Visse iagttagere mener, at omfanget af cyberkriminaliteten overstiger 100 milliarder dollars om året. Det eksakte omfang er genstand for diskussion, men at det er gigantisk er alle enige om.

Over 80 procent af alle mails i verden er spam. I Danmark stopper TDC’s spamfiltre hver måned op mod en halv milliard spam-mails i at nå brugernes postkasser, og tæller man de andre mailudbydere i Danmark med, er det rimeligt at anslå, at det samlede antal månedlige spam-mails alene i Danmark er over en milliard. Men hvem sender alle de spam-mails – og hvad skal de til for?

Når du modtager en spammail er det mest sandsynlige, at afsenderen i sidste ende er et af de verdensomspændende botnets.

Botnet

En stor del af cyber-kriminaliteten er nemlig organiseret i de såkaldte Botnets: Kriminelle netværk, der overtager og efterfølgende fjernstyrer almindelige menneskers computere – uden at brugeren på nogen måde opdager det.

På verdensplan menes der i hvert fald at være et stort tocifret milliontal af Bot-pc’er. Ja, den velrenomerede Vint Cerf (af mange kaldet »the father of the internet«) har endda estimeret tallet til 150 millioner Bot-pc’er.

Det anslås af F-Secure, at der alene i Danmark er omkring 50.000 computere, der er del af et botnet. Og her er der tale om almindelige menneskers pc’er – almindelige mennesker, der ikke selv aner, at de er en del af en verdensomspændende kriminel ring.

Hvordan er det bygget op?

Et botnet er typisk centreret omkring en central C&C server (command & control server), der styres af en kriminel bande. C&C-serveren har kontrol over en lang række Bot-pc’er, eller zombie-pc’er, som de også kaldes.

Det er helt almindelige brugeres maskiner, der er inficeret med et backdoor-program. Dette er typisk enten sket ved et drive-by angreb (hvor brugeren er blevet inficeret ved at besøge en hjemmeside), eller via malware i en mail, hvor brugeren ved et klik har aktiveret programmet.

Backdoor-programmet gør det muligt for C&C-serveren at overtage kontrollen med maskinen og udføre kommandoer fra den – som for eksempel at forestå udsendelsen af spammails.

Når C&C-serveren ikke kontrollerer computeren, opfører maskinen sig almindeligt og brugerne er uvidende om, at den medvirker til kriminalitet.

De største af Bot-nettene formodes at kontrollere 100.000-vis – nogle mener endda millioner – af computere.

Hvad vil de opnå?

Målet med den kriminelle aktivitet er i langt de fleste tilfælde penge. Vi har allerede nævnt spam som en af de muligheder, der er for at tjene penge. Det er naturligvis forsvindende få mennesker, der klikker på en spam-reklame. Men det koster omvendt stort set ingenting andet end tid at sende en mail, så selv en meget lav click-rate kan vise sig at blive en god forretning.

Men det er ikke altid, at penge er motivet. I sommeren 2007 sendte 3.000 bot-pc’er på blot fire dage mere end 160 millioner kampagne-mails ud for den republikanske præsidentkandidat Ron Paul.

Paul afviste ethvert kendskab til kampagnen, og som vi ved i dag, var den massive eksponering under ingen omstændigheder nok til at bringe ham ind i kapløbet om verdens mægtigste stilling. Men det siger noget om de kræfter, et Botnet kan aktivere.

Spam er det mest brugte våben for Botnettene, men det er langt fra det eneste. Click fraud er et andet. Her sættes de mange Bot-pc’er til at besøge hjemmesider og klikke på online-reklamer. Botnets franarrer på den måde penge fra de annoncører, der netop betaler for hver bruger, der klikker på en given annonce.

DDoS (Distributed Denial of Service) er et tredje våben. Et DDoS angreb har til hensigt at forbruge hele linjekapaciteten for et givent firma, så servere og infrastruktur overbelastes og den normale trafik blokeres. Motivet bag sådanne angreb kan være ideologi, politik, pengeafpresning – eller cyber-krig mod modstandere.

