Атака сетевых «зомби»

Эра ботнетов началась около одиннадцати лет назад, когда тысячи компьютеров, одновременно отправив огромный поток запросов, на некоторое время "завалили" домен microsoft.com. Постановку этих компьютеров под контроль обеспечил компьютерный вирус, укоренившийся в памяти ПК в скрытом режиме и направлявший их сетевую активность по заранее намеченному плану. Сегодня такие компьютерные сети, состоящие из множества хостов с запущенными "ботами" (автономным программным обеспечением, установленным туда с помощью компьютерных вирусов), являются эффективным оружием для нелегальной деятельности киберпреступников.

Внешний вид и составляющие

Ботнет является сетью компьютеров, работающих под частичным управлением вредоносной программы. В локальном режиме, не подключенные к сети Интернет, они совершенно безопасны, но как только осуществляется подключение к сети, все меняется с точность до наоборот - они начинают управляться киберпреступникам без ведома пользователей. Хозяин зараженной машины, как правило, даже не подозревает о том, что она используется злоумышленниками. Именно поэтому такие компьютеры называют еще "зомби"-компьютерами. Подобные системы разной типологии (существует как минимум несколько десятков их типов) обладают мощными вычислительными ресурсами и являются эффективным кибероружием и, разумеется, источником финансовых потоков для злоумышленников. При этом, зараженными машинами, входящими в сеть, хозяин ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, причем полностью анонимно. Чаще всего это осуществляется с помощью мобильного ПК по беспроводной сети, причем и техника, и доступ в сеть оплачены либо наличными, либо (что чаще всего) ворованными кредитными карточками.

Типичная схема ботсети - заражая компьютеры с помощью компьютерного вируса,
их можно использовать для широкого спектра противоправных действий.

У зомби-сетей существует своя иерархия. Крупной считается сеть, в которой есть 100-200 тыс. компьютеров, небольшая - в 10 раз меньше. Больше всего небольших и средних - всего в единый момент времени в киберпространстве функционирует порядка 1,5-2 тыс. таких зомби-сетей. При этом, надо отметить, что размер ботнета определяется всего тремя факторами. Во-первых, многое зависит от эффективности той или иной технологии распространения заражения - для постановки под контроль компьютера его сначала необходимо инфицировать с помощью вирусной программы. В данном случае на первый план выходит антивирусная безопасность сетей, наличие и обновление которой позволяют снизить риск использования рабочих станций и серверов компаний в работе ботсетей. Чем выше эффективность системы безопасности, тем, разумеется, ниже вероятность того, что ваши компьютеры будут работать в зомби-сети. Во-вторых, это невидимость заражения для пользователя и срок недетектируемости такой программы, заразившей компьютер. Разумеется, чем этот срок дольше, тем лучше для злоумышленников. Ведь вредоносная программа-бот старается функционировать в системе тихо, незаметно и изо всех сил изображает, что ее здесь вообще нет. Сам компьютер интересует злоумышленников не так уж и сильно: для них главное - создавать сетевую активность для реализации своих практических задач. Кроме того, к примеру, излишняя активность той или иной рабочей станции быстрее обращает на себя внимание и администраторов, и пользователей. Ну и, в-третьих, имеет значение возраст ботнета - своего пика такая сеть достигает сразу после её создания, в течение 2-4 недель, конечно, если механизм заражения сторонних компьютеров достаточно эффективен. Но это далеко не вечное образование, подобные сети не постоянны и динамически меняют число находящихся под их контролем компьютеров.

Практика поражения

Даже простое открытие специально подготовленного документа (Word, Excel, Acrobat) или картинки на компьютере пользователя может привести к исполнению злонамеренного кода и заражению ПК. То есть потенциально, уверен Антон Разумов, консультант по безопасности Check Point, можно подцепить Backdoor, стать участником ботсети, просто посетив раскрученный ресурс (форум, Живой Журнал и пр.). Большинство современных антивирусов блокирует такие попытки заражения, но подобные средства установлены и функционируют далеко не на всех компьютерах пользователей. Кроме того, злоумышленники за последний год существенно увеличили спектр возможных путей заражения мобильных ПК и настольных рабочих станций.

Злоумышленники коренными образом
сменили тактику "вербовки"
компьютеров в ботсети.

