Az interneten sokszor zajlanak láthatatlan, legalábbis az átlagfelhasználó számára észrevehetetlen, gyakran alantas tevékenységek. Ezek egyike, amikor egy bothálózat részévé teszik valakinek az otthoni hálózatát. Állhat emögött hús-vér ember, de akár egy rosszindulatú program is, a lényeg, hogy „eltérítik” az otthoni IP címet. A legaggasztóbb az egészben, hogy az IP-cím feltörésére álmában sem gondol az érintett. Egy hangos zsarolóvírus-támadással ellentétében egy feltört router nem jelenti be magát. Az internet továbbra is vígan működik, a Netflix továbbra is streamel, és az e-mailek is jönnek-mennek. Viszont a háttérben a felhasználó netkapcsolata már eszközzé vált mások számára. Emberek tucatjai neteznek gondtalanul, miközben a valódi „munka” máshol zajlik.
Az internetes aktivitást egy globális szenzorhálózaton keresztül nyomon követő fenyegetésfigyelő GreyNoise szerint ez a probléma az elmúlt évben jelentősen megnőtt, és sok felhasználó a tudtán kívül segíti a rosszindulatú online tevékenységeket. „Az elmúlt évben a lakossági proxy hálózatok robbanásszerűen elterjedtek, és az otthoni internetkapcsolatokat mások forgalmának kilépési pontjaivá alakították” – olvasható a cég weboldalán.
Bár vannak módszerek annak megállapítására, hogy valaki rosszindulatú botnet-tevékenység részévé vált-e, például az eszköznaplók, konfigurációk, hálózati forgalom és tevékenységi minták vizsgálatával, a GreyNoise ezeknél jóval egyszerűbb módszert kínál. Ráadásul eszközük, a GreyNoise IP Check ingyenes. A vizsgálat roppant egyszerű. Csak fel kell keresni a szkenner weboldalát, ahol – regisztráció és igazoló e-mail nélkül – pillanatok alatt kiderül, hogy használják-e távoli bűnözők a felhasználó IP-címét.
Az oldalt felkeresők a három lehetséges találat valamelyikét kapják. Clean, azaz tiszta. Ekkor a vizsgált IP-cím nem mutat rosszindulatú tevékenységre utaló jeleket, nem szerepel gyanús tevékenységekben. Malicius/Suspicious, azaz rosszindulatú/gyanús: az IP‑ről szkennelési, portvizsgálati, brute‑force‑ vagy más gyanús forgalmat észleltek. Ilyenkor valószínű, hogy valami nincs rendben: fertőzött eszköz, kompromittált router vagy „kölcsönvett” kapcsolat állhat a háttérben. Ilyen esetben érdemes azonnali vizsgálatot kezdeni, kártevő-ellenőrzést futtatni az ugyanazon a hálózaton lévő összes eszközön, különös tekintettel az olyanokra, mint a routerek és az okostévék.
Ezt a választ szívesen látjuk
képernyőkép / HVG
Végül a Common Business Service azt jelenti, hogy az IP-cím valószínűleg céges hálózathoz, felhőszolgáltatáshoz vagy VPN-hez tartozik, ahol a szkennelés vagy a forgalom nem feltétlenül rosszindulatú, hanem akár „normál üzleti zaj” is lehet. Másként fogalmazva: ha a hálózat gyanúsnak tűnik, az nem feltétlenül azt jelenti, hogy az adott eszköz fertőzött, lehet, hogy egyszerűen azért látszik gyanúsnak, mert egy nagyobb céges vagy felhőinfrastruktúra része.
Ha a vizsgálat során a megadott IP-cím összefüggésbe hozható bármilyen tevékenységgel, a platform egy 90 napos előzményidővonalat is ad, amely segíthet a potenciális fertőzési pont meghatározásában. Például, ha egy sávszélesség-megosztó kliens vagy egy gyanús alkalmazás telepítése megelőzi a rosszindulatú vizsgálatot, erős összefüggések állapíthatók meg, amelyek lehetővé teszik a korrekciós intézkedéseket.
Korábbi tevékenységi adatok egy problémás hálózatnál
GreyNoise
Minthogy az elmúlt egy évben igazi virágzásnak indultak az otthoni proxy‑ és botnet szolgáltatások, a GreyNoise eszköze a lehető legjobbkor érkezett. Bárki pillanatok alatt megtudhatja, hogy tiszta‑e a hálózata, vagy épp mások (is) használják. Ez különösen fontos abban az esetben, ha valaki sok IoT‑eszközöt használ, esetleg régi routere van, ezek ugyanis a leggyakoribb belépési kapuk a rosszindulatú proxy‑hálózatokhoz – figyelmeztet a GreyNoise.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
