Bad bot, botnet a spambot: co způsobují a jak se před nimi chránit?

Internetoví boti provádí jednoduché operace ve vyšší četnosti, než jakou dokáže běžně vyprodukovat člověk. Legitimně se proto používají například pro indexování internetového obsahu ve vyhledávačích (tzv. good bots). Jejich schopnost se dá ale i velmi dobře zneužít k vyhledávání zranitelných míst aplikací, rozšiřování fake news nebo zahlcení serverů velkým množstvím požadavků. Takovou činnost vykazují bad boti.

Množství internetových botů roste a s jejich určitým provozem v rámci aplikace bychom tedy měli počítat. Je ale důležité věnovat pozornost nezvyklým aktivitám a dobře znát chování skutečných uživatelů, abychom dokázali identifikovat škodlivé boty.

Typy bad botů a jejich aktivita

Bad boti napadají nejčastěji webové aplikace napříč odvětvími. Pátrají po osobních datech, která ve velkých objemech vkládáme do mobilních zařízení stejně jako do IoT zařízení. V druhém případě jde navíc často o zařízení s nízkou úrovní zabezpečení. Dostatečně chránit zapomínáme i API rozhraní a útočníkům tak nabízíme snadnou cestu například k bankovním údajům a databázím.

Společnost Radware, podobně jako některé další, letos vydala poměrně rozsáhlý report mapující problém bad botů v internetovém provozu. Ze svého pozorování vyčlenila čtyři generace bad botů:

• 1. generace (Script Bots) – Jedná se o nejprimitivnější typ bota, který většinou využívá 1–2 IP adresy a snaží se z aplikace stáhnout co nejvíce obsahu nebo vytvořit spam.
  Jak je poznat: vzorec útoku se často opakuje a přichází z malého množství IP adres.
• 2. generace (Headless Browsers) – Využívají nástroje, které se používají pro vývoj a testování webových aplikací. Umí totiž spustit JavaScript a ukládat soubory cookies.
• 3. generace (Single Interaction) – Vyspělejší typ internetového bota umí scrollovat, pohybovat myší a proklikávat se webovou prezentací.
  Jak je poznat: pohyby myší bývají strnulé, rovné.
• 4. generace (Distributed, Mutating Bots) – Velmi sofistikovaní boti jsou ve svém chování téměř k nerozeznání od člověka. Zaznamenávají chování skutečných uživatelů (přejetí prstem, poklepání na displej), aby mohli co nejpřesněji simulovat lidské pohyby.
  Jak je poznat: Z každého zařízení dělají jen pár zásahů a jen několik pohybů myší. Nejefektivnější je nastudovat si chování skutečných uživatelů v konkrétní aplikaci a věnovat pozornost detailům.

Pro útoky typu DDoS, produkci náhodně generovaných zpráv nebo tvorbu falešných účtů a rozšiřování spamu (spambot), je nejúčinnější vybudovat botnet. Jedná se o síť vyhackovaných zařízení koncových uživatelů. K tvorbě takové sítě slouží bad botům různé typy malware. Díky botnetu mohou boti provádět rozsáhlé útoky nepozorovaně (podobně, jako to dělá 4. generace botů).

Podívejte se na záznam z webináře Beating Bad Bots, který mimo jiné ukazuje simulaci útoku bad bota.

Bad bot v akci: jak probíhá útok

Představme si neexistující web www.imaginarniweb.cz, který běží třeba na WordPressu. Bad bot se bude zkoušet dostat k přihlašovacímu formuláři. Ten se mu pomocí skenování URL podaří najít například na www.imaginarniweb.cz/wp-admin (Jedna z nejpravděpodobnějších URL adres. Takovou URL doporučujeme zabezpečit, např. omezit přístup k ní pouze na uživatele v interní síti). Spustí generování přihlašovacích údajů a nakonec i v tomto případě bude úspěšný. Přes neošetřený formulář nebo podstrčený soubor cookie provede SQL injection (nabourání se do databázové vrstvy, která je s webovou aplikací často propojená) a získá přístup ke všem údajům uloženým v databázi.

Na obrázku můžete vidět jakým způsobem bad boti útočí. “Low and slow” útoky jsou ty nejsofistikovanější, které dokáží obejít i mnohá zabezpečení. (Zdroj: studie Radware, The Big Bad Bot Problem 2020)

Detekujte bota včas, hlídejte provoz na webu

Nejjednodušší je sledovat, co se na webu děje. Aktivita bad bota se nejčastěji projevuje abnormálním nárůstem nebo naopak poklesem návštěv v nezvyklých časových úsecích s vysokou mírou okamžitého opuštění. To kvůli náhlé změně IP.

Sledujte odkud uživatel přichází, primárně to u bad botů bývá přímá návštěva webu (zadáním URL do adresního řádku). Alarmující je i snížený výkon serveru, podezřelé IP adresy nebo návštěvy z lokalit, které se ve vašich statistikách běžně neobjevují. Zbystřete i v případě, že vidíte enormní množství návštěv z jedné konkrétní IP. Skuteční uživatelé většinou na určitém webu navštíví jen několik stránek. Pozor dejte i na požadavky v jazycích, jež vaši zákazníci většinou nepoužívají.

Veškeré nezvyklosti srovnávejte se standardním provozem a chováním skutečných uživatelů.

4 tipy na omezení aktivity internetových botů

• Do kořenového adresáře svého webu umístěte soubor robots.txt a určete, kteří boti mají na web povolený přístup. Tímto způsobem se vám podaří zablokovat aktivitu jen některých legitimních robotů. I to se však může v mnoha případech hodit. Doporučujeme, abyste si zkontrolovali, že vyhledávací good boti mají přístup k vašemu obsahu, a to co nejsnadnější. V opačném případě se vaše stránky přestanou ukazovat ve výsledcích vyhledávání.
• Do formulářů pro registraci přidejte CAPTCHU. Jedná se o test, který automaticky rozliší počítač od skutečného uživatele. CAPTCHA odbourá zásahy třetí generace botů. Pokud je pro vás důležité, aby byl web dobře přístupný pro všechny uživatele, tedy i hendikepované, mějte CAPTCHU k dispozici také ve zvukové podobě. 

Zdroj: https://wordpress.org/

• Nastavte JavaScript alert, který bota pozná a přístup na web mu zamezí nebo znepříjemní. 

Zdroj: https://www.jakpsatweb.cz/

• Použijte Bot Manager. Na nejvyspělejší generaci botů platí především hloubková behaviorální analýza, kterou tyto nástroje ovládají. S behaviorálním přístupem se vám aktivitu 4. generace botů podaří odhalit.

Chcete-li pokročit v boji proti internetovým botům na webu, snažte se kombinovat alespoň několik z výše doporučených postupů. Zvýšíte tak svou šanci na úspěch. V prvé řadě však dbejte na dobré zabezpečení. Pro bota se tím stane pohyb v aplikaci o něco komplikovanější a přesně to chceme.