Cómo comienza la historia – El inicio de esta historia
Conflictos en red: botnets Abstract .......................................................................................................................... 2 Introducción .................................................................................................................. 2 Cómo comienza la historia ....................................................................................... 3 Una definición de botnet ........................................................................................... 3 Malware ...................................................................................................................... 4 Para qué sirve una botnet ......................................................................................... 4 Ataques de Denegación de Servicios Distribuída (DDoS) ........................... 5 Inundación SYN (SYN Flood) .............................................................................. 5 Inundación ICMP o ICMP Flood .......................................................................... 6 Ataque Smurf .......................................................................................................... 6 Ataque Broadcast .................................................................................................. 6 Teardrop .................................................................................................................. 7 Spamming .................................................................................................................. 7 Phishing ..................................................................................................................... 8 Sniffing ....................................................................................................................... 8 Keylogging ................................................................................................................ 9 Fraude de clicks ....................................................................................................... 9 Almacenamiento de material ilegal..................................................................... 9 Técnicas de infección, sumando zombis a una botnet ................................... 10 Ingeniería social ..................................................................................................... 10 Correo electrónico y mensajería instantánea ................................................ 10 Redes P2P ............................................................................................................... 11 Drive-by-Download ................................................................................................ 11 Estructura de una botnet, estructura para delinquir ....................................... 12 Arquitectura C&C Centralizado ......................................................................... 12 IRC C&C ................................................................................................................ 12 HTTP C&C ............................................................................................................ 14 Arquitectura C&C descentralizado ................................................................... 14 P2P C&C ............................................................................................................... 14 Botnets, una forma de economía alternativa ..................................................... 15 Analizando los recursos humanos de la empresa ....................................... 15 Costos para el armado de una botnet .............................................................. 16 Sacando números ................................................................................................. 16 Twitter y las botnets ................................................................................................. 19 Detección y prevención ........................................................................................... 21 ¿Somos parte de una botnet? ............................................................................ 21 Limpiando el ordenador....................................................................................... 22 Prevención............................................................................................................... 22 Caso real: la botnet Mariposa ................................................................................ 23 Impactos causados ................................................................................................... 24 Cibercrimen ................................................................................................................. 25 Conclusión .................................................................................................................. 26 Weblografía ................................................................................................................. 27 1 Conflictos en red: botnets Abstract Why is cybersecurity important? Computers are elemental issues in our daily lives. We do almost everything with their help and it is hard to imagine how could the world keep on moving without them. Communications between computers are threatened by criminals and their malware. They are there, looking for the right moment to brake into our systems. The new cyberthreat is called botnet. Criminals are able to take control and do with our computers anything they want. In this paper you would be able to understand what is going on behind them and be aware to prevent getting infected. Introducción El ser humano siempre ha buscado evolucionar y superarse en cada aspecto de su vida. Distintos momentos de la historia han marcado al ser humano y le dieron un rumbo a su evolución política, cultural, social y tecnológica. Mirando a la línea del tiempo y ubicándonos entre la segunda mitad del siglo XVIII y principios del siglo XIX, se vivía un proceso de cambio que dio un vuelco en la sociedad, con mayor impacto en las industrias: la Revolución Industrial. Esta etapa supuso cambios en los métodos de producción, mecanizando inicialmente la industria textil y posteriormente la metalúrgica, hasta llegar a lo quizás más representativo de la evolución, la máquina a vapor. Con el paso del tiempo y los requerimientos que la nueva industria presentaba, el empeño de automatizar la mayor cantidad de tareas se transformó en una de las grandes ambiciones de las personas. Así, el progreso empezaba a dar noticia y ya en el siglo siguiente aparecieron las primeras computadoras. Estos nuevos aparatos eran capaces de realizar cálculos por sí mismos, luego ya podían almacenar datos y al día de hoy, se convirtieron en un elemento indispensable en hogares, pequeñas, medianas y grandes empresas. Actualmente vivimos en la era de las comunicaciones. La necesidad de estar conectados y tener acceso a distintos puntos desde cualquier lugar, en cualquier momento, llevó a desarrollar diversos sistemas que se usan a diario por millones de personas. Así nacieron las redes de computadoras, y con ella, nuevos problemas. Una grave amenaza que circula en Internet son las redes de computadoras infectadas y sometidas a las órdenes de un cibercriminal, llamado botmaster. Nos estamos enfrentando a una nueva especie de revolución, donde el poder absoluto sobre los equipos es utilizado para automatizar diversos crímenes informáticos. Hay muchas botnets esparcidas por todo el mundo. No se conoce con certeza un número exacto y si bien se sabe que no todas están activas aún, el alcance si todas ellas se dispusieran a atacar simultáneamente es desconocido. Bienvenido a estas páginas, donde se propone conocer los detalles de las peligrosas redes, cómo funcionan, cómo se organizan, conocer quiénes 2 Conflictos en red: botnets están detrás de ellas y qué podemos hacer como usuarios para evitar este dilema. Cómo comienza la historia Año 2000. Habían pasado catorce días del mes de febrero cuando se registró la caída simultánea de importantes sitios web. Yahoo!, eBay, Amazon, Dell, E*Trade y la CNN se encontraron paralizados por varias horas, víctimas de hasta por el momento, un desconocido. Mientras tanto, en Wall Street, los valores de las mencionadas empresas empezaban a caer