{"id":6265,"date":"2015-06-29T13:30:57","date_gmt":"2015-06-29T13:30:57","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=6265"},"modified":"2017-11-13T17:06:43","modified_gmt":"2017-11-13T15:06:43","slug":"ask-expert-kamluk-ddos-botnets","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/ask-expert-kamluk-ddos-botnets\/6265\/","title":{"rendered":"Chiedi all&#8217;esperto: Vitaly Kamluk risponde alle domande sui DDoS e le botnet"},"content":{"rendered":"<p><a href=\"https:\/\/twitter.com\/vkamluk\" target=\"_blank\" rel=\"noopener nofollow\">Vitaly Kamluk<\/a> ha alle spalle pi\u00f9 di dieci anni d\u2019esperienza nel settore della sicurezza IT e al momento ricopre la posizione di <em>Principal Security Researcher <\/em>presso Kaspersky Lab. \u00c8 specializzato in malware, ingegneria inversa e informatica forense, collabora con la polizia informatica nelle indagini relative a crimini di carattere informatico. Al momento Vitaly vive a Singapore. Lavora insieme all\u2019INTERPOL come membro del Digital Forensics Lab, realizzando analisi malware e collaborando alle indagini della polizia.<\/p>\n<p>https:\/\/instagram.com\/p\/1xKFAOv0I5\/<\/p>\n<p>Abbiamo chiesto ai nostri lettori di fare delle domande al nostro esperto. Abbiamo ricevuto cos\u00ec tante domande che abbiamo dovuto dividere questa sessione di Domande &amp; Risposte in diverse parti. Oggi Vitaly risponder\u00e0 alle domande sugli attacchi DDoS e le botnet.<\/p>\n<p><strong>Secondo te quante sono le botnet di grandi dimensioni, quelle che includono nella propria rete pi\u00f9 50.000 computer sparsi in giro per il mondo? <\/strong><\/p>\n<p>Secondo me sono meno di 20, ma \u00e8 una supposizione perch\u00e9 \u00e8 possibile scoprire la reale dimensione di una botnet solo dopo il suo smantellamento. Nonostante ai criminali interessi infettare il maggior numero di computer possibili, potrebbero decidere di mantenere la dimensione di una botnet sotto una certa soglia per non attirare l\u2019attenzione.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">You can now check to see if your PC is part of the SIMDA botnet \u2013 <a href=\"http:\/\/t.co\/jB2RXKGGYI\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/jB2RXKGGYI<\/a> <a href=\"http:\/\/t.co\/Jgi74gCC87\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/Jgi74gCC87<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/590519203834290177?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">April 21, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Esistono botnet cos\u00ec sofisticate da creare agglomerati che includono smartphone, PC e Mac? <\/strong><\/p>\n<p>Qualche volta succede che alcune botnet possano includere PC e smartphone. Due buoni esempi erano Zeus-in-the-mobile e Zeus per PC. Ci sono botnet per Mac, ma in base alla nostra esperienza sono quasi tutte <em>standalone<\/em>, separate.<\/p>\n<p><strong>Come si individua<\/strong><strong> una botnet? Da dove inizi? Quali sono le ultime tendenze e novit\u00e0 sui malware e <\/strong><strong>sulle <\/strong><strong>botnet? <\/strong><\/p>\n<p>In primo luogo \u00e8 necessario individuare un processo sospetto o un file sul disco. Il passo successivo \u00e8 analizzare l\u2019oggetto e localizzare la lista dei server <em>command and control<\/em> (C&amp;C). Poi sar\u00e0 necessario conoscere il protocollo e richiedere periodicamente gli aggiornamenti dal C&amp;C.<\/p>\n<p>Alcune delle recenti tendenze sui malware e sulle botnet includono la ricerca dei meccanismi di controllo affidabili come quelli basati su Tor e le comunicazioni P2P. Sono molti gli articoli scritti su questo argomento, basta cercare \u201cTor Botnet\u201d.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Default credentials on home routers lead to massive DDoS-for-hire botnet \u2013 <a href=\"http:\/\/t.co\/2SbvLcwcvu\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/2SbvLcwcvu<\/a> <a href=\"http:\/\/t.co\/20O0GWwVOt\" target=\"_blank\" rel=\"noopener nofollow\">pic.twitter.com\/20O0GWwVOt<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/598462812961255424?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">May 13, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Cosa devi fare per disattivare una botnet?<\/strong><\/p>\n<p>Il modo migliore \u00e8 bloccare il proprietario della botnet. Se poi potessimo bloccare anche il distribuitore e lo sviluppatore del software bot e del kit exploit sarebbe ancora meglio.