Ved keylogging installeres et lille program, der aflæser indtastninger på tastaturet og sender dem til en drop-server, hvor oplysninger fra Bot-pc’erne opsamles. På den måde kan en Botnet-ejer få kendskab til brugerkonti, passwords eller kreditkortoplysninger, der efterfølgende kan udnyttes. Dette er faktisk den potentielt farligste angrebsform for private brugere.

Bandekrig & våbenkapløb

I dag er der almindelig enighed om, at cyberkriminaliteten globalt domineres af de store botnets. I følge sikkerhedsfirmaet Marshal står de seks største for eksempel sammenlagt for udsendelsen af 85 procent af al verdens spam. Et af de dominerende Botnets, Sribizi, anslås alene at stå for halvdelen af verdens spam.

De forskellige botnets ligger i cyber-krig med hinanden. Deres backdoor-programmer er designede til at sætte hinanden ud af kraft, hvis de støder sammen på en Bot-pc. Det giver de enkelte Botnets mulighed for at forsøge at stjæle Bot-pc’er – og dermed markedsandele – fra hinanden.

Hvad gør ISP’erne

I kampen mod Botnets er nøgleordene for internetudbyderne brugeroplysning og samarbejde. Det giver ikke mening, at de enkelte internetudbydere sidder i hver deres andedam og kæmper.

TDC deltager sammen med andre internetudbydere i det danske ISP Sikkerhedsforum. I dette forum, hvor deltagerne tilsammen dækker 98 procent af det danske internetmarked for privatkunder, har man for eksempel lavet et spam-kodeks.

På europæisk plan samarbejder TDC med andre teleselskaber i ETIS. På verdensplan deltager TDC i MAAWG, som blandt andet har Google, Microsoft og Yahoo som medlemmer, og hvor medlemmerne repræsenterer næsten en milliard mailbokse. I ETIS og MAAWG diskuteres mulige tiltag i kampen mod spam og botnets.

Hvad kan man selv gøre?

Noget af det man som bruger selv kan gøre for at undgå at blive en del af dette globale kriminelle netværk er at sikre sig, at ens computer har installeret antivirus og firewall.

Men det er ikke engang nok. Det er meget vigtigt, at styresystemer og andre programmer holdes opdaterede. Ellers kan de indeholder sårbarheder, der kan udnyttes af kriminelle.

Det kan lyde som alle pc-brugeres barnelærdom, at antivirus og firewall skal være installeret, og programmer skal være opdaterede, men i virkelighedens verden er det et stort og reelt problem.

En undersøgelse blandt brugerne af portalen TDC Online viser, at 27 procent af alle danskere har haft en virusinficeret pc. En anden undersøgelse, foretaget af Secunia indikerer, at 32 procent af de programmer, der er installeret på danskernes pc’er ikke er opdaterede.

Men det er og bliver et våbenkapløb. Jo bedre værn, des mere aggressive og fantasifulde vil botnet-angrebene blive, da der er store gevinster at hente. Og så længe der er et internet, vil der også være cyberkriminalitet.

De anvendte protokoller

En botnet-computer kan være tilsluttet en C&C-server på forskellige måder.

Den IRC-baserede måde (Internet Relay Chat) var den første, man så. Bot-pc’en kommunikerer med en IRC-server, der afsender kommando om en given handling.

Den IM-baserede måde anvender en Instant Messaging-tjeneste, som for eksempel AOL, MSN eller ICQ. Den er mindre udbredt, fordi det er besværligt at oprette falske IM-konti til formålet.

HTTP-protokollen er en ny, hurtigt voksende tilslutning, hvor bot-pc’en tilslutter sig en foruddefineret web-server, hvorfra kommandoer gives.

Derudover findes der Botnets, der som transportprotokol anvender egne protokoller ovenpå TCP/IP-stakken.

To typer botnets

Der er overordnet to typer af botnets.

Det centraliserede botnet har en arkitektur, hvor alle bot-pc’erne er sluttet til en C&C-server (command & control server), hvorfra alle pc’erne kan kontrolleres. Hvis C&C-serveren sættes ud af drift, falder sådan et botnet fra hinanden.

Alternativet er P2P (peer-to-peer) botnettet med en mere decentral arkitektur, hvor de enkelte bot-pc’er er forbundet til hinanden. Ejeren behøver blot adgang til en enkelt af disse maskiner for at kunne styre hele netværket.