y el por entonces presidente de Estados Unidos, Bill Clinton, celebró una cumbre especial de ciberseguridad en la Casa Blanca. El FBI y la RCMP (Royal Canadian Mounted Police) pusieron en marcha la investigación que conducirían al responsable. Seguramente se dieron con una sorpresa al descubrir que detrás de uno de los mayores ataques informáticos cometidos hasta el momento, no había un experto en la materia ni un Stanley Jobson1, sino un adolescente canadiense de quince años de edad. Michael Calce, procedente de Montreal, y escondido bajo el alias de MafiaBoy en la nube, cayó en las redes de su carácter presumido. Fue señalado sospechoso por haberse auto-proclamado responsable de los hechos sucedidos en los canales de IRC. Su sospecha fue todavía más fuerte al autoadjudicarse el ataque a Dell, cuando aún éste no era de público conocimiento. Según las investigaciones realizadas, Calce necesitó menos de ochenta computadoras sometidas a su botnet para realizar el ataque de tipo DDoS (Distributed Denial of Service, por sus siglas en inglés). Con un poco de curiosidad y una herramienta que consiguió navegando en la web, Mstream, fue capaz de dirigir su botnet para que enviara grandes paquetes de datos a los servidores Web elegidos como víctimas. Más de un gigabit de datos por segundo lograron colapsar los servidores. Una madrugada de abril de ese mismo año, Calce, como cualquier adolescente que disfruta de un fin de semana, se encontraba en la casa de un amigo mirando una película. Alrededor de las tres de la mañana recibe una llamada desde su casa. La voz de su padre sólo pronunció las palabras: “Están aquí, te están buscando” para que Michael supiera a qué se refería. Y sucedió lo que no le ocurre a cualquier adolescente que disfruta un fin de semana. Fue arrestado y declarado culpable de cincuenta y seis cargos por el uso abusivo de información. El 12 de septiembre de 2001, fue sentenciado a permanecer ocho meses en un centro de detención de menores, un año de probation, uso restringido de Internet y el pago de una multa. Los reportes estimaron que los daños causados a la economía global fueron de casi ocho millones de dólares y se generó una ola de cuestionamientos acerca de qué tan seguro era el e-commerce, qué tan privados eran los datos que viajaban a través de la red y cuánta seguridad ofrecían las compañías en sus transacciones. Poner en tela de juicio esos factores no tuvo precio. Una definición de botnet 1 Hacker recién salido de prisión interpretado por Hugh Jackman en la película Swordfish (2001). 3 Conflictos en red: botnets En lo desarrollado hasta este punto hemos mencionado las botnets sin entrar en detalles en lo que hay detrás de esta palabra y qué significa. Es momento de aclarar conceptos. Un robot es un aparato electromecánico capaz de actuar en forma automática para una función determinada2. Si en lugar de ser un aparato físico, el robot es un software, se adopta el término bot. De esta manera, una botnet es una red de computadoras de la cual un botmaster o bot-herder tiene poder absoluto para que realice la función que él mismo le designe de manera remota. Cada PC que integra esta red es infectada previamente mediante correo electrónico, drive-by-download o software P2P. Las computadoras sometidas son conocidas como zombis por compartir características con este legendario ser. Escuchan las órdenes de su amo y actúan en consecuencia, no distinguen malas ni buenas acciones. Así como el monstruo de Frankenstein se vengó a muerte con familiares de su creador, una comunión de PCs zombis es capaz de cometer los más diversos crímenes informáticos: DDoS, spam, phishing, captación de información confidencial como contraseñas y PIN de cuentas bancarias, malversiting, rogue, etc. Las botnets son una de las grandes amenazas actuales en Internet. Están esparcidas por todo el mundo y no se conoce con certeza cuántas de ellas existen. Hay de todos los tamaños, desde una pequeña botnet de menos de una decena de máquinas hasta grandes organizaciones que afectan a cientos de miles y hasta millones computadoras. Malware ¿Cómo se relaciona el malware con las botnets? Para que un ordenador se convierta en zombi, es necesario que en ella se ejecute un malware. El término hace referencia a un software maligno que se infiltra clandestinamente en el sistema, pudiéndose tratar de troyanos, gusanos, virus, rootkits, spyware o adware. Son diversas las finalidades que tiene el malware. Algunos buscan corromper los datos del disco del usuario, otros buscan añadir scripts maliciosos en páginas web, y los que le interesa a los botmasters: permiten obtener el control remoto de las PC infectadas. Para qué sirve una botnet Si bien en este contexto hablamos de los bots como perjudiciales para la informática, en un principio, fueron pensados para automatizar funciones de rutina en diversos sistemas y sitios web. En 1993, EggDrop fue concebido en el lenguaje de programación C y es el bot más popular de IRC. Su misión es la de administrar los canales IRC según la configuración dada por el creador del canal. Existen otros bots y sus funciones son diversas, por ejemplo, en Wikipedia se encargan de tareas de edición de artículos. Con el paso del tiempo, los bots comenzaron a utilizarse con otros fines lejos de ser provechosos como en sus principios. Se formaron redes de bots malignos y se aprovechó la gran cantidad de recursos que se tenía a 2 Diccionario enciclopédico usual. Primera edición, editorial Larousse. 4 Conflictos en red: botnets disposición. La escalabilidad fue tentadora: más bots, más recursos disponibles. Por otro lado, el manejo no era una materia de complejidad. Desde pocos o un único punto era posible operar toda la red, a pesar de la dispersión de los bots alrededor del mundo. Esto favoreció al aumento de dificultad de localización de la red. Las botnets se dedican a realizar distintos fraudes y son armadas y alquiladas por personas que buscan lucrar con ello. Ataques de Denegación de Servicios Distribuída (DDoS) Supongamos una botnet formada por mil equipos con un ancho de banda promedio de 128 Kb/seg. cada uno. Por escalabilidad, el ancho de banda total de la botnet supera los 100 Mb/seg. ¿Qué es lo que hace un ciberdelincuente con ello? La respuesta podría ser perfectamente proporcionada por Michael Calce: DDoS. Se trata de ataques que impiden el acceso de usuarios legítimos a los recursos o servicios ofrecidos por un sistema o una red de computadoras. Los blancos de los ataques de denegación de servicio pueden ser aplicaciones cliente o servidor. Éstas últimas son las más afectadas por ser de mayor impacto dado que la cantidad de usuarios afectados al mismo tiempo es superior. Los métodos para lograrlo pueden consistir en el exceso de consumo de recursos tales como espacio en disco, CPU, memoria y ancho de banda. Generalmente los DDoS generan un consumo no habitual del ancho de banda disponible, generando una sobrecarga de tráfico en el servidor víctima y lo inhabilita para atender peticiones provenientes de usuarios inocentes. Así, el acceso a un sitio web queda bloqueado. El excedente de tráfico se logra mediante inundación de paquetes SYN, ICMP o UDP. A continuación se detallan algunas de las técnicas usadas para DDoS. Inundación SYN (SYN Flood) El ataque se realiza mediante el protocolo TCP/IP. La petición que una computadora envía a otra va acompañada por flags especiales en la cabecera e indican si la petición es de apertura, cierre, reinicio de conexión, entre otros. El protocolo TCP establece una conexión en tres vías o pasos. Si el tercer paso no se completa satisfactoriamente, la conexión asume un estado semiabierto. 1º - Para el inicio de la comunicación, el cliente envía un flujo de paquetes TCP/SYN al servidor. 2º - Por cada paquete recibido, el servidor intenta establecer una conexión diferente con el cliente y contesta con paquetes TCP/SYN-ACK en espera de una respuesta. En este momento las conexiones se encuentran semiabiertas. 