آلبرایت 27 ساله در کنار همسر و دو فرزندش که در یک مرکز سلامت و بهداشت در کلورادو به عنوان مبلغ فعالیت میکنند، زندگی میکند و در اوقات فراغت خود با اعضای ShadowServer چت میکند و به تبادل اطلاعات درباره دزدان فعال اینترنتی میپردازد. هر <bot> یک کامپیوتر است که با نصب نرمافزارهای ویژهای توسط هکرها، برای انجامدادن عملیات مورد نظر تحت کنترل درآمده است. هکرها از این botها برای طرحهای آنلاین خود نظیر مرور و بررسی اطلاعات شخصی و مالی کاربر نیز استفاده میکنند.
او اخیراً در مصاحبهای گفت: <من لپتاپم را همیشه با خود به همراه دارم و حتی زمانی که در منزل نیستم، به دقت بوتنتها را زیر نظر میگیرم. گاهی روزانه تا شانزده ساعت از وقت خود را صرف روزآمد نگهداشتن اطلاعات خود درباره آنها میکنم.>
بعدازظهر یکی از یکشنبههای ماه فوریه، آلبرایت به طور مخفیانه مشغول گشتزنی در یک کانال آنلاین بود که متوجه شد صاحب یک بوتنت که کنترل 1400 کامپیوتر با سیستم عامل ویندوز را به دست گرفته در حال نصب برنامه keylogger (برای ثبت ضرب کلیدهای کاربران) است. این برنامه تمام اطلاعات تایپی قربانی خود را روی صفحات login یا دیگر فرمهای ورودی داده، در جایی ثبت میکرد.
آلبرایت قبلاً یک نسخه از این نوع کرمهای کامپیوتری را که هکرها از آن برای به دست گرفتن کنترل کامپیوتر استفاده میکردند، تجزیه و تحلیل کرده بود. این کرم، نام کاربر و کلمه ورودی مورد نیاز برای کنترل کانال آنلاین را در اختیار وی قرار میداد. آلبرایت با معرفی خود به عنوان یکی از بوتها، نحوه کار هکر را زیر نظر گرفت تا اطلاعات لازم را برای متوقف کردن کانال دزدیده شده از سرویسدهنده اینترنتی به دست آورد.
او کامپیوتر آلودهای را که اطلاعات فعالیتهای اینترنتی کاربر غافل خود را گزارش میداد، زیر نظر گرفت و از ماهیت این دادهها دریافت که این کامپیوتر متعلق به فیزیکدانی در میشیگان است.آلبرایت میگوید: <میدیدم آن سارق keylogger را روی کامپیوتر اجرا میکند و دادهها را به سرقت میبرد. اما این نفوذ مخالف قوانین امنیت اجتماعی است و آن فیزیکدان نیز لازم بود برای حفظ و نگهداری اطلاعاتش ترتیبات امنیتی را بیشتر به کار میبرد. از این رولازم بود پلیس در جریان قرار گیرد و ماشین را از شبکه خارج کند.>
یک ساعت بعد و با چند تماس تلفنی، کامپیوتر آن دکتر از شبکه خارج شد و موضوع نیز به اطلاع وی رسید. آلبرایت هم نامه الکترونیکی حاوی اطلاعات لازم درباره این حمله اینترنتی را در اختیار FBI قرار داد. هر چند هیچ امیدی نداشت که آنها به آن ترتیب اثر دهند. وی خود میداند که این اطلاعات در صورتی مفید واقع خواهد شد که در این باره تحقیقی صورت گیرد و امیدوار است حداقل این اطلاعات در جایی بایگانی شده باشد.
تجارت غیرقانونی
شبکه bot ابزار تجارتهای مجرمانه روی اینترنت هستند. آنها به هکرها اجازه میدهند به صورت ناشناس به تجارت بپردازند، کرم ارسال کنند، به ازای دریافت پول از شرکتها آگهیهای ناخواستهای روی کامپیوترها بفرستند و یا آنها را مبدا داد و ستدهای مالی و بانکی غیر قانونی قرار دهند.
همچنان که منافع ایجاد بوتنت بیشتر میشود، به تعداد کامپیوترهای آلوده نیز اضافه میشود. دیوید داگون، دانشجوی دکترا که سالها وقت خود را صرف جمعآوری اطلاعات درباره گسترش جهانی این نوع شبکهها کرده است، تخمین میزند که در سیزدهماه آخر منتهی به ژانویه، بیش از سیزده میلیون پیسی در سراسر دنیا به کدهای ناشناختهای آلوده شدهاند که آنها را به bot تبدیل نموده است.
