthen fordi Windowsbrugere ofte er teknisk dårligt funderede, deres maskiner er usikre, og fordi flere og flere af dem er forbundet via bredbånd. De fleste hjemmebrugere har ingen eller ringe viden om computersikkerhed, og mange tror, at de ikke bliver genstand for angreb.

Manglende patches, forældet antivirussoftware, mangel på en personlig firewall og udbredt fildeling bidrager alle til, at brugeren bliver offer. De fleste er sårbare over for en eller flere infektionskilder: tilfældige websideangreb, scripting på tværs af sites, phishing-e-mails, inficerede vedhæftede filer, net til fildeling eller simpelthen den omstændighed, at brugeren ikke har de seneste patches fra Microsoft.

Professionelle sikkerhedsfolk kender udmærket forholdsreglerne mod infektion, men det gælder ikke den almindelige hjemme-pc-bruger. Denne liste, der bygger på råd fra www.cert.org, er et godt udgangspunkt for alle hjemme-pc-brugere:

Ti råd du bør kende

1. Brug antivirussoftware med automatiske opdateringer hver time.
2. Brug en personlig firewall
3. Lad være med at åbne ukendte eller uventede vedhæftede filer
4. Download og kør kun programmer fra en kendt, pålidelig udbyder
5. Slå skjulte filefternavne fra i Windows
6. Hent de seneste patches til operativsystemet og alle ens applikationer
7. Sluk for computeren, når den ikke er i brug.
8. Slå Java, JavaScript og ActiveX fra for alle andre end pålidelige sites (det er en glimrende ide at bruge browseren Firefox med plugin’en NoScript)
9. Slå scripting fra i e-mail-programmer såsom Outlook
10. Tag regelmæssig databackup og lav en bootdisk, der kan bruges, hvis computeren bliver beskadiget eller inficeret.

Mange programmer kan scanne en Windows-pc for trojanske heste og andre ondsindede programmer, som antivirussoftware måske ikke opdager. Regelmæssig scanning med et værktøj som Spybot-S&D (et gratis program fra http://www.spybot.com/) kan være med til at sikre, at maskinen ikke bliver del af en zombiehær.