Сегодня уже можно говорить о радикальной смене тактики при "вербовке" новых зомби-машин. "Например, семейство червей conficker, - говорит Григорий Васильев, технический директор компании ESET, - не использует социальных технологий при проникновении на компьютеры пользователя. Они берут широким спектром технических средств распространения - помимо уязвимости в ОС, заражение происходит через автозапуск на сменных носителях, по сетям p2p, через папки общего доступа". Кроме того, в 2008 году средства заражения стали все активнее перемещаться в веб, - уверен Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ. - За прошедшее время основное количество атак происходило на базе взлома легитимных или создания поддельных сайтов, на которых размещалось различное вредоносное ПО или происходило принудительное перенаправление на нелегитимные сайты". "Вместе с этим, - говорит Виталий Камлюк, старший вирусный аналитик "Лаборатории Касперского", - к эффективным тактическим приемам для включения компьютеров в ботсети можно отнести использование уязвимостей в браузерах и компонентах, дополняющих их, т.е. с применением программ-мини-эксплойтов. Кроме того, вполне эффективным оружием для создания ботнетсетей являются компьютерные вирусы". К примеру, у одной из крупнейших сетей подобного рода из 1,9 млн. компьютеров, которая управляется хакерами из Украины, базовая версия вируса-трояна, используемая для вторжения в компьютеры, детектируется лишь 10% из 39 наиболее популярных в мире антивирусов. Еще одна интересная новинка недавнего прошлого - создание ботнета, организованного исключительно из компьютеров, работающих под управлением ОС MacOS. Такой результат был достигнут с помощью внедрения вредоносных программ типа OSX.Iservice.B в пиратскую копию офисного пакета iWork 09. Причем основным каналом его распространения были не интернет-сайты, а файлообменные p2p-сети. Подобную сеть из нескольких тысяч компьютеров уже используют для DDoS-атак - эта возможность появилась после запуска на компьютерах жертв PHP-скрипта с правами root. Стоит упомянуть и еще один интересный пример атаки, который был обнаружен в первом квартале этого года. Причем его целью были не "обычные" компьютеры или серверы, а недорогие модели сетевого оборудования - модемы и роутеры. Червь "psyb0t" является пока единственным приложением, разработанным специально для атаки на домашнее сетевое оборудование - на текущий момент число "подчиненных" им устройств составляет порядка 110-130 тыс. Они тоже используются для проведения DDoS-атак. Кроме того, "побочной" задачей вируса является анализ пересылаемых пакетов и сбор имен пользователей, их паролей для доступа к различным web-ресурсам - там можно найти много всего интересного. Самый печальный факт состоит в том, что автономное антивирусное ПО в сетевом оборудовании чаще всего не установлено, поэтому конечные пользователи попросту не догадываются о том, что их сеть взломали. Среди уязвимых устройств числятся те роутеры и модемы, которые используют Linux Mipsel, имеют не измененные заводские настройки в части адреса административного интерфейса (к примеру, 192.168.1.1) и доступ со стандартным паролем (admin или 111), а таких значительное количество. После того, как червь берет устройство под контроль, он закрывает к нему административный доступ легальных пользователей, блокируя telnet, sshd и доступ через web-интерфейс.

К эффективным тактическим приемам для включения компьютеров в ботсети
можно отнести использование уязвимостей в браузерах
и компонентах, дополняющих их,
т.е. с применением программ-мини-эксплойтов.

"Подобный пример, - говорит Антон Разумов, - показывает, что вирус использовал пока что только слабости парольной защиты выставляемой "по умолчанию". Но скоро обнаружатся уязвимости и в IP-стеке. По всей вероятности, можно ожидать рост числа подобных атак, поскольку многие пользователи используют недорогие сетевые устройства, создатели которых не имеют возможности уделять серьезное внимание безопасности. При этом, как было сказано, традиционный антивирус на компьютере в данном случае не поможет, а автоматически обновлять свои прошивки такие устройства, к несчастью, не умеют (да и мало кто из пользователей это регулярно делает "вручную")". Вполне возможно, что атака на сетевые устройства, используемые в небольших мобильных офисах или дома, станет основным трендом этого года.