<\/p>\n<p><strong>Da <\/strong><strong>quale parte <\/strong><strong>del mondo <\/strong><strong>pro<\/strong><strong>vengono le botnet? Quale linguaggio di programmazione \u00e8 usato dagli sviluppatori dei software botnet? Come possiamo ass<\/strong><strong>icurarci che i nostri computer di casa<\/strong><strong> non siano stati infettati da un<\/strong><strong>a botnet? In <\/strong><strong>circostanze<\/strong><strong> impreviste, esiste una seconda linea di difesa se i<\/strong><strong> cyber-attachi non vengono neutralizzati? <\/strong><\/p>\n<p>Le botnet sono ovunque e il linguaggio di programmazione \u00e8 solo una scelta personale. Per far s\u00ec che i vostri sistemi non entrino a far parte di una botnet \u00e8 necessario realizzare frequenti scansioni con un software AV e poi dare uno sguardo alle comunicazioni di rete. Dovete assicurarvi che non ci sia nessun elemento alieno, n\u00e9 connessione inaspettata.<\/p>\n<blockquote class=\"twitter-pullquote\"><p>Chiedi all\u2019esperto: Vitaly Kamluk risponde alle domande sui DDoS e le botnet<\/p><a href=\"https:\/\/twitter.com\/share?url=https%3A%2F%2Fkas.pr%2F7SbJ&amp;text=Chiedi+all%26%238217%3Besperto%3A+Vitaly+Kamluk+risponde+alle+domande+sui+DDoS+e+le+botnet\" class=\"btn btn-twhite\" data-lang=\"en\" data-count=\"0\" target=\"_blank\" rel=\"noopener nofollow\">Tweet<\/a><\/blockquote>\n<p>Per quanto riguarda la seconda linea di difesa, sfortunatamente, l\u2019attuale architettura dei computer non la offre di default. Chiunque possieda un computer \u00e8 responsabile della sua protezione. Neutralizzare le minacce in remoto \u00e8 considerato un\u2019intrusione nella rete ed \u00e8 illegale nella maggior parte dei casi. Dopo tutto, una volta che il tuo sistema \u00e8 stato compromesso, non lo puoi considerare affidabile fino a quando il problema non sia stato risolto e sia stato reso ancora pi\u00f9 forte. Alla maggior parte dei proprietari di computer non importa molto delle infezioni, se non fino a quando iniziano a perdere dei soldi.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">Statistics on botnet-assisted DDoS attacks in Q1 2015 \u2013 <a href=\"http:\/\/t.co\/aTTLE1KQdq\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/aTTLE1KQdq<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/605421173141319680?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">June 1, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>\u00c8 importante<\/strong><strong> per una moderna botnet essere controllata v<\/strong><strong>ia IRC? \u00c8 sufficiente togliere a<\/strong><strong>l proprietario<\/strong><strong> la capacit\u00e0 di controllare la botnet<\/strong><strong> per <\/strong><strong>poter eliminarla<\/strong><strong>? <\/strong><\/p>\n<p>I criminali possono usare diversi approcci per controllare una botnet. Il protocollo IRC \u00e8 solo uno dei tanti protocolli, ha i suoi punti forti e i suoi punti deboli. Direi che si tratta di un metodo piuttosro \u2018datato\u2019, in genere le moderne botnet sono costruite attraverso l\u2019HTTP.<\/p>\n<p>Per eliminare definitivamente una botnet, sar\u00e0 necessario trovare e arrestare il proprietario. E questo \u00e8 esattamente quello che abbiamo fatto in collaborazione con INTERPOL. I tentativi di togliere la capacit\u00e0 di controllare la botnet al suo proprietario, non sono una soluzione definitiva dato che la maggior parte dei criminali sono ben preparati per questo genere di misure.<\/p>\n<p><strong>Quali strumenti e metodi sono i pi\u00f9 adeguati quando vengono scoperti attacchi DDoS tene<\/strong><strong>ndo in considerazione <\/strong><strong>un contesto customer edge, ISP e ISP regionali, nazionali o persino transnazionali?<\/strong><\/p>\n<p>Beh, tra gli strumenti pi\u00f9 efficaci, dal customer edge fino ai grandi Internet Service Provoder, sar\u00e0 sempre un <em>filtering<\/em> efficace. Tuttavia per implementarlo, si deve prima di tutto fare un po\u2019 di ricerca sulla minaccia. Ecco perch\u00e9 \u00e8 importante catturare il responsabile della bot per DDoS e analizzarla attentamente. La soluzione definitiva \u00e8 estirpare il meccanismo di controllo della botnet e bloccarla dal centro, ma questa \u00e8 un\u2019altra storia.<\/p>\n<p><strong>Come \u00e8 possibile ridurre<\/strong><strong> il rischio<\/strong><strong> di un<\/strong><strong>\u2018espansione di un attacco DDoS<\/strong><strong>?<\/strong><\/p>\n<p>Sparpagliare geograficamente il target dell\u2019attacco e implementare un <em>filtering<\/em> multi stratificato.<\/p>\n<blockquote class=\"twitter-tweet\" data-width=\"500\" data-dnt=\"true\">\n<p lang=\"en\" dir=\"ltr\">You asked, <a href=\"https:\/\/twitter.com\/vkamluk?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@vkamluk<\/a> answered in this Q&amp;A. Including how <a href=\"https:\/\/twitter.com\/INTERPOL_Cyber?