Cada vez más (y mas!), las empresas, sin importar su tamaño, y los pc's domésticos; sufren intrusiones en sus redes por parte de pequeños programas que hacen que las máquinas actúen a su voluntad.
A esos programas, se les llama "bots". Y básicamente lo que hacen es infectar las máquinas a través de la red para lograr algun objectivo concreto; ya bien sea el envío de spam, publicidad fraudulenta, o recopilación de datos personales.
¿Qué significa todo esto?
"Bot", nace del diminutivo "robot"
Se trata de pequeños programas que una vez dentro del ordenador, toman el control remoto del equipo del usuario sin su consentimiento ni conocimiento.
La infección es variada. Se produce a través de la navegación web, programas descargados a través de P2P (eMule, eDonkey, Ares, Torrent...), un correo electrónico infectado...
Estos programas, los bots, lo que hacen es seguir unas instrucciones que le ha pautado su creador. Una vez dentro de la red y de los equipos, se quedan latentes hasta recibir ordenes y ponerse en funcionamiento.
Al conjunto de redes y equipos infectados, se les conoce como redes de bots o Botnets. El propietario (o "pastor"), lanza instrucciones que pueden incluir, la propia actualización del bot, la descarga de una nueva infección, enseñar publicidad fraudulenta al usuario, el envío de spam, o incluso lanzar ataques DoS y DDoS (Denial of Service y Distributed Denial of Service). Un ejemplo que todos conocemos, es el "conficker", que es capaz de recibir múltiples órdenes de su creador para llevar a cabo distintas acciones.
Es por eso, que al ordenador infectado se le conoce como "zombie". Hay Botnets que albergan miles de ordenadores zombies bajo control remoto. Un ejemplo real, el caso que se dió a conocer a finales del mes pasado; cuando un menor fue detenido por ser el presunto culpable del ataque a la web www..elhacker.net mediante DDoS. Según la Guardia Civil, el menor habría empleado más de 75.000 ordenadores zombies para llevar a cabo el ataque.
A pesar de ejemplos como este, el "pastor", que controla las Botnets, en realidad tiene como finalidad un modelo de negocio que le permitirá ganar dinero con ellas.
Una vez controlada la Botnet, la alquilan a terceros para el envío de spam, distribuir phising, etc. Lógicamente, cobrarán dinero, por el uso de ordenadores que no son suyos y además borrarán cualquier rastro que les pueda incriminar en su actividad fraudulenta.
Hay algunos de estos programas que funcionan sobre el protocolo IRC (Internet Relay Chat). De hecho, hay comunidades Botnet en las redes IRC de todo el mundo, donde los hackers se apoyan entre ellos, mediante el cruce de información o nuevos bots.
Tipos de uso de las Botnets
Pero está claro que hay uno de los usos de las redes de bots, que cada vez está más en auge. Es el uso de las Botnets para el envío de spam.
Este, sigue siendo uno de los grandes problemas de hoy en día, y está considerado delito penal en muchos sitios, como por ejemplo USA, Reino Unido o Nueva Zelanda.
De hecho, se estima que el 90% de correos basura que llegan a las cuentas de correo, proceden de Botnets.
Como este spam no llega de forma centralizada, es dificil rastrear su origen. Y como no se puede localizar el foco central, no se puede solicitar al proveedor de Internet que corte la conexión de ese nodo. Y del mismo modo, tampoco se puede asociar a un responsable directo del delito. Es por eso que los ciberdelincuentes utilizan las redes de bots.
Además, los ordenadores zombies, se convierten en una especie de proxy para el pastor, ya que siempre estará un salto por detrás del origen de los spams.
El hecho de que se envíe spam desde una organización, grande o pequeña, porqué tiene uno o más equipos infectados y convertidos en zombies; lleva a una desagradabel situación, en que el ISP (Internet Service Provider, o sea, Telefónica, Jazztel, Orange, etc.), puede llegar mandar una carta o un aviso de que cortará las comunicaciones por el puerto 25 (SMTP) de la ADSL. El proveedor, debe procurar por la limpieza de sus lineas de datos, y constantemente realiza escaneos de red para detectar el tráfico excesivo por este puerto de comunicaciones.
En caso de darse esta situación, avisarán, luego darán paso al corte, y la unica solución será buscar el problema dentro de la organización para detener ese envío masivo.
Otro tipo de finalidad de las Botnets, es el ataque masivo hacia un sitio web o un servidor de Internet. Los ordenadores zombie son utilizados para que contacten al mismo tiempo con este sitio o servidor, mediante pings, por ejemplo; yeste aumento de tráfico de red, provocará que se sobrecargue impidiendo que los usuarios legítimos puedan usarlo de forma normal. Como ya hemos comentado en otros artículos, esto es conocido como ataque DoS o DDoS.