Число "зомби"

О количестве включенных в разнообразные ботсети компьютеров существует слишком много версий. Но мнение о том, что каждый пятый компьютер, подключенный к интернету, входит в хакерские ботсети, конечно, является преувеличением. По мнению Виталия Камлюка, их не больше 10%, учитывая, что общее количество компьютеров, подключенных в сети Интернет составляет около 1 млрд. машин. Вообще, у аналитиков на этот счет нет общей картины мира. Особенность состоит в том, - говорит Антон Разумов, - что в данном случае существует два основных варианта: либо машина защищена достаточно хорошо, и не входит ни в один ботнет, либо защищена плохо и входит сразу в несколько ботнетов. "Фактически зараженные компьютеры учитываются несколько раз, - поясняет он". Более точные данные приводит Кирилл Керценбаум - по данным аналитического Отчета Symantec Internet Security Threat Report, в 2008 году ежедневное количество регистрируемых инфицированных бот-компьютеров выросло на 31% по сравнению с 2007 годом. Примерное число таких компьютеров за годовой период составило 9,4 млн. машин, что на 1% выше, чем в предыдущий период. Но эта цифра очень нестабильная и ботсети очень динамичны; поскольку одни ПК добавляются к ним, а другие - исчезают, то очень сложно оценить относительный уровень заражения программами-ботами, однако эта цифра достоверно чуть выше 10%. В России же, уверен Григорий Васильев, ситуация более благоприятна: в нашей стране число интернет-пользователей достигает 35-40 млн., а доля зараженных машин не превышает 3-5% от этого числа.

Заработок на ботнетах

В настоящий момент злоумышленникам, которые хотят построить зомби-сеть, нужен самый минимум специальных знаний, ограниченная сумма денег и анонимный хостинг. Причем, ПО для создания ботнета можно легко купить в Сети, найдя соответствующее объявление на анонимных досках объявлений или в блогах. Самые популярные из них - программные пакеты, известные как MPack, IcePack, AdPack и WebAttacker. Они позволяют заражать компьютерные системы посетителей вредоносной web-страницы, используя уязвимости в ПО браузеров или в плагинах к ним. Такие программные пакеты называются web-системами массового заражения или просто ExploitPack.

Управлять ботсетью можно
с помощью обычного мобильного ПК по беспроводной связи.

А вот вариантов контроля ботсетей очень много, хотя и там наблюдается определенная эволюция. К примеру, IRC-ориентированные ботнеты, где управление ботами осуществляется на основе IRC (каждый зараженный компьютер соединяется с указанным в теле программы-бота IRC-сервером, заходит на определенный канал и ждет команды от своего "хозяина"), сдают свои позиции. Еще один вид ботов - правда, не очень популярных - это IM-ориентированные. Они отличаются от своих IRC-ориентированных собратьев только тем, что для передачи данных используют каналы IM-служб (Instant Messaging), например, AOL, MSN, ICQ и др. А вот наибольшую активность демонстрируют web-ориентированные боты: это относительно новая и быстро развивающаяся ветвь ботнетов, предназначенная для управления через Web. Такой бот соединяется с определенным web-сервером, получает от него команды и передает в ответ свои данные. Такие системы популярны в силу относительной легкости их разработки, большого числа возможных web-серверов в интернете, которые можно использовать как управляющий центр, а также простоты управления ботнетом через web-интерфейс. Причем, командных серверов у ботнета обычно несколько, они постоянно ротируются, поскольку в результате работы сети некоторые из них вполне естественно "выбиваются" правоохранительными органами. Совершенно отдельные сетевые хранилища используются для загрузки на компьютеры пользователей новых версий вредоносного программного обеспечения. Кроме того, существуют и другие интересные механизмы контроля. К примеру, интересный механизм рассылки инструкций зомби-компьютерам - это протокол P2P. Изначально компьютеры могут быть заражены троянской программой (к примеру, Nugache), которая распространяется при помощи AOL Instant Messenger и зараженного дистрибутива P2P-клиента LimeWire. А после этого ботнет может работать без единого контролирующего центра: отдельные сети можно организовать в пиринговую сеть: сейчас такая схема используется владельцами ботнетов чаще. Это вполне закономерно - уничтожить такой ботнет гораздо сложнее, он может распадаться на части, управление которыми может быть осуществлено отдельно. Подобные ботнеты могут использоваться злоумышленниками для решения криминальных задач разного масштаба. "При этом, - уверен Виталий Камлюк, - в настоящий момент владельцы ботнетов не склонны специализироваться только на одном виде "услуг", - они предлагают своим клиентам широкий выбор возможных действий. К примеру, распространяют поддельные антивирусы, которые, на самом деле, не защищают компьютеры пользователей, а предоставляют злоумышленникам "дырки" для снятия финансовой и личной информации". Такая вот "клиентцентрированность" во время финансового кризиса. Кроме того, подобные действия исполнять спокойнее и гораздо прибыльнее - владельцы подобных программ заплатят владельцу ботнета, при этом его не будут разыскивать правоохранительные органы - ведь DDoS-атаки через этот ботнет не проводились. Кроме того, отмечает Григорий Васильев, ботнеты используются и для массивной рассылки спама (куда может входить и фишинг, и другие виды атак), распространения вредоносного ПО, для расширения самой ботсети. Кстати, спам-рассылки обладают наибольшим потенциалом, с точки зрения "бизнеса" - при своей невысокой стоимости услуга востребована при любой экономической ситуации, причем ее эффект легко просчитать. В настоящее время, по данным "Лаборатории Касперского", более 80% спам-писем (которые, в свою очередь, составляют до 75% всей корреспонденции в сети) рассылается именно с зомби-машин. Еще один, наиболее очевидный вариант применения ботнета - это DDoS-атаки (Distributed Denial of Service - распределенная атака типа "отказ в обслуживании"), хотя их тактика тоже подвержена изменению. К примеру, тот же кибершантаж, так популярный год-два назад, в результате которого атакуемый сайт платит выкуп за отказ от подобных атак в будущем, постепенно сходит на нет. Значительно больше и стабильнее деньги можно заработать на целенаправленной атаке ресурсов конкурентов по конкретному "виртуальному" заказу. Ведь большинство коммерческих компаний не готово платить 1-1,5 тыс. долларов за защиту от DDoS на постоянной основе. А когда атака состоялась, то "поднять" сайт стоит гораздо больше.

