BOTNET: REDES ZOMBIE

BOTNET: REDES ZOMBIE
Miles de ordenadores secuestrados mediante un virus se convierten en máquinas para enviar spam o realizar ataques sin que el usuario se aperciba.

Quizá su ordenador haya sido secuestrado y no se haya enterado. Con sólo conectarse a Internet, el ordenador mal protegido queda expuesto a variadas amenazas, entre ellas ataques que tratan de tomar los mandos de la máquina de forma remota y utilizarla para cometer distintas fechorías. Dado que el éxito del ataque reside en que tanto el atacante como el virus del que se vale pasen desapercibidos, se trata de una amenaza silenciosa pero real y creciente, que ya ocupa parte del trabajo de los fabricantes antivirus.

Es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet (llamado pastor) puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC: Las nuevas versiones de estas botnets se están enfocando hacia entornos de control mediante HTTP, con lo que el control de estas máquinas será mucho más simple. Sus fines normalmente son poco éticos.

El desarrollo de las nuevas tecnologías de la información y las comunicaciones, entre tantas cosas que ha cambiado, también ha modificado la manera de expresarse de las personas e incluso el significado de determinadas palabras.

Aunque la Real Academia de la Lengua Española (RAE) en su edición 22, colocada en la web, todavía no las ha aceptado oficialmente como acepciones, ya muchos consideran que cuando las personas se refieren a términos como «buscar», de alguna forma están hablando del mundo virtual y específicamente de las búsquedas que se hacen en Internet a través de un «buscador», acepción para esta palabra que dicho sea de paso la RAE tampoco ha agregado.

Así sucede también con el término «descargar», referido a «bajar» de un sitio web determinado programa computacional, aplicación, utilidad, música, juego o cualquier otra creación que se contabilice en bytes, aunque los académicos de la lengua se hayan demorado en agregarles esos significados.

Si bien es lógico que la Academia vaya más lentamente que la realidad, aunque ya es hora que se actualice un poco más con respecto a la informática, cabría preguntarse si cuando se debata sobre ampliar el significado de la palabra «descargar» no cabría poner en blanco y negro alguna especie de alerta del tipo: «Manera de obtener un programa o aplicación informática de Internet que, si bien puede ser muy útil, puede esconder peligros para el usuario que la ejecute».

Lo que sí deja pocas dudas es que las «descargas», desde programas hasta juegos, música o películas, se han vuelto un fenómeno común del cual se ven sus lados positivos, pero de cuyas consecuencias pocos se preocupan.

QUIEN HIZO LA LEY HIZO LA TRAMPA.

Uno de los métodos predilectos de introducir programas malignos en las computadoras son los muy difundidos cracks o archivos que permiten descifrar los números de activación de programas, saltándose así las compra de las licencias legales de los mismos.

Por mucho que los creadores de software intentan neutralizar estos mecanismos espurios, los cracks siempre serán una jugosa tentación ante la posibilidad de ahorrarse el pago de las licencias.

Pero si como dice el refrán, quien hizo la ley también inventó la trampa, había que parafrasearlo un poco en este caso y decir que los piratas informáticos también han inventado la trampa de la trampa.

No por gusto pululan en Internet los sitios de descarga supuestamente «libre» y «gratuita» de multitud de programas, incluyendo por supuesto sus cracks, a los cuales acuden millones de personas en todo el mundo por disímiles causas, que no siempre son solo económicas.

QUÉ ES UN ORDENADOR ‘ZOMBI’

Los ordenadores ‘zombi’ son los PC manejados a distancia por alguien que ha tomado el control a través de un troyano, también conocido como bot (nombre que recibe el software utilizado para secuestrar PCs). El usuario no es consciente de que su ordenador es un esclavo al servicio de un hacker malicioso, que ha conseguido introducir un virus programado para trabajar para él. Ese virus (troyano) se puede activar como cualquier otro: al abrir un documento adjunto al correo electrónico o al descargar y ejecutar alguna aplicación de Internet, por ejemplo. Al activarse, no hará ninguna tarea especial para así permanecer oculto, pero abrirá una puerta que permitirá al asaltante utilizar el ordenador y su conexión a la Red.

CÓMO SE FORMA UNA BOTNET

Existen redes de decenas o cientos de ordenadores ‘zombi’ a la orden de un hacker, que los emplea para enviar spam, realizar ataques e incluso las alquila a terceros. El año pasado se detectaron más bots que cualquier otro tipo de virus; se calcula que hay entre 500.000 y dos millones de PCs ‘zombi’ y España pasa por ser el segundo país de Europa con más ordenadores ‘esclavos’.