3º - El cliente responde con el paquete TCP/ACK. Por lo general, la dirección IP del cliente informada en el primer paso es falsa o inexistente. Por ende, el servidor queda en espera de una respuesta que nunca llega y el tercer paso de responder con el paquete TCP/ACK no se realiza. El estado de las conexiones es semiabierta, consumiendo recursos del servidor y limitando la cantidad de conexiones que pueden realizarse. La 5 Conflictos en red: botnets capacidad del servidor de responder solicitudes de usuarios legítimos se reduce y se experimenta un aumento en el tiempo de respuesta. La mayoría de los servidores tienen un tiempo límite muy corto para las conexiones semiabiertas. Vencido el plazo, se descarta un pedido de conexión para dar lugar a las demás. Sin embargo, si la cantidad de paquetes SYN y el la inundación SYN se mantiene activa, el servidor víctima puede sufrir una caída o un reinicio del sistema. Una variación de este flood es que el paquete TCP/SYN tenga como dirección IP origen la misma que la del servidor víctima. De esta manera se induce a que el servidor se responda a sí mismo y falle. Inundación ICMP o ICMP Flood Esta técnica genera sobrecarga en la red y en el servidor comprometido. Se envían grandes paquetes ICMP Echo Request (ping) a la víctima, quien debe responder con paquetes ICMP Echo Replay (pong). Se busca disminuir al mínimo el ancho de banda. Ataque Smurf Es una variación del ICMP Flood. Combina el envío de paquetes ICMP Echo Request a una dirección de broadcast e IP spoofing. Se envían paquetes ICMP Echo Request con la dirección IP de la víctima como dirección origen y la dirección de broadcast como destino. Ésta última hace que el mensaje se transmite a todos los nodos que conforman la red. Como resultado, todas las máquinas responden a la víctima provocando su saturación y el congestionamiento del tráfico. Ataque Broadcast 6 Conflictos en red: botnets Se coloca la dirección de broadcast como dirección IP origen y destino del paquete ICMP Echo Request. Cada nodo perteneciente a la red recibe el mensaje y responde a todas las demás. Las respuestas se propagan por toda la red provocando degradación del servicio y un importante consumo del ancho de banda disponible. Teardrop Cada paquete que circula por la red tiene un tamaño máximo en bytes establecido por el MTU (Maximum Transfer Unit). Para IP, el máximo MTU posible es de 65.536 bytes, lo que equivale a 64 KB. No obstante, en la práctica, el valor por defecto es de 576 bytes. Es frecuente la necesidad de enviar datos que, por su tamaño, requerirán fragmentar el paquete IP. Para que esto sea posible, el protocolo IP define campos en la cabecera que permitirán el armado del paquete original en el destino. En el campo Flags existen tres banderas. La primera es reservada y vale cero. La segunda, Don’t Fragment o DF, indica si se permite o no la fragmentación con un cero o un uno respectivamente. Por último, More fragments, si vale cero es porque estamos en presencia del último fragmento del datagrama o, bien puede valer uno si todavía van a recibirse más fragmentos. A continuación de las flags, se encuentra el campo Fragment Offset, que indica la posición del fragmento dentro del datagrama IP original. Dada esta breve introducción nos enfocamos en lo que nos interesa. El ataque Teardrop busca confundir al sistema en la reconstrucción del datagrama modificando los valores en sus campos. Se produce overlapping (el datagrama se sobrescribe) y buffer-overrun (desbordamiento de búffer), esto es el intento de acceder direcciones de memoria adyacentes y que no corresponden al proceso ejecutado. Como consecuencia y dependiendo del sistema operativo, el servicio afectado se pierde o bien se produce un colapso que lleva al reinicio del sistema. Spamming Quienes tenemos una cuenta de correo electrónico no necesitamos una introducción al tema spamming. A diario somos víctimas de este fraude que nos demanda el trabajo de borrar mails de “Ro1ex”o de un desconocido que coloca “Querido amigo” o “Dear friend” en el asunto, invitándonos a realizar compras mayoristas en China. Simplemente podemos definirlo como una actividad de la cual todos somos víctimas y, al mismo tiempo, una gran cantidad de nosotros podríamos ser responsables. Según un análisis del tráfico de correo electrónico realizado por Kaspersky Lab, en el primer trimestre del 2010, el 85,2% de los correos electrónicos se trataba de spam. Si se observa el gráfico, durante la primera mitad del mes de marzo puede notarse una significativa disminución del spam. Se supone que esto se debió a la desaparición de la famosa botnet Waledac y 277 sitios involucrados con ella. 7 Conflictos en red: botnets Mediante una botnet y sus bots, es posible enviar gran cantidad de correo no deseado. Los bots en los cuales se haya activado el Proxy SOCKS, ya están en condiciones de enviar los e-mails. Al servidor Proxy SOCKS se conectan los ordenadores que necesitan comunicarse con servidores exteriores y que están cubiertos por un firewall. Phishing Es una puerta a la estafa y hace uso de la ingeniería social para el robo de información privada y confidencial de los usuarios de los sistemas infectados. La información más cotizada en el mercado de la delincuencia son los datos bancarios, que incluyen números de cuenta, números de tarjetas de crédito y PIN. Al navegar por la web en una computadora infectada, los internautas son redirigidos a páginas falsas idénticas a las originales y capaces de enviar los datos ingresados al botmaster. El phishing también está presente en los correos electrónicos. El usuario recibe un aviso de una empresa, que puede ser una entidad bancaria de la cual es parte. El mensaje contiene un enlace que lo redireccionará a una falsa web. En su reporte del primer trimestre del 2010, Kaspersky Lab informó que el porcentaje medio de phishing presente en el spam ascendía al 0,57%. Se vio además, que los esfuerzos de los phishers están inclinados hacia los sitios de pago online. El primer puesto se lo lleva PayPal con 52,2% de los ataques phishing dirigidos hacia él, seguido por eBay con un 13,3%. En cuarto lugar, se encuentra la popular red social Facebook con el 5,7%. Sniffing El sniffing puede ser utilizado por los administradores de red para comprobar su seguridad y el tráfico presente en ella. Es también usado por hackers que buscan olfatear (de allí proviene el término en inglés sniff) los paquetes circulantes para el robo de información. Por defecto la placa de red de una computadora, está configurada para aceptar los paquetes que sólo están dirigidas a ella y pasar por alto aquellos que están destinados hacia otro nodo de la red. 8 Conflictos en red: botnets Para poder analizar el tráfico de paquetes, es necesario configurar la placa de manera que recoja todos los paquetes, estén o no dirigidos a ella. Para este fin se activa el modo promiscuo de la tarjeta de red. Los administradores de red pueden saber cuáles tarjetas de red se encuentran en dicho modo usando el programa ifconfig. Los atacantes deben entrar al sistema, instalar el sniffer y reemplazar el programa ifconfig para que no informe el modo promiscuo de las tarjetas de red. Una vez instalado en la PC víctima, el sniffer podrá tomar los paquetes que forman el tráfico de la red y capturar las contraseñas de los usuarios. Algunos sniffers pueden enviar estos datos a una cuenta de correo electrónico o habilitar un puerto para que el hacker se conecte a él y baje los datos captados. Keylogging Para evitar el robo de información mediante sniffing, los canales de comunicación son cifrados bajo SSL (Secure Sockets Layer), S/MIME (Secure/Multipurpose Internet Mail Extensions) o SSH (Secure Shell) por ejemplo. Ante esta situación, se hace uso los keyloggers. Estos programas registran cada tecla pulsada en la PC víctima y se almacena en un archivo conocido como log file. La mayoría de los keyloggers ofrecen la posibilidad de enviar el log file vía e-mail. Es un proceso que corre en segundo plano, es decir, el usuario no tiene conocimiento que todo lo que escribe será leído por un hacker al otro lado del mundo o a la vuelta de la esquina. Un bot-herder que obtiene los log files de todos sus bots, tiene en sus manos el poder para tener acceso a una importante cantidad de cuentas de todo tipo. Sin duda la más importante serán las cuentas bancarias. Fraude de clicks Google AdSense es un servicio que las compañías adquieren para publicitarse en distintos sitios web y pagan a Google por cada click efectuado sobre el anuncio. Los dueños de sitios web pueden incorporar publicidades acordes al contenido de la página insertando un código JavaScript proporcionado por Google AdSense. Los webmasters también reciben un determinado monto de dinero por