Глобальное исследование, проведенное командой из Делфтского технического университета, показало, что 5-10% домашних компьютеров, подключенных к интернету, являются активными участниками той или иной бот-сети.
Географический рейтинг по числу заражений, который составили голландцы, возглавляют Греция и Израиль. В этих странах инфицировано около 20% компьютерного парка, использующего широкополосную связь. В Великобритании, занявшей 19 место, данный показатель гораздо скромнее ― порядка 6%, что эквивалентно 1 млн. машин. Следует отметить, что в контрольный список были включены 40 стран, в том числе все участники ОЭСР. Бразилии и Индии, например, среди них нет, а Россия присутствует.
Большинство данных по заражениям были собраны со спам-ловушек (170 млн. IP-адресов, зафиксированных в 2005-09 гг.). Исследователи использовали также статистику по Kido за 2009 г. (169 млн. IP-адресов) и информацию о киберинцидентах той же давности, предоставленную компанией DShield (130 млн. адресов). Вполне ожидаемо данные из этих трех источников не совпали.
Каждый провинившийся IP-адрес был прослежен до конкретного интернет-провайдера в пределах географической выборки. Итоговая статистика оказалась весьма печальной: инфекция поразила сети 200 провайдеров, на долю которых приходится около 90% рынка, подвергнутого анализу. В Великобритании, например, практически не нашлось сетей, свободных от ботов. Нормализованные данные (с учетом величины абонентской базы и других общепринятых факторов) были представлены национальным регуляторам и интернет-провайдерам, для которых масштабы бедствия оказались большим сюрпризом.
Дело в том, сетуют академики, что в большинстве стран у интернет-провайдеров нет стимула регулярно заниматься сбором информации о заражениях в своем ведомстве. Все данные, которые публикуются на основании специализированных исследований, неточны, так как ботоводы никогда не задействуют весь наличный потенциал при проведении кибератак и спам-рассылок, да и состав ботнетов непостоянен. Чтобы определить истинные размеры бот-сети, нужно наблюдать ее деятельность в течение долгого времени, и в этом могла бы помочь, например, практика публичных отчетов об успехах борьбы с инфекцией на уровне интернет-провайдеров.
Успехи же эти, по словам голландцев, очень разные. Свыше 30 поставщиков интернет-услуг, уличенных в рассылке спама, включая 9 представителей ЕС, числились в Тор 50 по этому показателю на протяжении 4 лет. 26 интернет-провайдеров, из них 6 из стран ЕС, столько же времени безуспешно пытались выйти за пределы Тор 50 по засилью спамботов (числу заражений в масштабах абонентской базы). Более того, даже самые добросовестные интернет-провайдеры обнаруживают в своих сетях лишь малую часть зомби-компьютеров, и далеко не все их владельцы ставятся об этом в известность.
В Голландии, например, оповещения о заражении от интернет-провайдера получают менее 10% инфицированных, и то эта практика появилась лишь после введения в стране соответствующего Кодекса чести. Схожая ситуация наблюдается и во многих других странах. А в Финляндии, например, система оповещений о заражениях запущена в автоматическом режиме. Владельцы зомби-компьютеров получают 2 уведомления и при отсутствии ответной реакции временно отлучаются от Сети. В Германии и Японии работают специальные колл-центры, в которые направляют пользователей при обнаружении следов заражения. Им оказывают помощь в подборе антивируса и инструктируют, как провести очистку. В целом университетское исследование показало, что активное участие надзорных органов в борьбе с ботнетами положительно влияет на национальные показатели. Например, в странах, присоединившихся к Лондонскому плану действий, уровень заражения заметно ниже.
Академики: зомби-компьютеров больше, чем принято считать