En los sistemas Windows la forma más habitual de expansión de los “robots” suele ser en el uso de cracks y archivos distribuidos de forma que infringe la licencia copyright. Este tipo software suele contener malware el cual, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows, etc.

En otros entornos como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos, que los administradores pueden haber dejado sin enmendar.

PARA QUÉ UTILIZAN EL ORDENADOR

Una vez que ha tomado el control del PC, el asaltante puede llevar a cabo distintas acciones, que sólo dependen de su grado de ‘maldad’. Lo normal es emplear el ordenador esclavo para enviar masivamente correo electrónico no deseado (spam), realizar ataques a terceros, diseminar virus informáticos o utilizarlo para capturar datos (contraseñas y claves de acceso) mediante el phishing. El PC secuestrado representa ancho de banda que puede ser utilizado para causar estragos de forma anónima.

Entre el 40% y el 80%, según distintos estudios, de todo el ‘correo basura’ se envía a través de PCs domésticos infectados sin que el usuario sea consciente de ello. Los ordenadores secuestrados forman redes capaces de llevar a cabo ataques de ‘Denegación de Servicio’: bombardeos masivos de peticiones a un servidor hasta conseguir saturarlo e inutilizar los sitios web que alberga. Gusanos famosos como Sobig, MyDoom o Bagle contienen código malicioso (malware) que permite controlar el ordenador a distancia.

El propietario del ordenador ‘zombi’ aparece como el autor del spam (pues utiliza su nombre y dirección de correo) y de los ataques. Así, las consecuencias negativas, además de los perjuicios al sistema, pueden ser tanto molestas (las respuestas desairadas de los receptores de spam) como legales, al aparecer el nombre del usuario detrás de actividades ilícitas.

USO HABITUAL DE LAS BOTNETS

Lo más frecuente es que una botnet se utilice para enviar spam a direcciones de correo electrónico, para la descarga de ficheros (normalmente de contenido ilegal) que ocupan gran espacio y consumen gran ancho de banda, para realizar ataques de tipo DDoS (Distributed Denial Of Service)…

Normalmente los creadores de estas Botnets venden sus servicios a los Spammers.

CÓMO SE SABE SI EL ORDENADOR ESTÁ SECUESTRADO

Detectar la presencia de un programa intruso que ha esclavizado el PC es más complicado que localizar otras infecciones de virus o gusanos. El bot tratará de trabajar sin que el usuario lo note y es probable que el PC no presente ningún comportamiento extraño o éste sea muy leve. De todas formas, hay algunos síntomas a veces asociados con la presencia de un bot:

  • La conexión a Internet es más lenta de lo habitual.
  • El disco duro trabaja (hace ruido) aunque no le solicitamos tareas (abrir archivos, ejecutar programas, etc.).
  • Mal funcionamiento del teclado o el ratón.
  • Respuestas a correos electrónicos que el usuario no ha enviado.

En un ordenador ‘zombi’, además de los puertos de comunicaciones utilizados por las aplicaciones habituales, hay puertos abiertos al servicio del atacante. Para conocer qué puertos están abiertos y qué están haciendo, se puede ejecutar el comando ‘netstat’ en MS-DOS (en Windows XP a través de Inicio > Ejecutar).

QUÉ HACER SI ESTÁS BAJO EL ATAQUE DE UNA BOTNET

Hay pocas opciones ya que si se recibe un ataque de tipo DDoS desde una Botnet dada la dispersión geográfica de los ordenadores que la componen, es casi imposible encontrar un patrón de las máquinas que te están atacando y dado el alto número de ellas que lo estarán haciendo al mismo tiempo, no se puede contemplar el filtrado de paquetes como una solución real que funcione. No obstante, puede ayudar a mitigar el problema hacer un escaneo pasivo de los paquetes para reconfigurar y adaptar el firewall.

Las Botnets normalmente usan servicios gratuitos de DNS para IP’s dinámicas como DynDns.org, No-IP.com, & Afraid.org para apuntar a un subdominio al cual el creador puede conectarse en caso que le cierren el servidor de IRC. En muchas ocasiones basta con avisar a estos proveedores para que cancelen su cuenta y de esta manera desarticular la Botnet completa.

Afortunadamente la estructura de servidores de la botnet tiene vulnerabilidades inherentes a su arquitectura. Por ejemplo si se encuentra el servidor de IRC y el canal, se tiene acceso a la botnet completa, con lo cual al servidor de IRC le basta con cerrar el canal o poner una g-line o k-line a las ips que intenten entrar a dicho canal.