cada click que se haga sobre un anuncio. Con una botnet a disposición, pueden generarse tantos clicks por día como zombis tenga la red. Pay-Per-Click es otro sistema publicitario que paga al visitante por cada click y del cual los administradores de botnets abusan para tomar ventajas monetarias. Almacenamiento de material ilegal Los zombis pueden explorar sus propios sistemas en busca de software y claves de productos instaladas. Los botmasters pueden distribuir estos programas adquiridos ilegalmente, generar copias y usar sus bots como medio 9 Conflictos en red: botnets de almacenamiento. Aprovechan el anonimato que les confiere guardar archivos en equipos ajenos distribuídos a nivel mundial. No sólo suelen almacenarse software pirata y cracks, sino que los ciberdelincuentes apuestan a más y usan sus redes para alojar, además de pornografía, material pedofílico. ¿Hasta dónde van a trascenderse los límites? Técnicas de infección, sumando zombis a una botnet El poder e impacto de una botnet estará dado por la cantidad de computadoras que tenga en su poder, y ello mejorará su cotización en el mercado donde opera. Es por ello que cada día los creadores de estas redes buscan nuevos medios que les garantice un rápido crecimiento de sus botnets. Para que una PC se convierta en zombi y cumpla las órdenes de su amo, es necesario que la víctima ejecute un programa malicioso al cual lo llamaremos bot. Para lograr el cometido existen diversas técnicas de propagación, que en mayor o menor medida siguen siendo eficaces por diversos motivos, llámese/dígase/tales como: “no veo ninguna imagen cuando abro foto.exe” o “ayudaré a la niña Amy, que tiene siete años desde 1999, haciendo un click aquí”. Las técnicas van desde la ingeniería social hasta métodos que requieren cierta habilidad con líneas de código. Estos códigos maliciosos se valen, no sólo de foto.exe o de Amy, si no de bugs o desactualizaciones del sistema operativo, navegadores o antivirus para infiltrarse cual polizón en barco. También circulan exploits para aplicaciones como QuickTime, Microsoft Windows Messenger, Yahoo! Messenger, productos Adobe, el paquete Microsoft Office, entre otros. Cada uno de los métodos abarca un amplio campo que merece un trabajo de investigación aparte. Por lo tanto, a continuación se explicará en forma breve y concisa los aspectos más relevantes de los métodos habituales. Ingeniería social Se apela a la ingenuidad de la víctima y se manipula su instinto de clickear todo lo que parpadee. Puede tratarse de ventanas tipo pop-up que contengan una invitación a jugar online o a realizar un sencillo test de inteligencia que, extrañamente, sólo el 2% de los que intentaron ha logrado resolverlo. Hay que tener especial atención con estas ventanas emergentes. Suelen tener un botón con leyendas al estilo “No, gracias”, “Tal vez después” o simplemente “Cerrar”. Presionar alguno de ellos podría ser la aceptación al perverso y poco divertido juego del malware, iniciando una ejecución no deseada de un troyano. Es recomendable cerrarlas directamente de la cruz de la barra de título. En otras ocasiones podemos encontrarnos con páginas webs donde se nos ofrece ver un video muy interesante y al presionar play, nos informan que es necesario un códec que nuestro sistema no posee, ofreciéndonos realizar una descarga. Luego de descargar y ejecutar el archivo para iniciar la instalación no habrá cambios en el sistema, seguiremos sin ver el video pero ahora nuestro sistema acaba de convertirse en zombi. Correo electrónico y mensajería instantánea 10 Conflictos en red: botnets La propagación de troyanos y malware mediante e-mail y mensajería instantánea hacen fuerte uso de la ingeniería social para lograr resultados positivos. Cada ingenuo click en donde no se debe es suficiente para haber sometido un equipo. Estudios realizados por la empresa estadounidense Radicati Group, revelaron que en el año 2005 la cantidad de mensajes electrónicos diarios que portaban algún tipo de malware ascendían a 900 millones. Como si fuera poco, la tendencia indicaba un continuo crecimiento de la cifra, estimándose para el año 2009 alrededor de 4200 millones de correos dañinos por día. La propagación de troyanos bot es frecuente en la mensajería instantánea. Se evidencia en mensajes que insisten en que el receptor acepte un archivo adjunto con supuestas fotos de las últimas vacaciones o el nuevo corte de pelo de un amigo. Estos tipos de mensajes son enviados por algún contacto de nuestra propia lista que tiene su PC vulnerada. En el 2007, ESET anunció la detección del troyano de MSN Win32/SdBot y que tuvo gran circulación en Argentina, Uruguay, Chile y España. Una vez que logra infectar el ordenador, lo transforma en un zombi que pasa a formar parte de una botnet y al mismo tiempo, utiliza la conexión de esa PC al MSN para seguir propagándose a todos los contactos que tenga. Es recomendable prestar atención al recibir mensajes de este tipo, y encender el factor sospecha cuando la frase esté en portugués o inglés, se mencionen vacaciones que no existieron o el contacto que lo remitió sufra de calvicie crónica. Redes P2P En una red P2P (peer-to-peer) las computadoras se comunican de igual a igual. No hay diferencia entre clientes y servidores, sino que los nodos asumen ambos papeles simultáneamente. Se utilizan para intercambiar archivos, generalmente programas, películas y música. El peligro son los archivos infectados que circulan por estas redes ya que cada usuario que los posea, está actuando como servidor de programas maliciosos. El troyano GetCodec fue novedad en el 2008 e infectaba los archivos multimedia de extensión .MP2, .MP3, .WMA, .WMV y .ASF de las redes P2P. Actuaba gracias a una funcionalidad de Windows Media Player iniciando una descarga de malware, cuando en realidad el usuario creía que se trataba de un codec necesario para reproducir el archivo. Drive-by-Download Conocida como infección vía web. Los usuarios son infectados al visitar una página web, que previamente fue violada por un hacker. Generalmente insertan una etiqueta iframe en el código HTML, que adopta la siguiente forma: <iframe src=http://www.script.com width=0 height=0></iframe> Con este fragmento ya insertado y al entrar al sitio vulnerado, una segunda página es abierta dentro del mismo documento web y que por tener los atributos width y height en cero, es visible como un punto de 0x0 píxeles que fácilmente puede pasar por alto las sospechas del visitante. 11 Conflictos en red: botnets La URL especificada en el atributo src es donde precisamente se encuentra el script malicioso, que se descarga a la PC del internauta, se ejecuta y realiza una petición a otro servidor llamado Hop Point. En este servidor se encuentran los exploits que, como consecuencia de la petición, son enviados hacia el lugar desde el cual fueron solicitados. Los exploits verifican que sea posible burlar algún punto de la seguridad del sistema del visitante. Si lo es, se ejecutará otro script que levanta la descarga de malware desde el Hop Point u otro servidor de malware. Estructura de una botnet, estructura para delinquir La estructura y el método de comunicación en estas redes son un punto crucial para el éxito. Camuflar el tráfico criminal entre paquetes legítimos de datos es un desafío para los hackers y un dolor de cabeza para las empresas especializadas en seguridad informática. Los ciber-criminales siempre han buscado mejorar ante cada fracaso y eso a llevado al desarrollo de distintas arquitecturas. Arquitectura C&C Centralizado Un aspecto fundamental en este tema es cómo se logra la comunicación entre el amo y sus zombis, pues sin ella, la botnet queda sin efecto. Comando y Control, conocido como C&C, es el mecanismo por el cual el bot-herder se comunica enviando órdenes a la botnet. Ha sufrido una evolución hacia el aprovechamiento de redes y servidores existentes junto con sus protocolos, dado el gran tamaño que fueron adoptando las botnets. El motivo es que los recursos computacionales del equipo del botmaster no podrían soportar simultáneamente las conexiones con cada zombi. Actualmente existen las siguientes tecnologías C&C usadas para la comunicación. IRC C&C Para solucionar el recurso computacional finito del bot-herder, se utiliza un servidor IRC y el servicio de chat que el mismo ofrece. Quien soportará ahora todas las conexiones