Este tipo de ataques también usan a veces equipos limpios. Es decir, el hacker utiliza una Botnet con centenares de ordenadores. Cada uno de esos ordenadores, lanza un ataque sobre un equipo limpio, haciéndose pasar por un ordenador de su misma red que también ha sido atacado. De ese modo, el equipo limpio, manda información a los otros equipos de su misma red y finalmente, tras no poderse gestionar tantas peticiones y respuestas, cae la red.
De esta forma, desde la red de la víctima, la amenaza viene del equipo limpio. Y desde el equipo limpio la amenaza viene de otro equipo atacado. Así, el bot, queda oculto totalmente.
Los ataques DoS, tienen un top 4 con definiciones propias:
Ping de la muerte: los bots lanzan peticiones ICMP de gran tamaño y tiran abajo el sistema
TearDrop: los bots envían fragmentos de un paquete ilegítimo, y el sistema receptor intenta recomponerlo en uno solo, causando la caída del sistema.
Smurf: los bots envían paquetes a equipos limpios, que a su vez lo envían a todo su sistema.
Mailbomb: los bots envían cantidades ingentes de correos, que finalmente cuasan la caída del sistema.
Un tercer uso de las Botnets, es para el fraude en los clicks o "click fraud". Esto, se refiere a configurar un bot para que se vaya haciendo click a un enlace concreto de forma repetida. Y estos clics, pueden estar dirigidos a publicidad que el propio hacker o pastor, tiene en su web.
Si bien es cierto, que el beneficio parecería poco, pero hay métodos de publicidad que pagan por click realizado. Y si multiplicamos un solo click por centenares o miles...
En una de sus variantes, también encontramos el fraude por pago por el uso de un supuesto software de desinfección. El bot, recibirá la orden de mostrar un banner publicitario en el ordenador, en que se avisa de la infección de la máquina. A cambio de la desinfección, se solicita un pago. Y este pago, se realizará a través de insertar los datos bancarios en una web...y creo que no es necesario que explique que ocurre a continuación.
Protección contra los bots y Botnets.
Lo primero y principal, y como ya hemos reptido muchas veces, es imprescindible protegerse con un buen software anti-spyware.
Tener en marcha una solución perimetral; un buen firewall.
Una buena política de contraseñas. Incluir símbolos, números, minúsculas, mayúsculas; y cambiarlas regularmente.
Realizar auditorías de seguridad de forma periodica.
Estar al día con los parches y actualizaciones de los fabricantes.
http://www.serviciohelpdesk.com/_crm/HelpClub/Articulo.aspx?id_a=b40f4f45-1feb-de11-b197-005056b659ce
A esos programas, se les llama "bots". Y básicamente lo que hacen es infectar las máquinas a través de la red para lograr algun objectivo concreto; ya bien sea el envío de spam, publicidad fraudulenta, o recopilación de datos personales.
¿Qué significa todo esto?
"Bot", nace del diminutivo "robot"
Se trata de pequeños programas que una vez dentro del ordenador, toman el control remoto del equipo del usuario sin su consentimiento ni conocimiento.
La infección es variada. Se produce a través de la navegación web, programas descargados a través de P2P (eMule, eDonkey, Ares, Torrent...), un correo electrónico infectado...
Estos programas, los bots, lo que hacen es seguir unas instrucciones que le ha pautado su creador. Una vez dentro de la red y de los equipos, se quedan latentes hasta recibir ordenes y ponerse en funcionamiento.
Al conjunto de redes y equipos infectados, se les conoce como redes de bots o Botnets. El propietario (o "pastor"), lanza instrucciones que pueden incluir, la propia actualización del bot, la descarga de una nueva infección, enseñar publicidad fraudulenta al usuario, el envío de spam, o incluso lanzar ataques DoS y DDoS (Denial of Service y Distributed Denial of Service). Un ejemplo que todos conocemos, es el "conficker", que es capaz de recibir múltiples órdenes de su creador para llevar a cabo distintas acciones.
Es por eso, que al ordenador infectado se le conoce como "zombie". Hay Botnets que albergan miles de ordenadores zombies bajo control remoto. Un ejemplo real, el caso que se dió a conocer a finales del mes pasado; cuando un menor fue detenido por ser el presunto culpable del ataque a la web www..elhacker.net mediante DDoS. Según la Guardia Civil, el menor habría empleado más de 75.000 ordenadores zombies para llevar a cabo el ataque.
A pesar de ejemplos como este, el "pastor", que controla las Botnets, en realidad tiene como finalidad un modelo de negocio que le permitirá ganar dinero con ellas.
Una vez controlada la Botnet, la alquilan a terceros para el envío de spam, distribuir phising, etc. Lógicamente, cobrarán dinero, por el uso de ordenadores que no son suyos y además borrarán cualquier rastro que les pueda incriminar en su actividad fraudulenta.
Hay algunos de estos programas que funcionan sobre el protocolo IRC (Internet Relay Chat). De hecho, hay comunidades Botnet en las redes IRC de todo el mundo, donde los hackers se apoyan entre ellos, mediante el cruce de información o nuevos bots.