No obstante existen construcciones más refinadas de estas botnets que tienen una lista de servidores alternativos en caso que pase esto. Otras veces, en cambio, los bots están configurados con un dominio, el cual puede cambiar fácilmente de destinación (IP) para guiar al botnet al server preferido en ese momento, sin depender de configuraciones anteriores.

Adicionalmente algunos spammers tienen su propio servidor de IRC donde ellos son los dueños y posiblemente, haga falta ser operador de la red para ver los canales, hacer whois, o ver alguna información útil. Cabe decir que en muchos casos estos servidores suelen funcionar en el equipo de una de las víctimas pero teniendo el control total el atacante.

Un malware del tipo bot es aquel que está diseñado para crear una red denominada zombie. Constituyen una de las principales amenazas en la actualidad. Este tipo, apareció de forma masiva a partir del año 2004, aumentando año a año sus tasas de aparición.

Una botnet es una red de equipos infectados por códigos maliciosos, que son controlados por un atacante, disponiendo de sus recursos para que trabajen de forma conjunta y distribuida. Cuando una computadora ha sido afectado por un malware de este tipo, se dice que es un equipo es un robot o zombi.

Cuando un sistema se infecta con un malware de este tipo, en primer término se realiza una comunicación al Centro de Comando y Control (C&C) de la red botnet, el lugar dónde el administrador de la red puede controlar los equipos zombis. Con este paso consumado, el atacante ya posee administración del sistema infectado desde su C&C (uno o más servidores dedicados a tal fin). Desde allí, el atacante podrá enviar órdenes a los equipos zombis haciendo uso de los recursos de estos.

Al controlar los sistemas remotamente (total o parcialmente), los dueños de las redes botnets puede disponer de estas para llevar a cabo diversas tareas maliciosas, aprovechando los recursos de todos los equipos que forman parte de la red para cometer cualquier tipo de acción dañina.

Algunas de las tareas que se realizan con frecuencia desde redes botnets son:

  • Envío de spam
  • Realización de ataques de denegación de servicio distribuido (DDoS)
  • Alojamiento de archivos para sitios web: material pornográfico, pedófilo, warez, cracks, sitios de phishing, etc.
  • Distribución e instalación de nuevo malware
  • Abuso de publicidad online

La comunicación entre los equipos zombis y el C&C se realiza a través de comandos. Estos pueden ser enviados por diferentes metodologías y protocolos: canales de chat IRC (metodología clásica), comunicaciones HTTP, redes peer-to-peer (P2P) o comandos en redes sociales (metodologías modernas), entre otras.

Las acciones que realiza un equipo zombi, tanto en su comunicación con el administrador de la red, como en sus actividades maliciosas; son realizadas en su totalidad de forma transparente al usuario. Por este motivo, uno de los síntomas más importantes de un sistema infectado por un malware de este tipo, es el consumo excesivo de recursos, el cual ralentiza el funcionamiento del sistema y de las conexiones, incluso, impedirá su utilización.

En la actualidad, las redes botnet son uno de los recursos más utilizados por los atacantes para perpetrar acciones maliciosas, otorgando a estos la posibilidad de realizar ataques a gran escala desde todos los sistemas infectados. Además, las redes botnet ofrecen a los atacantes anonimato, siendo los equipos zombis los que en última instancia están realizando el ataque o acción dañina.

¿CÓMO EVITAR EL ATAQUE?

A priori, hay que aplicar las mismas medidas de seguridad que las empleadas para protegerse contra cualquier tipo de virus. Tanto para evitar ataques como para liberar el PC infectado hace falta tener instalado un sistema que proteja contra los virus, el spyware y cualquier otro código malicioso, incluidos los bots. Además, es esencial contar con un firewall o ‘cortafuegos’, encargado de vigilar la conexión a Internet; el firewall puede bloquear todos los puertos de comunicaciones que no utilicemos, de tal manera que cualquier intento de acceso no autorizado a nuestro ordenador será detectado. También es importante actualizar el sistema operativo y el navegador con los últimos ‘parches’ de seguridad.

Evitar en la medida de nuestras posibilidades los sitios de cracks/warez y demás; tratar de no descargar programas de cualquier lugar, sino preferiblemente del sitio web del autor y mantener los antivirus actualizados, así como los parches de seguridad, especialmente de los sistemas operativos, son algunas de las alternativas para al menos minimizar los daños que pueden hacernos las descargas espurias.

Hay otras que bien podrían adoptarse y que apenas se fomentan a nivel nacional, como es organizar «repositorios» de software o espacios virtuales donde se almacenen aplicaciones computacionales seguras a los cuales pueda accederse con confianza y facilidad.