será el servidor IRC. Allí, el criminal crea un canal bajo contraseña en el cual sólo él y sus bots tienen acceso. Las computadoras comprometidas se conectan a dicho canal mediante el protocolo Internet Relay Chat, donde quedan a la espera de los comandos que escriba el botmaster. Estos comandos pueden ser mensajes del tipo TOPIC, que se envían a todos los zombis conectados al canal, o IRC PRIVMSG, destinado a un zombi en particular. Una vez recibido un mensaje, los bots comienzan su tarea y responden al mismo canal informando el estado del proceso. Una vez que finalizan envían el resultado. Diversas son las ventajas que se vieron en el uso de canales IRC para el manejo de las botnets: Bajo costo: los servidores IRC están disponibles de manera gratuitita y son fácilmente configurables. Escaso uso de recursos: las conexiones son mantenidas en el servidor IRC. 12 Conflictos en red: botnets Simplicidad en el control: todos los bots son manejados desde un solo lugar y se tiene conocimiento permanente del tamaño de la botnet. Inmediata recepción de órdenes: los bots reciben y procesan comandos al instante, lo que permite sincronizar ataques de denegación de servicio más eficaces. Posibilidad de engaño: la comunicación mantenida con el servidor IRC se realiza mediante un protocolo seguro por defecto y puede pasar por alto ante un antivirus o firewall. Sin embargo, estas ventajas se ven opacadas dada la facilidad de capturar el tráfico en los servidores IRC y detectar actividades sospechosas. Esto es posible porque el chat en los canales IRC suele hacerse en texto plano; usando un sniffer, tal como la herramienta Wireshark, es posible analizar el tráfico de la botnet en tiempo real y obtener información detallada de cada tipo de paquete de datos (ICMP, TCP, UDP, etc.). Por ello una PC infectada puede conocer la IP de los servidores de C&C asociados a la botnet a la cual pertenece, averiguar las contraseñas y tomar el control de toda la red. Además, los puertos utilizados por el protocolo IRC son específicos y van del 6665 al 6669; un firewall puede bloquearlos si el administrador del equipo lo dispone y no afectará a ninguna otra aplicación. Una vez detectadas y dado que son centralizadas, las botnets tienen sus segundos contados. 13 Conflictos en red: botnets En junio de este año se descubrió que un popular servidor IRC para sistemas Linux y Windows, denominado UnrealIRCd y disponible para su descarga en la página web oficial, había sido vulnerado en noviembre de 2009. Los hackers tuvieron acceso al código y lo modificaron dejando un bug por el cual era posible que un ciber-delincuente ejecutara código y con el mismo nivel de privilegio con el que corra el programa. La versión alterada fue únicamente aquella para sistemas Unix/Linux. Curioso, ¿no?. HTTP C&C Para mitigar el inconveniente que ocurría en servidores IRC, de que un usuario zombi pudiera despertarse de ese estado moribundo y obtuviera demasiados datos de la botnet en la que se encuentra, los bot-herders se inclinaron hacia otra arquitectura. También conocido como pull-style, los servidores IRC son desplazados por servidores web. De esta manera, los mismos infectados son quienes deben descargar los comandos que fueron anteriormente subidos por el botmaster. Así, los zombis, no pueden conocer la dirección IP de las otras máquinas ni el tamaño de la botnet. El problema que salió a la luz en esta estructura, es que la descarga del script que realiza el bot puede ser deshabilitada por el mismo usuario. Como toda solución, ésta todavía no logra resolver todos los aspectos negativos del IRC C&C. El protocolo HTTP y la falta de anonimato no convence a los delincuentes, sus botnets siguen en peligro de ser secuestradas. Para esconder sus IP de quienes intentan localizar los servidores C&C, los piratas implementan una técnica llamada Fast-flux, que en español podría traducirse como “cambio rápido”. Se trata de usar los mismos zombis como Proxy para la comunicación entre los equipos infectados y los servidores C&C. Esto supone un impedimento para quienes investiguen la proveniencia de los comandos que ordena el bot-herder ya que la IP del Proxy cambia a un TTL (tiempo de vida) muy bajo. La IP por la que cambia es la de otro bot de la red y es seleccionada mediante el algoritmo Round-Robin. Una máquina se comunica primero con este Proxy, quien se encarga de redirigir la petición al servidor C&C. Arquitectura C&C descentralizado La arquitectura descentralizada surge en respuesta a la baja flexibilidad de las arquitecturas centralizadas. Supone diversos puntos de control distribuídos y no se requiere un servidor central. Se usan los distintos nodos de la red para el establecimiento de la conexión y almacenamiento de la información. P2P C&C Tal como se introdujo brevemente en la sección “Sumando zombis a una botnet”, en una red peer-to-peer cada nodo actúa como cliente y servidor distribuídos en distintos puntos. Los comandos que envía el botmaster llegan a destino por cualquiera de los nodos que conforman la red. La principal ventaja de una botnet basada en una arquitectura P2P para su control es la tolerancia a fallos. La robustez ofrecida por estas redes se debe a la ausencia de un servidor centralizado, por lo que una eventual interrupción 14 Conflictos en red: botnets de la comunicación que afecte varios nodos, sólo provoca que el servicio se paralice en una parte de la red. La botnet conocida como Peacomm y que tuvo acciones en el 2007, se basa en esta arquitectura, apoyándose en el protocolo Kademlia. Kademlia es un protocolo de la capa de aplicación diseñado para redes P2P descentralizadas3. Estas redes no hacen uso de servidores que indiquen qué clientes comparte tales archivos. Particularmente, esto es hecho por cada cliente ofreciendo los archivos que éstos comparten. Por este motivo se dice que cada cliente es también un servidor. Para realizar las búsquedas, el protocolo hace uso de una estructura de datos: la tabla hash distribuída. Su función es almacenar un valor y una clave y, dada una clave, determinar cuál es su valor. Podríamos mencionar como ejemplo típico: la clave es una palabra del diccionario, y la definición, su valor. Si “hablamos en bits” el valor es un bloque de datos, que puede ser asociado con un número binario, su clave. Una vez conectado a la red, un nodo se asigna a sí mismo un identificador de 160 bits generado de forma aleatoria. Los comandos de los botmasters yacen bajo claves de búsqueda específicos, también de 160 bits de longitud, que se obtienen mediante una función hash usando la fecha actual. Los bots calculan la clave de la búsqueda actual y solicitan esas claves para conseguir los comandos. Si alguien está investigando la botnet y logra identificar los bots y las claves que el botmaster solicita, es posible que se una a la red con identificador de nodo cercano a esa clave. Cuando una solicitud para esa clave sea recibida, podrá obtener fácilmente las direcciones IP de los bots. Botnets, una forma de economía alternativa Analizando los recursos humanos de la empresa El negocio de las botnets ha sido visto como una excelente oportunidad para obtener grandes cantidades de dinero en forma rápida. Se trata de un rubro ya consolidado en el mercado paralelo, y opera tal como lo hace una empresa de tal condición, hasta podría decirse que cuenta con recursos humanos con una función definida. Profesionales de la informática vieron la rentabilidad ofrecida por este oscuro sector del mercado y fueron seducidos a desarrollar códigos cada vez más sofisticados. El desarrollador de programas maliciosos encargados de infectar las computadoras, escribe el malware en forma troyanos. Arma kits de uso generalmente intuitivos y concreta sus ventas mediante turbias conversaciones en salas de chat. Para los programadores, vender estos kits supone menores riesgos que mantener una botnet. Los interesados en obtener una red de equipos para los ataques o el envío de spam, adquieren estos kits para armar sus botnets mediante una técnica KISS. Un momento: no significa que con un CD de rock and roll eso sea posible. El término KISS deriva de la frase en inglés “Keep It Simple, Stupid”, o “Keep It Short and Simple” como lo llaman para no herir susceptibilidades. Significa “Mantenlo corto y simple” y se refiere a la facilidad ofrecida por los kits para operar las redes criminales: interfaces gráficas parametrizadas, informes 3 Definición aportada por Wikipedia. 