10 answers to your questions about botnets. Espero que lo encuentren interesante, ya que el término botnets es un término que ha venido ganando popularidad y hoy en día se menciona mucho en los entornos de técnicos de todo tipo, de hecho es pertinente para cualquier persona que use regularmente computadoras. Antes de cualquier cosa hay que poner un poco de contexto. En EUA, las contracciones de palabras son muy comunes, cada palabra que se puede pronunciar con menos letras sin peligro a ambigüedad se pronuncia recortada, en nuestro artículo por ejemplo, se usa la palabra bot para referirse a robot. Los que conocemos Internet hace tiempo, sabemos que un bot es un programa que hace algo automáticamente en Internet, por ejemplo los buscadores tienen bots que visitan las páginas para revisar los contenidos e indexarlos. El artículo original se llama 10 answers to your questions about botnets, escrito por Michael Kassner en Techrepublic. 10 respuestas a las preguntas sobre Botnets
1. ¿Qué es un bot o zombie? y ¿cómo terminan perteneciendo a una botnet?Una botnet es un conjunto de PCs que han sido comprometidos por un atacante para recibir órdenes remotamente de un controlador. Los programas que instalan el código que permite la intervención, suelen programas que explotan vulnerabilidades del Sistema Operativo (como el famoso gusano Sasser), actividad de caballos de Troya como juegos falsos o codecs de videos pornográficos.
2. ¿Para qué sirven las botnets? ¿Son rentables?Las botnets son usadas con múltiples propósitos, como enviar spam, hospedar sitios de phishing, recolectar información de los usuarios del PC hospedero que luego será vendida (información bancaria por ejemplo), ejecución de ataques de DDoS para extorsionar organizaciones, instalacion de AdWare, etc. Una botnet es una plataforma para actividad criminal, proporcionando acceso sin restricciones a los PCs comprometidos y a sus recursos -disco, ancho de banda, reputación IP, información personal, etc.-. Es una forma de cargar software arbitrariamente en otra máquina, así como obtener información de la máquina. Vemos botnets en todo el mundo, EUA, Europa, Rusia, etc. Las principales motivaciones en los últimos años se ha vuelto monetaria, opuesto a la curiosidad y el juego que suponían inicialmente.
3. Si entiendo correctamente, hay diferentes filosofías de comando y control usadas por las botnets. ¿Cómo trabajan? y ¿son efectivas?Los dos principales tipos de control usados por las botnets son control centralizado o descentralizado, el último un mecanismo par-a-par. También hay una aproximación híbrida. El comando y control se refieren al servidor del que los bots se conectan para recibir los comandos del atacante. Las botnets de IRC son las clásicas estructuras centralizadas, con uno o mas servidores IRC actuando como concentrador principal. Ésta es todavía la forma más popular de ejecutar una botnet, usando IRC, HTTP u otro protocolo como concentrador. El gusano Storm usó un método híbrido, donde él pasaría mensajes a otros bots usando p2p, pero usaría un conjunto de servidores central para archivos y actualizaciones. Finalmente, la Nugache es la más grande y mejor conocida botnet verdaderamente P2P. Obviamente, si usted puede tomar un servidor y trastornar una botnet, esa es la mejor forma de aprozimarse a ella. Si tomamos los concentradores de la botnet, los bots todavía están infectados pero no actuando sobre los comandos. Las botnets P2P son mucho más difíciles de trastornar y acabar.
4. ¿Todos los S.O. son igualmente vulnerables a los rootkits? ¿Hay alguna ventaja en usar un S.O. sobre otro?Casi todos los sistemas operativos comunmente disponibles -Linux, BSD, Mac OS X, Windows- son vulnerables a los rootkits, sea en espacio de sistema o de usuario. Éstos pueden ser usados para esconder procesos o archivos del usuario. El final, dado que todos los sistemas tienen debilidades y pueden ser atacados, la única ventaja de un S.O. sobre otro es el tiempo de investigación que tiene que gastar un atacante.