Quedará siempre, es verdad, la limitante de la estrecha capacidad de conexión en muchos lugares, algo que han tratado de salvar los Joven Club de Computación y Electrónica, en cuyas instalaciones diseminadas por todo el país se pueden obtener variados software, especialmente aquellos programas «libres» de licencia.
Migrar a ese tipo de aplicaciones libres, especialmente las basadas en GNU/Linux, es también una alternativa muy recomendable, especialmente para un país asediado informáticamente como Cuba, aunque ese traslado de plataforma no avanza todo lo rápido que se quisiera.

Y no podría faltar tampoco el hecho de comercializar para el usuario individual a gran escala software útil, desde sistemas operativos hasta programas, algo que además de generar ingresos para el país, contribuiría a mejorar su seguridad informática y a socializar aún más las bondades de la informática.
Si ya se venden computadoras y accesorios computacionales de todo tipo en nuestras tiendas, se hace imprescindible también la comercialización de software a precios asequibles.

La comercialización de muchos productos informáticos de magnífica factura producidos en Cuba, entre los cuales hay algunos como software educativo, mucho más instructivo que los juegos electrónicos que se nos ofrecen «gratis» en Internet, se hace necesaria e inmediata, en aras de promover el talento nacional vinculado a esta actividad y evitar que algunos juegos mientras nos enseñan a disparar o matar, a su vez nos roban datos, informaciones o convierten nuestras máquinas, y de paso a nosotros mismos, en zombis.

DECÁLOGO DEL ZOMBI.

Un estudio realizado por diversas consultoras informáticas en el año 2009 reveló que aproximadamente el 64 por ciento de los juegos electrónicos que se descargan de Internet están infectados con malware o software dañinos.

La mayoría son spyware o programas-espía que obtienen informaciones del usuario como contraseñas de correo electrónico, números de tarjetas de crédito y acceso a datos bancarios, entre otros.

La explicación es sencilla: el creciente número de aficionados a los videojuegos on line resulta muy tentador para los criminales, ya que ellos por lo general disponen de potentes computadoras siempre conectadas a la red, cuentas de juegos on line, además de ser asiduos «descargadores» de aplicaciones, entre estas trucos para obtener ventajas en los juegos, en los cuales es muy fácil enmascarar programas malignos.

Algo similar sucede en las redes de alta velocidad de intercambio de archivos entre usuarios, donde pululan los ciberdelicuentes en busca de incautos.

Muchas veces el objetivo no es la persona en sí misma, sino su computadora y su tiempo de conexión a Internet, los cuales son utilizados una vez penetrada la máquina como especie de zombis, muy útiles para efectuar ataques masivos a otros objetivos.

También es muy significativa la propagación de troyanos que descargan un ejecutable disfrazado de códec durante la reproducción de un fichero multimedia y abren el acceso a una red donde los usuarios, sin ser conscientes de ello, descargan ficheros infectados y los transmiten a otros.

Y no faltan los virus informáticos destinados a destruir información e inutilizar programas, fundamentalmente los antivirus, una técnica muy moderna de la cual forman parte los rootkits, que permiten ocultar a los antivirus y al usuario que el sistema está infectado, y propicia que el intruso pueda tener acceso a la computadora ajena durante largo tiempo.

Esa forma de actuar es especialmente adorada por los creadores de botnets o redes de miles de computadoras infestadas, que son utilizadas sin que sus dueños lo sepan para enviar correo basura, realizar ataques contra otros sitios, e incluso son vendidas o alquiladas por determinado tiempo a otros piratas informáticos, quienes las utilizan para sus propios fines.

La esencia de lo anterior está, como ya lo afirmamos en un trabajo anterior, en el carácter eminentemente criminal que ha adquirido la piratería informática, la cual se ha convertido en un negocio sucio multimillonario, donde operan verdaderas mafias.

Baste citar, a manera de ejemplo, que una de estas redes botnets, denominada «Srizbi», al ser descubierta por las autoridades, tenía un tamaño de aproximadamente 315 000 máquinas infectadas en todo el planeta.

______________________
Tienes a tu disposición más contenidos y documentos descargables de libre uso y distribución en nuestra web http://www.gitsinformatica.com
Imagen

Anuncios

Acerca de Ciberseguridad GITS Informática

Asesoría para Padres y Adolescentes, Educadores, Empresarios y Trabajadores, Administraciones Públicas y Privadas, Asesoría, Seminarios, Docencia y Divulgación en materia de Ciberseguridad, Delitos Informáticos y Privacidad del Internauta.
Esta entrada fue publicada en Uncategorized y etiquetada . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s