Hola amigos:
Lo que sigue es un mensaje que, a raiz del cambio de apariencia, se "evaporó" en el eter.
Hoy os traigo un tema que hace tiempo quería tratar: las redes zombi o botnets. Lo que sigue es un resumen del artículo aparecido en la Revista de Aeronáutica y Astronáutica del mes de diciembre.
Una red zombi (o botnet de robot network, pero prefiero el término en castellano porque creo que es más descriptivo), es una red de ordenadores infectados por un determinado tipo de malware que hace que queden controlados a distancia sin conocimiento del propietario.
Se denomina bot al programa que, introducido en el equipo, hace que éste quede a las órdenes del atacante. Por extensión se denomina bot a la máquina afectada.
Hoy por hoy son considerados la mayor amenaza a la seguridad en Internet, por las siguientes causas:
1-Por el enorme poder de computación que proporcionan miles de ordenadores trabajando simultáneamente.
2-Porque puede ser vendido, alquilado y comercializado como un servicio más.
3-Pueden ser, y son, utilizado en ataques a gran escala.
4-Su uso se está extendiendo por los pingues beneficios que se pueden obtener.
5-So muy dinámicas, difíciles de detectar y de localizar, adaptándose muy rápidamente a los nuevos sistemas de detección.
6-Tienen un bajo coste de producción y una gran variedad de formas de explotación.
La forma en que se crea una red zombi es la siguiente:
1-Se idea y/o planifica una red para un fin determinado.
2-Se busca algún tipo de malware (troyano o gusano son los más habituales) que pueda infectar el mayor número de equipos, aprovechando alguna vulnerabilidad (conocida o no), en la seguridad de que habrá mucho equipos sin defensa.
3-El malware puede ser desarrollado por el que ha ideado la red o lo adquiere en el mercado negro.
4-Difundir el bot, bien por sí mismo o por tercero, a unos cuantos servidores con lo que tendrá bajo su control (bien entendido que ya eran vulnerables al ataque) y los usará para propagar el malware a miles de ordenadores que tengan la misma u otras vulnerabilidades.
5-Finalmente el bot hará que el equipo atacado se conecte a un canal de comunicaciones, a través del cual recibirá órdenes y transmitirá los datos sin que el propietario del equipo se percate.
Puesto que el 95% de los equipos tienen el Sistema Operativo Windows en cualquiera de sus versiones, es evidente que serán el principal objetivo. De hecho el 99,2% del malware tiene como blanco éste entorno.
Lo interesante de estas redes es su naturaleza distribuida, multitud de ordenadores controlados por la misma persona u organización (recordar que los cluster son una suerte de supercomputadores que utilizan el mismo principio: muchos ordenadores trabajando en paralelo). Para la comisión de delitos (o de actividades no muy santas entre países) ofrecen las siguientes ventajas:
1-Anonimato. El ataque se produce desde miles de ordenadores. Localizarlos es muy complicado y aunque se haga pueden estar en multitud de países con legislaciones muy diferentes y localizar al culpable es una misión compleja.
2-Coste. Se reduce al software, el ordenador y la línea de comunicación del atacante. El resto lo ponen las víctimas.
3-Computación distribuida. Esto es lo mismo que está haciendo SETI con fines legítimos (o los Cluster que ya he mencionado).
4-Beneficios económicos. No sólo por lo que pueda obtener el atacante por sí mismo. Se está dando el caso de “alquiler” de la red y de venta del software de control.
Los usos son variados. Los principales serían:
-Ataques de Denegación de Servicios (DDoS). Es decir bloquear un servidor con el envío masivo de peticiones de acceso en muy poco tiempo desde miles de ordenadores de la red, saturándolo y de esta forma provocar su caída. Es lo que se hizo en Estonia 2007, Kirguizistán 2009 y lo que seguramente hace anonymous.
-Envío de Spam. Pero el correo basura es lo de menos. Se puede hacer con la libreta de direcciones de la víctima y enviar phising.
-Capturar el tráfico de red para buscar datos de texto en claro que permitan obtener datos relevantes (p. ej. Nombres de usuario y contraseñas).
-Capturas de teclado o pantalla, es decir ver lo que se teclea o aparece en pantalla mediante la introducción de keyloggers o screenlogger (¿Fue esto lo que pasó con el RQ-170 “derribado”?).
-Instalar anuncios en falsas páginas web.
-Fraudes (manipulación de encuestas, juegos on-line).
-Secuestro de ficheros y chantaje. Bien el robo de datos, bien su encriptación o la descarga de archivos comprometidos (p. ej. Pornografía infantil).
-Eliminación de rastros y trazas de actividades delictivas aprovechando las redes zombis, para que los canales sean tan complejos que no se puedan seguir.
¿Cómo defenderse? Bueno, personalmente creo que no hay que ser muy paranoico (y más con Windows y su tendencia a dejar una gran cantidad de “basura”) si el ordenador va más lento, pero si se cierran aplicaciones de golpe o aparecen mensajes extraños (fallos en archivos, errores de lectura/escritura en memoria…) si que es para preocuparse y se pueden hacer algunas cosas:
-Mantener el Sistema Operativo, antivirus y programas susceptibles de ser usados como vía de ataque (Adobe Reader, Flash Player, Office) al día, activando las actualizaciones automáticas.
-Aumentar las configuraciones de seguridad.
-Usar contraseñas fuertes (lo dice el artículo, pero si te meten un keylogger no se de que puede servir, además de la contraseña fuerte usar un teclado virtual que algún antivirus trae es prudente).
-Monitorizar el sistema de vez en cuando y si eres muy manitas ver qué puertos están abiertos. Si resulta que no usas programas P2P y tienes el puerto de ellos abierto tras haberlo cerrado… .
En fin otro día más.
Y esto ya es de hoy:
http://www.libertaddigital.com/internet/2012-01-29/anonymous-publica-informacion-privada-de-wert-sinde-y-una-veintena-de-artistas-1276448420/Hasta otra. ><>