Наиболее активный тип DDoS-атак -
блокирование web-сайтов конкурентов
по конкретному "виртуальному" заказу.

Напомним, что значительная часть DDoS-атак базируется на использовании уязвимостей в основном интернет-протоколе (TCP/IP), в частности, на обработке системами запроса SYN (Synchronize sequence numbers - синхронизация номеров последовательности). Эта ситуация усугубляется еще и тем, что взломщики, чтобы сохранить анонимность, применяют ложные исходные адреса для управления атакой и вполне реальные - для генерации паразитического трафика. Поскольку зомби-машин в их сетях достаточное количество, это значительно затрудняет выявление реальных авторов атаки. Кроме того, многие средства организации DDoS легко доступны и не требуют высокой квалификации пользователей для своей организации. Хотя, в целом, проведение DDoS-атаки представляет собой интересную операцию по дестабилизации работы того или иного информационного ресурса, для чего злоумышленники используют как минимум трехуровневую архитектуру, которую называют кластером DDoS. Ее основа - управляющая консоль (их может быть несколько), т.е. именно тот компьютер, с которого злоумышленник группирует свои силы, подает сигнал о начале атаки, распределяет имеющиеся в его распоряжении ресурсы и анализирует статистику тех или иных кластеров своей ботсети. Обычно такой управляющий центр представляет собой ноутбук, подключенный к интернету с помощью мобильного телефона или спутникового канала связи: при выходе в сеть с такой машины хакеры используют всевозможные уловки от работы через анонимайзеры до маскировки реального IP, чтобы не быть обнаруженными. Второй уровень - так называемые главные компьютеры, те машины, которые получают сигнал об атаке с управляющей консоли и передают его агентам-"зомби". Обычно это серверы, находящиеся в ЦОДах, владельцы которых и не подозревают о "второй жизни" своего оборудования. Таким образом, на одну управляющую консоль, в зависимости от масштабности атаки, может приходиться до нескольких сотен главных компьютеров. На третьем, низовом уровне находятся агенты -"зомбированные" ПК, своими запросами атакующие узел-цель. В отличие от главных компьютеров и управляющих консолей, их число постоянно меняется (владельцы компьютеров задействуют антивирусные средства, администраторы отключают зараженные сегменты от доступа к глобальной сети и т.д.), что заставляет злоумышленников постоянно распространять вирусы, чтобы получать всё новые бот-системы в активном режиме. Кстати, на одно из лидирующих мест выходит и фишинг - фактически создаваемая в киберспространстве незаконная копия того или иного популярного ресурса, куда пользователей "сгоняют" с помощью спам-рассылок, подменяя известный адрес web-ресурса копией. Цель вполнее понятна - сбор личных данных. Ботнет в данном случае - отмечают аналитики "Лаборатории Касперского" - дает возможность фишерам быстро менять адреса фишинговой страницы, используя зараженные компьютеры в роли прокси-серверов. Это позволяет скрыть реальный адрес web-сервера фишера. Результатом этого вида деятельности является кража конфиденциальных данных - уверен Виталий Камлюк - "улов" в виде различных паролей (для доступа к E-Mail, ICQ, FTP-ресурсам, web-сервисам) и прочих конфиденциальных данных пользователей увеличивается в тысячи раз.