15 Conflictos en red: botnets del estado de cada zombi organizado por país y opciones amigables para enviar las órdenes. En la siguiente captura, se puede observar la pantalla de login a un panel de control web. Hay organizaciones criminales que no tienen la suficiente confianza de adquirir un kit de software troyano. Piensan que existe la posibilidad que los paquetes de programas tengan un backdoor y así convertirse también en víctimas de robo de información. Por tal motivo hay asociaciones ilícitas que tienen sus propios desarrolladores de códigos maliciosos. Por último, no podemos dejar de mencionar a los zombis como un eje muy importante en la empresa. Son la mano que ejecutan los crímenes, consciente o inconscientemente. Costos para el armado de una botnet El costo de un kit troyano no detectable por antivirus ronda los u$s 1000. El valor puede ascender hasta poco más de los u$s 3.000 mientras mayor sea su complejidad. Suelen incluir una herramienta para generar el ejecutable encargado de infectar a las víctimas y un panel de “Comando y Control”. El kit del troyano Zeus, que se estima tiene afectados a 75.000 ordenadores en 196 países, se consigue a precios que llegan a los u$s 4.000. Sin embargo, las botnets pueden ser directamente compradas o alquiladas en el mercado negro. El alquiler se consigue a un valor aproximado de u$s 5.000 por 1.000 equipos semanales, según un informe del Laboratorio de Investigación de la compañía ESET. Sacando números Un ataque DDoS puede ser lanzado por alguien que busca divertirse o sentir cierto nivel de poder. También puede ser solicitado por una empresa que quiera ver paralizada su competencia. En este caso el delincuente recibe un pago que depende del objetivo a derribar. No son los mismos recursos 16 Conflictos en red: botnets necesarios para intentar dejar fuera de servicio al blog de un conocido antipático, que detener los servidores de Google. Un ataque DDoS tiene un costo desde u$s 50 para los más sencillos y puede extenderse a unos cuantos millares diarios, utilizando una botnet completa trabajando 24 horas. The Shadowserver Foundation, es un grupo voluntario dedicado a mejorar la seguridad en Internet mediante la toma de conciencia de la presencia de programas maliciosos4. Sus reportes indican que en el 2008, se realizaron cerca de 190.000 acciones DDoS y se repartieron 20 millones de dólares entre los ciber-delincuentes. Los phishers hacen uso de las botnets para aprovechar la implementación Fast-Flux. Gracias a ello, la dirección IP de sus sitios falsos se modifica cada pocos minutos, haciéndolos más difíciles de localizar. Se estima que por mes, los phishers desembolsan entre u$s 1.000 y u$s 2.000 para pagar el servicio al dueño de la botnet. Click Forensics una industria dedicada a auditar y mejorar la calidad del tráfico para la comunidad publicitaria online5,, ha señalado que casi el 17% de los clicks sobre anuncios no fueron legítimos, y del cual las botnets tuvieron responsabilidad en la tercera parte de ellos, por un valor de 33 millones de dólares. El costo de los datos de una cuenta bancaria es directamente proporcional al dinero que hay en ella. La base que se impone es tan baja dado la competencia en el mercado negro y es de u$ 1. Suele llegar hasta u$s 1.500. Los precios de una tarjeta Visa o MasterCard Corporativa ronda los u$s 50, mientras que las Platino se consiguen en el orden de los u$s 100 o u$s 160. Los fraudes por el uso de estos datos son millonarios. Los datos personales también son ofrecidos como mercancía por ser usados por falsificadores de pasaportes y documentos en general. Los criminales que abren cuentas bancarias ilegales para el movimiento ilícito de dinero, acuden también a adquirir información de personas. En este ambiente la identidad sí tiene un precio que depende del origen real de la persona legítima. Los datos provenientes de ciudadanos de Europa son los más cotizados, costando el doble o el triple de los u$5 u u$s 8 que 4 5 Para más información: http://www.shadowserver.org http://www.clickforensics.com/ 17 Conflictos en red: botnets cuestan en Estados Unidos o Canadá. Esto se debe a que los datos provenientes del viejo continente pueden ser utilizados en toda la Unión Europea. Los spammers invierten en bases de datos de direcciones de correo electrónico y perfiles de redes sociales. Se consiguen fácilmente en sitios web de venta. En la siguiente captura de pantalla se muestra un anuncio real encontrado en MercadoLibre al momento de escribir estas líneas. La ubicación del aviso pertenece a Capital Federal, Argentina. Ofrece 26 millones de direcciones electrónicas del país e incluye un software de envío masivo con capacidad de enviar 35.000 mails por día. El precio publicado es de $100 en moneda local, lo que equivale a u$s 25,31. En el mismo resultado de búsqueda surgió un aviso publicando una base de datos de la red social Facebook, dotada por más de 500 millones de perfiles. 18 Conflictos en red: botnets Sólo la base de datos de Argentina se vende a u$s 25,31 y cuenta con 6.822.620 registros. Los spammers cobran entre u$s 150 y u$s 200 de honorarios por mandar un millón de correo basura. La ganancia es más de cuatro veces la inversión. En algunas ocasiones, las listas de correos se venden al mejor estilo verdulería, es decir, según el “peso” en megabytes del archivo. Twitter y las botnets Twitter es la famosa red social de microblogging caracterizada por los tweets del tipo: “What’s happening?” o “¿Qué pasa?”, publicados por sus más de 75 millones de usuarios en todo el mundo. Tweets hay para todos los gustos. Desde noticias, retweets, saludos y hasta reflexiones de usuarios filosóficos. Pero nadie se había imaginado antes que sería posible encontrarse con tweets como “Manejando mi botnet!, “Hablando con mi zombi”. TwitterNET Builder, es una aplicación que fue recientemente detectada por el antivirus ESET NOD32 como MSIL/Agent.NBW. Mediante ella, se puede especificar un usuario desde el cual se darán las órdenes a los equipos infectados. No es necesario ser un experto o tener algún tipo de experiencia. La aplicación es realmente intuitiva y tan sólo con un par de clicks, se dispondrá de la pantalla principal de Twitter como centro de C&C. 19 Conflictos en red: botnets El primer paso es iniciar la herramienta e ingresar el nombre de usuario que será el botmaster. Completado esto, se genera un pequeño ejecutable de 176 KB, que es el troyano que ha de propagarse por cualquier método para sumar zombis a la nueva red. Cuando el troyano fue ejecutado en una PC se inicia un proceso convirtiéndola en un nuevo zombi. Queda automáticamente sometido a las órdenes que serán enviadas en forma de tweets por el botmaster. Entre los comandos disponibles para el botmaster encontramos: .DDOS*IP*PUERTO: inicia ataque DDoS a la dirección IP y puertos especificados. .VISIT*ENLACE: abre la URL en el navegador de la víctima. Recibe un parámetro que puede ser 0 o 1 y el mismo se ingresa añadiendo un asterisco y el valor deseado. .VISIT*ENLACE*0 abre la web en una ventana invisible y .VISIT*ENLACE*1 en una nueva. .DOWNLOAD*ENLACE/ARCHIVO.EXE: descarga archivo.exe de la URL indicada. Se trata de más malware aún. También acepta parámetros, siendo 0 para que no ejecute al finalizar la trasferencia y 1 para que sí sea ejecutado. .SAY*HABLAR: hace una llamada a Microsoft Text-To-Speech, que reproducirá en altavoces el texto pasado por parámetro. .STOP: detiene la ejecución de los comandos .DDoS y .VISIT. 