De laatste tijd zijn er een aantal berichten geweest die erop duidden dat ook amateurs een botnet zouden kunnen opzetten. Zowel in het geval van de aanval op Google China, als bij het Mariposa botnet werd gesuggereerd dat het ging om relatieve amateurs. Dat zou kunnen wijzen op een gevaarlijke ontwikkeling.

Stel dat het voor iedereen mogelijk wordt om een botnet op te zetten met behulp van wat leuke tools of een ZeuS pakketje, dan zullen er uiteindelijk veel meer aanvallen gaan komen. Stel je voor: die vervelende buurman die nu nog zijn hond in je tuin laat poepen haalt dan misschien gewoon eventjes de site van je lokale sportvereniging offline om je te jennen!

Amateurs of professionals

Eddy Willems is security evangelist bij G Data. Hij vindt dat je een duidelijke scheiding kunt zien tussen de professionele botnets en de amateuristische. “Mariposa is een voorbeeld van een amateuristisch botnet die wel tot een aanzienlijk resultaat heeft geleid."

Maar er is volgens hem wel degelijk een duidelijke scheiding tussen dat soort ‘copy en paste botnets’ en de echt professionele varianten zoals het Conficker botnet. "Een deel van de professionele varianten blijven vaak onder de radar en daar worden dus meer geld en gegevens door vergaard dan dat we weten", stelt hij

Doodsimpel

Tom Welling, beveiligingsspecialist bij Symantec ziet niet zozeer een scheiding, maar is het er wel mee eens dat het opzetten van een botnet beslist geen rocket science hoeft te zijn. “Veel malware wordt herschreven vanuit bestaande malware of toolkits. De Hydrac aanval op Google China is niet eens samengesteld met een toolkit, maar was een samenraapsel van bestaande code. In die zin was hij dus amateuristisch."

Hij stelt dat een botnet doodsimpel samen te stellen is. Je kunt gewoon een lek pakken zoals het IE 6 en 7 lek van dit moment, of misschien een zelf ontdekt lek en dan de code aanpassen zodat het daarop werkt. "Het hoeft echt niet altijd moeilijk te programmeren zijn. Het gaat er eerder om op het juiste moment het juiste ding doen.”

Welling wijst erop dat in het Mariposa botnet maar weinig gebruik wordt gemaakt van geavanceerde dingen. Het maakt gebruik van peer-to-peer, maar niet van encryptie, het probeert zichzelf niet echt te verbergen. "Maar ja, als je maar gewoon veel probeert, dan heb je toch genoeg machines die je kunt pakken", zegt hij. "Lukt het bij de ene machine niet, dan pakken ze de andere wel.”

Niets nieuws

Beveiligingsconsultant van Madison-Gurkha Hans van de Looy ziet geen verschuiving in botnet oprichters. "Niets nieuws onder de zon. Dit is een normale ontwikkeling binnen de gehele IT. Denk even een aantal decennia terug in het verleden. Toen waren computers alleen toegankelijk voor mannen in witte jassen die werkten bij onderzoeksinstellingen of multinationals die het geld hadden om deze apparatuur aan te schaffen. Daarna kwam de mini en uiteindelijk de PC. Hierdoor konden steeds meer mensen de apparatuur betalen en met een beetje studeren gebruiken voor allerlei doeleinden."

Zo is dat volgens Van Looy ook gegaan met het internet. Eerst kon je alleen van het net gebruik maken als je bij Research & Development instellingen werkzaam was en moest je de verschillende Request for Comments kunnen begrijpen voordat je ook maar een bit over het net kon versturen, laat staan zinnig kon communiceren. Tegenwoordig kunnen kids van 8 jaar en oude van dagen van 80+ in alle eenvoud communiceren omdat de aansluitingen, apparatuur en programmatuur veel gebruikersvriendelijker zijn geworden.

En precies hetzelfde gebeurt dus met programmatuur die minder ethische doelen voor ogen heeft. De reden ervoor is ook erg eenvoudig, aldus Van Looy. "Er is een markt voor. Mensen blijken te willen betalen voor het gebruik van een botnet om aanvallen te kunnen uitvoeren of spam te kunnen versturen. Het is dus gewoon een kwestie van economie, gecombineerd met technische evolutie en menselijke zwakheden. Niet meer en zeker niet minder."

Daderprofiel

Welling ziet geen beweging in het daderprofiel van malwareschrijvers en hackers, maar wel in het doel. "Er is een duidelijke verschuiving in de beweegredenen. Vroeger ging het vooral om de faam die te behalen viel als hacker en nu gaat het steeds vaker om geld", zegt hij.

Er zijn nog steeds gewoon hackersgroepen, zoals die er altijd al waren. Alleen worden die nu steeds vaker gestuurd door grote criminele organisaties, zoals de Russian Business Network. "De economie verschuift naar het internet. We worden er meer en meer afhankelijk van en er gaat ook steeds meer geld in om. En waar geld is daar zijn de boeven simpelweg.” Bron: Techworld