Кража личных данных -
один из основных типов работы для ботнетов.

Типичные атаки подобного уровня были обнаружены еще в 2007 году, когда ботнеты проводили атаку на крупнейший онлайн-аукцион eBay. Вирус-троян загружался с зараженных сайтов на компьютеры пользователей, используя критические уязвимости в Microsoft Internet Explorer. После того, как он "укоренялся" на захваченном пользовательском компьютере, он сканировал сетевые подключения для получения порции учетных записей и паролей, которые отправлял своим хозяевам для опробования на сайте eBay.

Кто попадает в ботсети

Как отмечают эксперты, в 2008 году Россия вышла на первое место среди европейских стран по количеству управляющих ботсетями серверов - отечественные злоумышленники достаточно быстро освоили инструментарий, необходимый для создания и управления подобным оружием. Кроме того, "была отмечена тенденция разукрупнения существующих и создание новых, более мелких ботсетей, - говорит Кирилл Керценбаум. - Это связано с тем, что более мелкие ботсети намного сложнее отследить, а соответственно - заблокировать". Вместе с этим, отмечает Виталий Камлюк, подобная тактика позволяет атаковать "сайт-цель" в различное время суток из разных географических зон и с помощью различных методов. Сегодня эта тенденция сохранилась, но при этом не является доминирующей. Однако существует и иная ситуация: увеличение концентрации различных ботнет-кластеров в одном управляющем центре. За примерами далеко идти не нужно - к примеру, ботнет Kido в настоящий момент представляет наиболее серьезную угрозу. Эта вредоносная система была впервые была обнаружена еще в ноябре 2008 года и сейчас насчитывает "в строю" не менее пяти миллионов компьютеров. Подобная система, действуя эшелонированными порядками и привлекая скрытые до поры резервы и ударные отряды, может быстро и надолго блокировать не только web-ресурс службы новостей, но и государственных органов власти, финансово-кредитных учреждений и т.д., попутно "отбомбившись" по дополнительным целям наступления: к примеру, ресурсам хостинг-провайдеров. В этой связи стоит отметить такое перспективное направление для ботсетей, как постановку под контроль смартфонов и коммуникаторов, имеющих постоянное подключение к сети Интернет с помощью UMTS-сетей или систем мобильного WiMAX. Потенциально именно такие устройства, распространенные во всех развитых странах мира, будут являться крайне интересной целью для хакеров в силу слабости их антивирусного обеспечения и большой концентрации личных данных, представленных на подобных терминалах. Кроме того, компьютерная грамотность большинства их владельцев оставляет желать много лучшего, и они просто не смогут разобраться в том, загружал их коммуникатор данные для виджетов о погоде и курсах валют или атаковал по приказу центра ботсети, к примеру, сайт платежной системы. Но в настоящий момент подобный риск пока маловероятен, уверен Виталий Камлюк. "Во многом в силу того, что лишь относительно небольшое число разработчиков способно создать необходимый в данном случае софт". Только поэтому подобное вредоносное ПО пока не столь популярно.

Перспективное направление для ботсетей -
постановка под контроль "умных" мобильных.