5. La CPu de mi PC está por encima del 50% y el tráfico de salida está lejos de lo normal, yo creo que está siendo parte de una botnet, ¿cómo puedo confirmar ésto?Las exploraciones (scanners) de un Antivirus (AV) pueden ayudar, por varios medios, asumiendo que está actualizado. Primero, si usted puede explorar (scan) con múltiples exploradores, ésto puede hacer una gran diferencia en tasas de detección. Ésto puede ser desarrollado fácilmente con AV gratuitos en línea, ya que casi todos los grandes AV los tienen. Segundo, explorar con algo como un detector de rootkits para ver si uno ha sido instalado, éstos usualmente no son una gran fuente de tráfico o uso de CPU, pero indicaría infecciones de malware que pueden esconderse del AV o de la inspección manual. Tercero, mire su IP externa usando check my ip service y luego busque en una herramienta para mirar si esa IP está en una lista negra de spam. Éste es otro signo de que el sistema está infectado y que es un bot de spam. Herramientas como Robtex pueden ser muy útiles. Finalmente, una herramienta como RUBotted de Trend Micro puede ayudar a identificar algunos signos de participación e una botnet. Todas éstas herramientas pueden ser usadas libremente, pero siempre esté alerta sobre software que acusa ser gratuito hasta que se le cobra al usuario una suma por limpiar su sistema, usualmente son estafas.
6. He escuchado que los exploradores de rootkits no son efectivos ¿ es cierto?, si los exploradores son efectivos únicamente para ciertos tipos de rootkits, ¿cómo sé cuáles usar?, ¿qué exploradores me recomienda?Ellos son más o menos efectivos, pero están siendo derrotados por nuevos rootkits. GMer es uno de los mejores exploradores. Mantiene actualizado con nuevas técnicas y parece que atacara casi todos los rootkits comunes.
7. Yo pensaba que mi PC estaba protegido por el Firewall y el AV, sinembargo mi PC se infectó con Rustock.B y últimamente miembro de una botnet. Me dijeron que mis única opción es reinstalar completamente mi PC. Yo lo hice, pero ¿cómo evito que me vuelva a pasar?Mantenga actualizado el AV, mantenga parchado el S.O. (actualizaciones automáticas instaladas), no use un usuario con permisos de administrador y ejecute un firewall personal. Si es posible, usando Windows, use Vista, que hace mucho de ésto por usted. Si no, use XP SP2. Asegúrese de que su AC está habilitado para e-mail y navegación web.
8. Soy un administrador de sistemas para una red típica. Asumo que allí hay más riesgo, precisamente por la enorme cantidad de PCs. ¿hay alguna información que pueda pasar a mis usuarios (especialmente móviles) que minimice el riesgo?Los trabajadores móviles son probablemente los más susceptibles, ya que ellos entran en redes hostiles. A ellos se les debería decir que no ignoren las actualizaciones de software, que mantengan su AV acatualizado y no cancelen o deshabiliten tales actualizaciones. Los beneficios de éstas simples normas de higiene pueden estar siendo omitidas.
9. ¿Me puede sugerir una buena fuente de información relacionada con rootkits y botnets que me permitan estar al corriente?Yo mantengo un sitio web, InfosecDaily que cubre algunos de los mejores blogs y sitios de noticias, es gratuito y también recomiendo unos cuantos sitios más:
- Blog F-Secure muy bueno y pertinente.
- Obviamente, estpy muy satisfecho con el blog de Arbor Network ASERT.
- El flujo de noticias filtradas de Team Cymru es también muy bueno, seleccionando lo mejor y más importante de las historias del día.
10. De todo lo que yo he leído, parece que hay muy poco que yo puedo hacer para prevenir que mi PC termine haciendo parte de una botnet, ¿cierto?No, no lo creo. Yo siento que es una batalla ganable. Lo ejor que se puede hacer es mantener su software actualizado, el sistema operativo base, su navegador (lo más importante) y cualquier adición que les haya hecho. La mayoría de los bots y código maligno (malcode) llega através de vulnerabilidades bien conocidas. La siguiente cosa por hacer es mantener el AV actualizado, la mayoría de la gente no lo hace -a veces hay que actualizarlo hasta cada hora- y por lo tanto no saca provecho. Finalmente, un buen filtro antispam puede hacer maravillas para prevenir amenazas vía e-mail.
Opinión