بوتنت معمولاً متشکل از کامپیوترهایی با سیستمعامل ویندوز است که متعلق به شرکتهای کوچک تجاری یا افرادی هستند که نتوانستهاند خود را در برابر نفوذ هکرها یا ویروسها ایمن نمایند. منشأ آلودگی این کامپیوترها معمولاً نامههای الکترونیکیِ دارای پیوست آلوده هستند. البته دیوارههای آتش و برنامههای ضد ویروس میتوانند سدی در برابر این گونه خطرات باشند، اما این خرابکاران به شدت در حال توسعه برنامههایی هستند که آنها را از چشم این برنامههای محافظ مخفی نگه میدارد.
آندره دو مینو، مشاور یک شرکت خصوصی در بخش فناوری، میگوید: <نحوه کار shadowserver برای من جالب بود.> او بعد از آن که کار سابقش را به عنوان رئیس بخش انفورماتیک یک شرکت خدماتی تجاری رها کرد، به طور اتفاقی با این گروه آشنا شد. او میگوید: <بسیاری از کاربران شرکت سابقش برنامههای ضدویروس و spyware را برنامههایی صد در صد کامل میدانستند که میتواند از آنها در برابر همه چیز مراقبت کند. اما اکنون میبینم بسیاری از مشهورترین آنها قادر نیستند فایلهای مربوط به بوتنتها را شناسایی نمایند.>
تله گذاری برای ویروسها
دیوید اندرو که در سوپر مارکتی در لیورپول کار میکند، در اوقات فراغت خود به بررسی نمونه ویروسهای کامپیوتری میپردازد. اندرو که از معدود اعضای غیر امریکایی ShadowServer است، همانند اغلب دیگر اعضا، از اوایل دوران جوانی به کار با کامپیوتر و برنامهنویسی علاقمند بوده است.
چهارماه قبل وی به دنبال تحصیل در رشته کامپیوتر در دانشکده نظامی بریتیش رفت، اما آنها درخواست وی را به دلیل مشکلات متعدد جسمی نپذیرفتند. اغلب اعضای ShadowServer سابقه کار در زمینه امنیت کامپیوتری داشتهاند و تماماً به صورت داوطلبانه به این تیم پیوستهاند و اغلب، اوقات بیکاری و فراغت خود را صرف کار روی پروژههای گروه میکنند.
ویروسهایی که اندرو روی آنها کار میکند مورد استفاده هکرها برای آلوده کردن کامپیوترها و تبدیل آنها به bot میباشند. ShadowServer شبکههای bot را با به کارگیری مجموعهای از honeynetها شناسایی میکند. honeynetها خود را کامپیوتری معرفی میکنند که دارای اشکالات امنیتی هستند. به این ترتیب آنها میتوانند مخفیانه هکرها را بشناسند و نمونه ویروسهای مورد استفاده آنها را گردآوری کنند.
اغلب بوتنتها با وادار نمودن قربانیان جدید به دانلودکردن برنامه کنترلی هکر از یک وب سایت، خود را گسترش میدهند. با ردگیری و آشکارسازی لینکها، اعضای ShadowServer میتوانند نقشه بوتنتها را تشخیص دهند و اطلاعات آن را در اختیار دیگر شکارچیان دزدان اینترنتی، گروههای امنیتی داوطلب، نیرویهای فدرال و یا ISP میزبان وب سایت آلوده قرار دهند.
هر قطعه کد bot پس از تجزیه و تحلیل، توسط تعداد زیادی از ویروسیابهای مشهور مورد بررسی قرارمیگیرد تا مشخص شود آیا این شرکتهای امنیتی به وجود چنین برنامههای ناخواسته و مشکوکی پی بردهاند یا خیر.ShadowServer این کدهای شناختهنشده را به شرکتهای بزرگ تولیدکننده برنامههای ضدویروس ارجاع میدهد. اندرو میگوید: <برای وی بسیار جای شگفتی دارد که چگونه اغلب این کدها از چشمان ویروسیابها دور میمانند. در بهترین حالت تنها یک یا دو برنامه از این دست توسط ویروسیابها شکار میشود، ولی صدها برنامه دیگر وجود دارند که آنها قادر به شناساییشان نیستند.>
تا آنجا که اندرو دریافته، انگیزه خرابکاران از نگارش این کدها، جز فروش آنها به دیگر خرابکاران، کسب درآمد چند پنی به ازای هر نصب آنلاین تبلیغافزار است. اغلب این botmasterها برنامههای سخت جانی هستند که بارها فعال میشوند تا درآمد بیشتری کسب کنند.