20 Conflictos en red: botnets .REMOVEALL: los bots son desconectados de Twitter hasta que los zombis se inicien nuevamente. Se descongestiona el tráfico, haciéndose menos sospechoso de actividades irregulares. Los desarrolladores vieron las ventajas aportadas por Twitter a la comunidad y las tomaron en beneficio propio: su fácil uso y la posibilidad de “twittear” desde cualquier dispositivo que posea conexión a Internet, por ejemplo un teléfono móvil. Sin embargo, los administradores de Twitter, pueden fácilmente desarticular estas redes dando de baja el perfil del botmaster. Detección y prevención ¿Somos parte de una botnet? Detectar es la capacidad de percibir situaciones particulares que se presentan alrededor. Es una habilidad que se desarrolla y requiere capacidad de análisis. En el contexto de nuestro interés, detectar si nuestro ordenador es zombi, necesita de la observación de ciertos factores en su desempeño. Estar informados acerca de las últimas amenazas en relación a seguridad informática y sus fundamentos, nos permitirá ser más críticos al momento de analizar nuestra computadora. Es importante prestar atención en los equipos que usamos a diario y ser capaces de detectar anomalías en su funcionamiento. Son diversos los síntomas que nos llevan a diagnosticar que una computadora fue tomada para convertirse en zombi. Prestar atención si la PC demora más de lo habitual al ejecutar los programas o al apagarse y observar si el cooler de la CPU se exige a pesar de no estar realizando procesamientos. Esto puede indicar que están corriendo ciertos procesos de los cuales el usuario no tiene conocimiento. Suelen aparecer nombres de procesos desconocidos en el Administrador de Tareas del sistema. Un zombi experimentará que la velocidad de su conexión a Internet decrece por momentos, pudiendo llegar a cortarse y volver al instante. Una prueba interesante es cerrar toda aplicación que utilice el servicio de Internet y luego abrir el Administrador de Tareas. Allí, habrá que abrir la pestaña Funciones de Red y asegurarnos que no se esté registrando actividad en la red. Otro de los síntomas es los contactos de la mensajería instantánea reciben correos extraños transfiriendo archivos o compartiendo un enlace web. También se vuelve imposible realizar las actualizaciones de seguridad correspondientes al sistema operativo y al software antivirus porque las descargas fallan constantemente. Suelen mostrarse ventanas emergentes ofreciendo instalar aplicaciones o actualizaciones aún sin estar usando el navegador. Existe un software gratuito disponible para plataformas Windows, Linux, FreeBSD y Mac OS X llamado BotHunter. Se utiliza para supervisar una red y puede descargarse desde su sitio web. 21 Conflictos en red: botnets Limpiando el ordenador ¿Qué sucede si el diagnóstico anterior resulta positivo y se descubre que un equipo es parte de una botnet? Antes que nada, lo primero es realizar un análisis completo del sistema con un buen antivirus actualizado. Luego volver a realizar los pasos de detección para verificar si logró neutralizarse la amenaza. Dada la velocidad de aparición de nuevo malware, una amenaza puede no ser removida del sistema a pesar de estar en él. Si el intento por mitigar el programa malicioso con el antivirus falla, habrá que usar métodos más manuales. Como primer paso se deberían identificar las aplicaciones que tienen acceso a Internet y cuyo origen es desconocido. Tales aplicaciones si hacen un uso llamativamente frecuente de la conexión, es probable que se trate del malware que nos aqueja. Ya identificado lo que probablemente sería el malware, investigar si se trata de algo inherente al funcionamiento del sistema operativo. Si no lo es, averiguar su origen en listas negras de antivirus y cuales son los archivos sus archivos asociados. Eliminar lo que corresponda con mucho cuidado, una distracción podría causar la pérdida de archivos para el funcionamiento ordinario del sistema. Para evitar sorpresas de último momento, siempre se recomienda hacer backups del disco duro cada un determinado período de tiempo. Así, cuando un equipo sea afectado por malware, simplemente se formateará, asegurando la limpieza completa. Prevención Vamos a guiarnos por el principio: “más vale prevenir que curar”. Un usuario responsable debe seguir ciertos hábitos y aplicar los consejos de seguridad antes de convertirse en una víctima más. Seguir al pie de la letra ciertos tips, ahorrará tiempo y varios dolores de cabeza al propietario de la computadora. No sólo eso, sino que la tarea de infección se convertirá en un importante obstáculo para los hackers. Un consejo básico y útil: tener instalado un antivirus actualizado con un paquete para la protección online. En estos tiempos, la mayoría de las amenazas circulan en la web y se infiltran en el primer lugar que les de autorización para ello. Los firewalls son indispensables para bloquear las comunicaciones con entes peligrosos o desconocidos, como puede ser un servidor C&C. Para sistemas operativos Windows, una buena opción es Microsoft Security Essentials6. Se descarga de manera gratuita y brinda protección en tiempo real. Para las grandes compañías, es recomendable la contratación de un servicio de filtros web tal como lo ofrece Websense y Cyveillance, que bloquean el acceso a ciertos tipos de sitios web. Habrá que mantener actualizado el sistema operativo. Estas actualizaciones contienen parches que dan soporte a las vulnerabilidades más recientes. Sería óptimo habilitar la opción para que la descarga se realice de manera automática. Si se deshabilita la ejecución de scripts en el browser, la navegación se convierte en una actividad más segura. Si bien se perderá la funcionalidad en 6 Para descargar: http://www.microsoft.com/security_essentials/default.aspx?mkt=es-es 22 Conflictos en red: botnets los sitios que lo requieran, se podrá habilitar cuando estemos seguros que se trata de una web confiable. Considerar migrar hacia un sistema operativo diferente. Hay que tener en cuenta que los sistemas operativos más populares (o el más popular) se vuelven un blanco recurrente para el malware. La proporción de usuarios de una determinada plataforma es muy similar a la proporción de malware existente para la misma. Una solución que se propone es la de no usar Windows, al menos para realizar transacciones que requieren confidencialidad, y reemplazarlo por alguna distribución de Linux, por ejemplo. Lo mismo sucede con los navegadores, mientras que Internet Explorer y Firefox se han convertido en los más populares, su nivel de seguridad ha ido decreciendo. Sustituir éstos por otros browsers como Opera. No ser cómplices de actividades cibercriminales. Esto es, no contribuir a la expansión de su práctica, por ejemplo, si los internautas no compraran productos de spam, éste no tendría razón de ser. Por último y sin ser menos importante. El sentido común del usuario frente a la pantalla ayudará en gran medida a evitar infecciones fáciles de evadir. Acciones sencillas como borrar de la bandeja de entrada los correos de personas desconocidas con archivos adjuntos, cancelar la transferencia de un contacto que evidencie la acción de un bot o no aceptar la instalación de supuestos códecs, ayudan al compromiso de seguridad que debemos mantener entre todos. Caso real: la botnet Mariposa Si de botnets hablamos, no podemos dejar de mencionar a esta red, considerada una de las más grandes que se haya detectado hasta el momento. En España, un grupo formado por tres delincuentes que se hacían llamar DDP Team (Días de Pesadilla), dieron origen a Mariposa en diciembre de 2008. Su trascendencia fue avasallante. Casi 13 millones de equipos infectados en 190 países. De los afectados, además de usuarios domésticos, se registraron cuarenta entidades financieras internacionales y más de la mitad de las empresas más importantes a nivel mundial, publicada sobre una lista de mil compañías por la revista Fortune. Los criminales lucraban robando números de tarjetas de crédito, enviando spam, desplegando publicidades del tipo pop-up y otras actividades entre las que se encontraba la de alquilar partes de la botnet a otros delincuentes. Esto produjo que los paneles de control se distribuyeran por distintos países. La empresa de seguridad canadiense Defense Intelligence, la descubrió en mayo de 2009 y tras ello crea el Mariposa Working Group (MWG), junto a Georgia Tech Information Security Center y Panda Security. No fue un reto cotidiano derribar esta gran botnet. El proceso era aún más difícil porque los criminales utilizaban redes privadas virtuales anónimas para conectarse a los servidores C&C. En esas condiciones, los especialistas en seguridad no podían dar con la dirección IP real desde la cual enviaban sus comandos para saber quién estaba a cargo de la botnet. 