De lever i det skjulte, men udgør et stort problem.
I Danmark er omkring 100.000 computere blevet inficeret og indlemmet i botnet, der kan aktiveres og bruges til nye angreb eller spam, eller mere passivt til at indsamle passwords og andre fortrolige oplysninger.
Derfor var der inviteret til paneldebat om emnet på Dansk IT's konference om it-sikkerhed, med en politiker, Dansk Industri samt TDC i panelet. Alle kunne blive enige om problemet, men hvordan man lige kommer det til livs, stod mindre klart.
Hos Dansk Industri havde konsulent Henning Mortensen beskæftiget sig med truslen i halvandet år.
?Vi betragter det som et stort problem, og vi tror på, at der kommer mere og mere avanceret bot-kode. De økonomiske incitamenter er store for de it-kriminelle,? sagde han.
Desværre er der ingen nemme løsninger, lød vurderingen.
?Vi bliver nødt til at være mange aktører, der arbejder sammen mod botnet. For der er ingen simple løsninger,? sagde Henning Mortensen.
Et oplagt samarbejde er mellem internetudbyderne og varslingstjenester som DK-Cert og GovCert. Og den er TDC med på, lød det fra firmaets tekniske sikkerhedschef Lars Højberg. Man er faktisk allerede godt i gang med at få klaret formaliteterne, så samarbejdet kan blive skudt i gang.
TDC har også selv været i gang med nogle anti-botnet-tiltag. For eksempel har TDC's internetkunder fået lukket port 25 for dynamiske IP-adresser, som bliver brugt til at sende spam. Datatrafik til de servere, der kontrollerer et botnet, bliver også så vidt muligt null-routet, altså 'sendt ned i et hul i jorden', som sikkerhedschefen formulerede det.
Men problemet er at afgøre, hvad der er skadeligt og skal stoppes. En fra publikum foreslog, at man brugte lister over farlige IP-adresser fra sikkerhedsfirmaer, i stedet for selv at finde frem til dem. Men det kunne ikke stå alene, mente TDC-manden.
?Vi vil gerne have en myndighed indover til at verificere, hvad der skal blokeres. Hvis der er falske positiver i en liste fra et firma, og vi så blokerer en hjemmeside uden grund, kan det have en rigtig grim effekt. Det ville være et problem for os,? sagde Lars Højberg.
Dansk Industri mente heller ikke, at internetudbyderne skal fungere som politi på nettet, uden grønt lys fra for eksempel GovCert, der kom op og køre i slutningen af 2010.
Awareness var en anden angrebsvinkel. TDC har oplysning til kunderne om it-sikkerhed på hjemmesiden og deltager også i Netsikker Nu-kampagnen. Men en fra publikum citerede sikkerhedsguruen Bruce Schneier for, at awareness er død. Emnet er for komplekst og truslerne ændrer sig hele tiden, så løsningen var at designe systemerne sikkert fra starten.
?Security by design er godt, men det er en stor skude at vende. Vi når nok aldrig perfekt design, så der er et stort rum for forbedring gennem højere awareness,? mente Henning Mortensen.
Walled gardens er en anden tilgang, som TDC og Dansk Industri kigger på. Her spærrer internetudbyderen for adgangen til nettet hos brugere, der øjensynligt er blevet indlemmet i et botnet. Det eneste, man så kan se i browseren via den linje, er information om problemet og besked om at rense computeren.
Fra politisk side deltog Socialdemokraternes it-ordfører Yildiz Akdogan, mest for at lære om truslen. Men hun ville gerne gøre sit ved at få nedsat en bredt sammensat gruppe, der kunne finde frem til løsninger.