خدمت بی مزد
حتی پس از اعلان به ISP آلوده و خارج کردن کانال فرمان و کنترل از دست botmaster، اغلبbot ها همچنان آلوده میمانند و مرتباً برای برقراری تماس با سرور کنترلی هکر سعی میکنند؛ غافل از اینکه این سرور دیگر وجود ندارد. آلبرایت میگوید: <در برخی مواقع آن botmaster برای مدت چند روز یا چند هفته منتظر میماند تا مجدداً bot تنها مانده را ثبتنام نماید. از این رو احتمال بازگشت بوتنتهایی که قبلاً از بین برده بودیم وجود دارد.>
در این کار، بار فشار روانی به افراد گروه تحمیل میشود؛ زیرا آنها ساعتهای متمادی از وقت خود را به صورت داوطلبانه صرف شکار دزدان و دادن اطلاعات آنها به افراد یا مؤسساتی میکنند که کامپیوتر آنها قربانی هکرها شده است. اما این زحمت آنها در بیشتر مواقع پاسخی به دنبال ندارد.
دیوید تیلور، کارشناس ارشد امنیتی دانشگاه پنسیلوانیا، به خوبی از خستگی و سنگینی کار ناشی از شکار botnetها اطلاع دارد. وی پس از درج مطلبی در سایت واشنگتنپست که به گفتوگو با یک botmaster به نام Diabl0 اختصاص داشت، به گروه آلبرایت و ShadowServer دعوت شد. این هکر که به ازای نصب هر adware پولی دریافت میکرده است، بعداً به اتهام اشاعه کرم Zotob که باعث آلودگی هزاران کامپیوتر گردید دستگیر شد.
چند ماه قبل، ردیابی بوتنت عجیبی متشکل از کامپیوترهایی با سیستم عامل Mac OS X و لینوکس فکر تیلور را شدیداً به خود مشغول کرده بود. او توانست با یک هفته کار مداوم، تقریباً تمامی ماشینهای آلوده را موقعیتیابی کند و وضعیت را به صاحبان آنها اعلام نماید.اما یک ISP تایوانی که هکرها از آن برای گسترش بوتنت خود استفاده میکردند حاضر به پذیرش گفتههای تیلور نشد.
از آن زمان، تیلور تصمیم گرفت فعالیت خود را برای شکار دزدان کنار گذارد و به کارهایی بپردازد که به انجامدادن آنها بیشتر علاقمند است. در این روزها اوقات بیکاری او صرف کار کم استرستری میشود؛ یعنی نقاشی.
او میگوید: <این کار تمام زندگی شخصی شما را تحت تأثیر قرار میدهد؛ زیرا برای موفق شدن باید کاملاً بر کار مسلط شوید و این، زمان زیادی میبرد و نه تنها آخر هفته، بلکه تمام هفته شما را پر میکند. انجامدادن چنین کاری روحیه خاصی میطلبد و... من افراد زیادی را با این ویژگی نمیشناسم.>
از زمانی که رسانههای گروهی به پروژه ShadowServer توجه بیشتری کردهاند، تعداد افرادی که به کارگیری حسگرهای honeynet و سهیم شدن در تلاش گروه علاقمند هستند رو به فزونی گذاشته است، اما آلبرایت از سوی دیگر نگران بوتنتهایی است که در سالهای آینده افزایش خواهد یافت. او میگوید: <با وجود حسگرهایی که در حال حاضر در حال کار داریم، هر هفته حدود بیست کد bot ناشناخته پیدامیشود. در صورتی که تعداد حسگرها بیشتر شود، مسلماً بر تعداد کدهای ناشناخته مکشوف نیز افزوده خواهد شد.>
آلبرایت میگوید: <اگرچه قوانین جدید فدرال به برقراری ارتباط مؤثرتر با گروههایی نظیر ShadowServer تشویق نموده است، متأسفانه از بدنه اجرایی لازم برای استفاده از اطلاعاتی که این گروهها تدارک میبینند برخوردار نیست. دادههای ما به خودی خود نمیتوانند ضمانتی ایجاد کنند. در حالی که آنها خود باید ترافیک شبکه را زیر نظر داشته باشند. در مورد نوع و زمان نظارت نیز محدودیت دارند. این وضع هر سال بدتر میشود، ما به قوانین لازمالاجرایی نیاز داریم که باعث عملی شدن تصمیمات گردد. متأسفانه در حال حاضر اینگونه نیست و کارهایی شبیه فعالیتهای ما به بازی موش و گربه میماند؛ زیرا ما از نظر قانونی حق ثبت و ضبط تجهیزات و به زندان انداختن افراد خاطی را نداریم. در حالی که برای حل مشکل به هر دو کار نیاز است.>