"Кроме того, - добавляет Григорий Васильев, - угроза зомби-сетей на базе смартфонов и коммуникаторов менее актуальна по сравнению с традиционными компьютерными ботсетями хотя бы потому, что технические возможности ПК значительно шире и исследованы гораздо более глубоко". Вдобавок, на рынке мобильных устройств, в отличие от ПК, существует целый "зоопарк" операционных систем, что делает разработку вирусов для таких систем более затратным мероприятием. Таким образом, индустрия производства вредоносного ПО, работающая по принципу быстрого возврата инвестиций с высокой рентабельностью, понимает, что данное направление все еще недостаточно развито, и подобные атаки, являющиеся не менее затратными, не принесут достаточного уровня прибыльности. Следовательно, "спасает" мобильные устройства тот факт, что все еще есть другие и более эффективные направления вредоносной деятельности. Но вероятность использования "умных" мобильных в качестве частей ботсети со временем все-таки возрастает вместе с увеличением доли "умных" мобильных на всем рынке. Злоумышленники теоретически смогут использовать их для рассылки SMS-спама абонентам сотовых операторов или для организации атак на беспроводные сервисы, а также массово списывать деньги со счетов за счет отправки SMS на платные номера операторов связи. Кроме того, в числе потенциальных целей - мобильный банкинг, VoIP-сервисы. Пока же, судя по статистике крупных производителей средств антивирусной защиты, наиболее часто в ботсети попадают ПК обычных домашних пользователей и небольших компаний, которые слабо защищены, а порой их владельцы вообще относятся к средствам защиты своих ПК достаточно халатно. "Если говорить о крупном бизнесе, - уверен Кирилл Керценбаум, - в том числе и государственных компаний, то здесь такие случаи менее распространены: в подобных сетях вопросы защиты сети в большинстве случаев решаются на физическом уровне, и ПК часто просто не имеют доступа в интернет. Соответственно, и заражение, и функционирование самого бота практически невозможно, так как инфицированные компьютеры должны иметь постоянное подключение к интернету для получения заданий и обновления, а этого в данном случае просто нет". А вот проект всеобщей компьютеризации школ и подключения их к интернету до сих пор вызывает у специалистов по информационной безопасности очень серьезные опасения, - рассказывает Антон Разумов: "Не исключено, что при нынешнем подходе к безопасности этого проекта (которая практически не прорабатывается, несмотря на множество призывов и предупреждений), это в скором времени станет потрясающего размера ботнетом (точнее, множества ботнетов)". Дело в том, что квалификации большинства преподавателей, назначенных администраторами систем, просто не хватает для защиты ПК в классах информатики, и они являются хорошим "сырьем" для ботсетей.

Оборона периметра

Есть ли возможность гарантированно защитить ПК от попадания в ботнет? Бороться с зомби-сетями в глобальном масштабе - занятие, вежливо говоря, очень долгосрочное. Наиболее эффективно сосредоточиться на защите личных персональных компьютеров и сетей. Наверное, банальным будет говорить о том, что обязательно наличие антивируса на серверах, рабочих станциях и мобильных ПК, а также периодический запуск в системе специальных утилит, целенаправленно сканирующих наличие наиболее распространенных ботсетей (обычно бесплатно выпускаются производителями антивирусного ПО). Кроме того, желательно удостовериться, что пароль учетной записи локального администратора устойчив ко взлому (для этого он должен содержать не менее шести символов, с использованием разных регистров и/или цифр), отключить автозапуск исполняемых файлов со съемных носителей, а также, по возможности, остановить службу Task Scheduler (Планировщик Задач) в ОС Windows. "Кроме того, - уверен Антон Разумов, - наиболее действенным средством, на мой взгляд, служит использование персональных межсетевых экранов с контролем приложений. Inetrnet Explorer, Opera, FireFox, Google Chrome и ряд других известных браузеров могут беспрепятственно выходить в интернет, но какое-то новое приложение при попытке обратиться к порту 80, например, будет заблокировано". Желательно не рисковать и не использовать для этого встроенный в Windows брандмауэр - надежнее будет использовать сторонний, более продвинутый сервис. При этом, чтобы избавить не очень продвинутого в техническом плане пользователя от лавины вопросов, исходящих от различных приложений, жаждущих доступа в сеть, наиболее разумным представляется выбирать программы, оснащенные таким механизмом, как у ПО от компании ZoneLabs. Через свои сервисы SmartDefense, DefenseNet, куда включены базы данных "хороших" и "плохих" программ, поддерживаемые специалистами, она предлагает пользователю, к примеру, разрешить группе "хороших" браузеров доступ в интернет, и пользователя уже не будет заботить, какая версия IE у него стоит, какие апдейты были установлены в системе. Таким образом, те же "хорошие" браузеры будут работать свободно, не надоедая пользователю вопросами, в то же время, злонамеренный код будет остановлен. Т.е. даже если пользователь где-то и заразится, в ботнет он все равно не попадет. Вдобавок, отмечает Григорий Васильев, одними из наиболее эффективных систем для отслеживания зарождения и развития ботсетей являются технологии обратной связи клиентов с вирусными лабораториями, так называемые системы раннего обнаружения угроз. "Фактически, - уточняет он, - это разновидность in cloud computing. Каждый компьютер с установленным антивирусным ПО способен пересылать образцы подозрительного ПО специалистам вендора. Если такой пример признан вредоносным, немедленно выпускается обновление для защиты пользователей продукта по всему миру. Применение данной технологии предоставляет разработчикам уникальную возможность точно представлять характер угрозы, особенности распространения вредоносной программы. Как следствие, можно быстро локализовать опасность и устранить заражение. На сегодняшний день это, пожалуй, единственный путь борьбы с ботсетями".