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">@INTERPOL_Cyber<\/a> catches the bad guys <a href=\"https:\/\/twitter.com\/hashtag\/security?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#security<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/infosec?src=hash&amp;ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">#infosec<\/a> <a href=\"http:\/\/t.co\/OdmEjOA0ZG\" target=\"_blank\" rel=\"noopener nofollow\">http:\/\/t.co\/OdmEjOA0ZG<\/a><\/p>\n<p>\u2014 Kaspersky (@kaspersky) <a href=\"https:\/\/twitter.com\/kaspersky\/status\/614068810837065728?ref_src=twsrc%5Etfw\" target=\"_blank\" rel=\"noopener nofollow\">June 25, 2015<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p><strong>Come posso sapere <\/strong><strong>se sono parte di una botnet o di un \u2018Bitcoin mining\u2019?<\/strong><\/p>\n<p>Controlla il tuo sistema alla ricerca di malware perch\u00e9 \u00e8 il malware che inizia un Bitcoing mining senza il tuo consenso e rende il tuo PC parte di una botnet.<\/p>\n<p>Alcuni dei modi pi\u00f9 efficaci per controllare se hai dei malware includono:<\/p>\n<ol>\n<li>Realizzare una scansione del sistema con una soluzione AV molto affidabile; questo potrebbe farti risparmiare un sacco di tempo, ma non credere che una scansione automatica possa risolvere tutti i tuoi problemi. Perci\u00f2 stai in allerta!<\/li>\n<li>Controllare i processi in corso alla ricerca di guest e elementi non voluti e sospetti: credo che gli utenti dovrebbero sconoscere tutti i processi in corso ed attivi nel proprio computer.<\/li>\n<li>Controllare la lista dei programmi che si avviano automaticamente. Esiste un tool per Windows molto utile che si chiama Sysinternals Autoruns.<\/li>\n<li>Infine, un controllo avanzato include collegare il tuo compter ad un altro (via Internet) e registrare tutto il traffico di rete che vi passa attraverso. Questo dovrebbe rivelare la presenza di attivit\u00e0 sospette, anche se invisibili al sistema compromesso.<\/li>\n<\/ol>\n<p>Pubblicheremo altre risposte nel prossimi giorni. <em>Stay tuned<\/em>!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>L&#8217;esperto di sicurezza informatica Vitaly Kamluk risponde alle domande dei lettori di Kaspersky Daily sugli attacchi DDos e le botnet. <\/p>\n","protected":false},"author":40,"featured_media":6255,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641,12,2195],"tags":[2239,199,496,682,413,191,22,1534],"class_list":{"0":"post-6265","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"category-technology","10":"tag-consigli","11":"tag-botnet","12":"tag-ddos","13":"tag-great","14":"tag-interpol","15":"tag-kaspersky-lab","16":"tag-malware-2","17":"tag-vitaly-kamluk"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/ask-expert-kamluk-ddos-botnets\/6265\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/ask-expert-kamluk-ddos-botnets\/4983\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/ask-expert-kamluk-ddos-botnets\/5540\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/ask-expert-kamluk-ddos-botnets\/5937\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/ask-expert-kamluk-ddos-botnets\/6371\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/ask-expert-kamluk-ddos-botnets\/8250\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/ask-expert-kamluk-ddos-botnets\/9185\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/ask-expert-kamluk-ddos-botnets\/5484\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/ask-expert-kamluk-ddos-botnets\/5711\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/ask-expert-kamluk-ddos-botnets\/8087\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/ask-expert-kamluk-ddos-botnets\/8250\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/ask-expert-kamluk-ddos-botnets\/9185\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/ask-expert-kamluk-ddos-botnets\/9185\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/consigli\/","name":"#consigli"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6265","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=6265"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6265\/revisions"}],"predecessor-version":[{"id":14560,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/6265\/revisions\/14560"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/6255"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=6265"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=6265"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=6265"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}