Olyanok a botnetek, mint a mitológiai szörny, a Hydra: levágják egy fejét, egyből kettő nő a helyébe. De ugyanakkor olyanok, mint a mesebeli sárkányok: ha egyszerre vágnák le az összes fejét, akkor ki lehetne nyírni ezt a támadási formát. Ez utóbbi azonban – sajnos – csupán elméleti lehetőség. Bár a hatóságok és a biztonsági cégek újra is újra harcba indulnak a botnetek ellen, nemzetközi összefogással is csak korlátozott eredményeket tudnak elérni.

A spamek elleni nemzetközi összefogás egyik élharcosa, a Spamhaus spamküldő hálózatok elemzése során érdekes tendenciára lett figyelmes: egyre több bontnet támaszkodik a felhős szolgáltatásokra, azaz vezérlőszervereiket felhős adatközpontokba telepítik. Ezzel két legyet ütnek egy csapásra: jól skálázható rendszert tudnak építeni, amit gazdaságosan tudnak működtetni. Az már csak hab a tortán, hogy a legális szolgáltatások között jól el tudják rejteni a vezérlő szervereiket.

Tavaly már érzékelhető volt

A tendencia tavaly már érzékelhető volt, és főleg az Amazon AWS-énél (Amazon Web Services). Az AWS kihasználása idén januárban érte el a csúcsát. A Spamhaus elemzése szerint az AWS-ben felépített vezérlőszerverek tavaly novemberben kezdtek meredeken emelkedni, és csak idén márciusra estek vissza a tavalyi átlagos szintre (lásd az alábbi grafikont). A visszaeséssel párhuzamosan azonban egyre több olyan vezérlőszervert detektáltak, ami már Google Compute Engine szolgáltatását használja.

Mit tehetnek a felhőszolgáltatók? A Spamhaus szerint a jelenleginél mindenesetre többet. Szakértőik szerint ebből a szempontból egyik szolgáltató sem áll a helyzet magaslatán. Jelenleg a Spamhaus feketelistáin 159 olyan cím szerepel, amely az AWS-hez köthető, valamint 59, ami a Google-höz. Az elemzés hangsúlyozza is, hogy ezek csupán botnetvezérlő szerverek. Az adathalászathoz használt csalárd oldalakat és a ransomware-ek fizetési oldalait működtető vagy a kártevők terjesztéséhez használt szervereket nem is tartalmazza a grafikon.

Spamküldő botnetek vezérlőszervereinek száma a Google-ön és az AWS-en 2016 januárja és 2017 márciusa között

Forrás: Spamhaus

A Spamhaus szerint az a legnagyobb probléma, hogy a felhőszolgáltatók nagyon lassan reagálnak az ilyen problémákra. A szervezet szakértője, Thomas Morrison szerint ennek oka az lehet, hogy a problémát nem kezeli megfelelő súllyal. Morrison azt is feltételezi, hogy komoly hiányosságok vannak az ügyfelek regisztrációjakor végzett ellenőrzéseknél, és talán a felhasználási feltételek sem elég szigorúak.

A Spamhaus állítja, hogy több bejelentésükre sem kaptak megfelelő és gyors választ a két szolgáltatótól.

A Google-nél külön csapat van erre

A Google gyorsan cáfolta Morrisont. Egyrészt szerintük igenis vannak óvintézkedések, melyek segítenek a visszaélések detektálásában, sőt a megelőzésében. Felállítottak egy mérnökcsapatot is, melynek feladata, hogy megkeresse és elhárítsa a potenciális biztonsági problémákat és visszaélési lehetőségeket.

Szerintük a reagálási sebességgel sincs gond. Ha olyan tevékenységet észlelnek, amely a felhasználási feltételeket megsérti, akkor azt azonnal felfüggesztik. A mérnökcsapat a visszaélések egy jelentős részét még azelőtt azonosítja, hogy azt külső szervezetek jeleznék.

A kívülről érkező bejelentésekre azonban nem tudnak azonnal lépni, hiszen ellenőrizniük kell, hogy valóban létező problémára bukkant a bejelentő. Ez utóbbi érthető is, hiszen ilyen ellenőrzés hiányában bárki leállíthatja átmenetileg például egy konkurense Google Cloud Engine-ben futó szolgáltatását.

Kétségtelen, hogy a Spamhaus és a Google hozzálása mellett is vannak érvek, ám a probléma mindenképpen rámutat a regálási sebesség fontosságára. A Cisco egy tavalyi kutatása szerint az átlagos felderítési idő, (TTD – time to detection) 200 nap, és szinte semmit sem javult az egy ével korábbi helyzethez képest. Pedig a felhő terjedésével ennek a súlya is sokkal nagyobb, hiszen a támadások hatóköre is hatványozódik.