23 Conflictos en red: botnets El MWG, comenzó entonces a obtener información de los paneles de control y lograron tener acceso a ellos. Analizaron las tareas que la red estaba realizando y estudiaron cómo podrían tomar el control de los mismos. En una operación coordinada en conjunto, que luego se conocería como Operación Mariposa, el día 23 de diciembre de 2009 el MWG bloqueó el acceso de los criminales a los paneles de control. Uno de los líderes intentó una y otra vez retomar el control de los paneles, pero aún así, los profesionales no estaban habilitados para conocer la IP real que trataba de establecer la conexión porque lo hacía a través de una VPN. Finalmente, el criminal cometió el descuido de conectarse al panel sin hacerlo previamente a la VPN, error que derivó en la identificación de su IP. El líder criminal fue capaz de retomar el control de los paneles y lanzó un ataque de denegación de servicios. Por el lapso de dos días, usó todos los bots disponibles contra Defense Intelligence. El contraataque que generó fue tan grande que tuvo fuerte impacto en un proveedor de servicios de Internet, dejando sin conexión por varias horas a un gran número de clientes, entre los que se encontraban instituciones gubernamentales y universidades de Canadá. Posteriormente el MWG consiguió acceder nuevamente a los paneles y modificaron el DNS para que los zombis no pudieran establecer la conexión para recibir los comandos. El día 3 de febrero de 2010, la Guardia Civil Española irrumpió en la casa del líder de DDP Team, alias Netkairo. Se secuestró todo material informático encontrado y gracias a ello se logró identificar a las otras dos personas involucradas. Tres semanas después, jonyloleante y ostiator fueron arrestados. En el material secuestrado se guardaba información robada que incluía datos financieros de los zombis, como cuentas bancarias y números de tarjetas de crédito, pertenecientes a más de 800 mil usuarios. Impactos causados La propagación de malware para el reclutamiento de zombis ha ido en aumento desde el origen de las botnets. Existe una gran cantidad de equipos que abren una puerta trasera, dando la bienvenida a desconocidos para el uso de sus recursos de manera indiscriminada. El efecto de permitir el acceso de piratas a los ordenadores se ha mencionado aquí en varias oportunidades. DDoS, spam, robo de información confidencial, son algunas de las ofensivas practicadas y que conllevan a la pérdida de importantes sumas de dinero, tanto para usuarios comunes como para grandes compañías. Sin embargo, se ha pasado por alto, hasta este momento, la otra cara de la moneda. En los tiempos actuales, los ataques a las vulnerabilidades de las empresas pueden guiar a consecuencias demoledoras según el rubro al que pertenezcan: financieras, telecomunicaciones, ventas online o entidades gubernamentales, por mencionar algunos. Sin lugar a dudas, el acceso no autorizado a entidades financieras es el que mayor impacto causa. La gente comienza a preguntarse si su dinero en las cuentas y sus datos están seguros. 24 Conflictos en red: botnets Algo similar sucede con las compañías de venta y pago online. El daño causado a la imagen de las empresas puede llegar a tener un costo mucho mayor que las pérdidas económicas. La reputación lograda hasta ese momento es sensible a perderse en cuestión de minutos, y la confianza de la sociedad es difícil de recuperar. Se estima que tres de cada cuatro clientes no usaría un servicio online que haya sido víctima de algún cyberataque y alrededor del 84% de los usuarios prefiere realizar transacciones en sitios reconocidos por su seguridad. Asimismo, la violación a los sistemas de seguridad de información de cualquier Estado, deja al descubierto una crítica protección de sus comunicaciones, haciendo vulnerable la seguridad nacional y pública y la privacidad de sus ciudadanos. Cibercrimen La falta de una regulación internacional clara que establezca condenas para los que abusan del poder frente a un ordenador, favorece el clima de vandalismo cibernético, trátese de pequeños ataques o graves robos de identidad o información gubernamental. El primer paso lo dio la Comunidad Europea con el Convenio Europeo sobre Ciberdelincuencia en noviembre de 2001 y que fue aprobado por la Comisión de Ministros del Consejo de Europa. Al mes de marzo de 2009, 46 países habían firmado su conformidad pero sólo 29 de ellos lo ratificaron. Con el convenio se busca implementar un marco jurídico común para prevenir violaciones derivadas del uso de la tecnología. Se han logrado tipificar delitos como accesos no autorizados a sistemas, captación de datos confidenciales, falsificación y piratería que dañen los derechos de autor, entre otras infracciones relacionadas. Existen ausencias notorias entre las firmas del acuerdo, como ser las de Rusia y China, ambos países considerados como la mayor fuente de origen de este tipo de delito. En Argentina la modificación de la Ley 26.388 del Código Penal, sancionada el 4 de junio de 2008 y promulgada el 24 de junio del mismo año, estableció un apoyo legal para condenar a quienes abusen del uso de las computadoras y las comunicaciones realizadas con ella. De esta manera, la Justicia Argentina ya puede intervenir y sentenciar a quienes considere culpable por delitos como: Intercepción y desvío ilegítimo de correo electrónico Almacenamiento y distribución de pedofilia Acceso sin autorización a datos o sistemas restringidos Divulgación de documentos o datos secretos Alteración del normal funcionamiento de un sistema informático Interrupción o entorpecimiento de la comunicación Es necesario que exista una comunión para la erradicación de crímenes informáticos y que de esta manera, los esfuerzos de una parte del mundo no se vean opacadas por las libertades ofrecidas por otros. Un buen ejemplo de esta práctica es la Operación Mariposa en España, que gracias a la reunión de entidades internacionales trabajando con el mismo 25 Conflictos en red: botnets interés, lograron dar de baja a la mayor amenaza en línea que se había registrado hasta el momento: la botnet Mariposa. Conclusión En un principio, los bots fueron pensados lejos de formar agrupaciones de computadoras capaces de lanzar distintos tipos de ataques, afectando todo el espectro de usuarios. La seguridad en Internet se vio golpeada por una corriente de delito amenazante: el cibercrimen. Es una actividad ilícita y que compromete recursos tecnológicos como sistemas informáticos, documentos y/o datos almacenados en él. Golpea directamente a factores como la integridad, confidencialidad y disponibilidad de tales recursos. La realidad es que las botnets existen y las amenazas están expectantes para infiltrarse en cuanto equipo se lo permita. Pero la realidad también es, que nosotros como usuarios de Internet, tenemos algunos cargos en contra en este delito. Es importante estar atentos y mantenerse actualizado en materia de seguridad. La mejor vía de extinguir el fenómeno botnets es la educación y el entrenamiento de buenas costumbres en el mundo online. El conocimiento siempre es la mejor herramienta. Y como dijo Sócrates alguna vez: “Sólo hay un bien: el conocimiento. Sólo hay un mal: la ignorancia.” 26 Conflictos en red: botnets Weblografía La raíz de la epidemia botnet http://threatpost.com/es_la/blogs/la-raiz-de-la-epidemia-botnet-120909 Michael Calce AKA – Mafiaboy http://www.flickr.com/photos/thehour/2946985715/ Botnet Tracking http://www.orkspace.net/secdocs/Conferences/BlackHat/Federal/2007/Botnet% 20Tracking%20-%20Tools,%20Techniques,%20and%20Lessons%20Learnedpaper.pdf DDoS - Wikipedia http://es.wikipedia.org/wiki/Ddos El spam en el primer trimestre del 2010 http://www.viruslist.com/sp/analysis?pubid=207271072 Sniffing http://perux.iespana.es/snif.html Drive-By-Download http://www.eset-la.com/centro-amenazas/1792-drive-by-download-infeccionweb Control centralizado y propagación de malware http://www.eset-la.com/centro-amenazas/2181-control-centralizadopropagacion-malware Nuevas estadísticas sobre el correo electrónico, la mensajería y los problemas de seguridad derivados http://www.noticias.com/nuevas-estadisticas-sobre-el-correo-electronico-lamensajeria-y-los-problemas-de-seguridad.32490 El inicio de las botnets para dispositivos móviles http://www.esetla.com/press/concurso/universitario/sexy_view_inicio_botnets_dispositivos_mov iles.pdf Popular servidor de IRC troyanizado desde hace unos 8 meses http://www.hispasec.com/unaaldia/4250 27 Conflictos en red: botnets Botnet a través de Twitter http://blogs.eset-la.com/laboratorio/2010/05/14/botnet-a-traves-twitter/ Como reconocer si su ordenador se encuentra en una botnet http://www.xombra.com/go_news.php?nota=4736 28
© Copyright 2024