Tipos de uso de las Botnets
Pero está claro que hay uno de los usos de las redes de bots, que cada vez está más en auge. Es el uso de las Botnets para el envío de spam.
Este, sigue siendo uno de los grandes problemas de hoy en día, y está considerado delito penal en muchos sitios, como por ejemplo USA, Reino Unido o Nueva Zelanda.
De hecho, se estima que el 90% de correos basura que llegan a las cuentas de correo, proceden de Botnets.
Como este spam no llega de forma centralizada, es dificil rastrear su origen. Y como no se puede localizar el foco central, no se puede solicitar al proveedor de Internet que corte la conexión de ese nodo. Y del mismo modo, tampoco se puede asociar a un responsable directo del delito. Es por eso que los ciberdelincuentes utilizan las redes de bots.
Además, los ordenadores zombies, se convierten en una especie de proxy para el pastor, ya que siempre estará un salto por detrás del origen de los spams.
El hecho de que se envíe spam desde una organización, grande o pequeña, porqué tiene uno o más equipos infectados y convertidos en zombies; lleva a una desagradabel situación, en que el ISP (Internet Service Provider, o sea, Telefónica, Jazztel, Orange, etc.), puede llegar mandar una carta o un aviso de que cortará las comunicaciones por el puerto 25 (SMTP) de la ADSL. El proveedor, debe procurar por la limpieza de sus lineas de datos, y constantemente realiza escaneos de red para detectar el tráfico excesivo por este puerto de comunicaciones.
En caso de darse esta situación, avisarán, luego darán paso al corte, y la unica solución será buscar el problema dentro de la organización para detener ese envío masivo.
Otro tipo de finalidad de las Botnets, es el ataque masivo hacia un sitio web o un servidor de Internet. Los ordenadores zombie son utilizados para que contacten al mismo tiempo con este sitio o servidor, mediante pings, por ejemplo; yeste aumento de tráfico de red, provocará que se sobrecargue impidiendo que los usuarios legítimos puedan usarlo de forma normal. Como ya hemos comentado en otros artículos, esto es conocido como ataque DoS o DDoS.
Este tipo de ataques también usan a veces equipos limpios. Es decir, el hacker utiliza una Botnet con centenares de ordenadores. Cada uno de esos ordenadores, lanza un ataque sobre un equipo limpio, haciéndose pasar por un ordenador de su misma red que también ha sido atacado. De ese modo, el equipo limpio, manda información a los otros equipos de su misma red y finalmente, tras no poderse gestionar tantas peticiones y respuestas, cae la red.
De esta forma, desde la red de la víctima, la amenaza viene del equipo limpio. Y desde el equipo limpio la amenaza viene de otro equipo atacado. Así, el bot, queda oculto totalmente.
Los ataques DoS, tienen un top 4 con definiciones propias:
Ping de la muerte: los bots lanzan peticiones ICMP de gran tamaño y tiran abajo el sistema
TearDrop: los bots envían fragmentos de un paquete ilegítimo, y el sistema receptor intenta recomponerlo en uno solo, causando la caída del sistema.
Smurf: los bots envían paquetes a equipos limpios, que a su vez lo envían a todo su sistema.
Mailbomb: los bots envían cantidades ingentes de correos, que finalmente cuasan la caída del sistema.
Un tercer uso de las Botnets, es para el fraude en los clicks o "click fraud". Esto, se refiere a configurar un bot para que se vaya haciendo click a un enlace concreto de forma repetida. Y estos clics, pueden estar dirigidos a publicidad que el propio hacker o pastor, tiene en su web.
Si bien es cierto, que el beneficio parecería poco, pero hay métodos de publicidad que pagan por click realizado. Y si multiplicamos un solo click por centenares o miles...
En una de sus variantes, también encontramos el fraude por pago por el uso de un supuesto software de desinfección. El bot, recibirá la orden de mostrar un banner publicitario en el ordenador, en que se avisa de la infección de la máquina. A cambio de la desinfección, se solicita un pago. Y este pago, se realizará a través de insertar los datos bancarios en una web...y creo que no es necesario que explique que ocurre a continuación.
Protección contra los bots y Botnets.
Lo primero y principal, y como ya hemos reptido muchas veces, es imprescindible protegerse con un buen software anti-spyware.
Tener en marcha una solución perimetral; un buen firewall.
Una buena política de contraseñas. Incluir símbolos, números, minúsculas, mayúsculas; y cambiarlas regularmente.
Realizar auditorías de seguridad de forma periodica.
Estar al día con los parches y actualizaciones de los fabricantes.
http://www.serviciohelpdesk.com/_crm/HelpClub/Articulo.aspx?id_a=b40f4f45-1feb-de11-b197-005056b659ce
No hay comentarios:
Publicar un comentario