Desde hace mucho tiempo vengo escuchando a muchos usuarios del S.O. Windows que no necesitan un firewall porque no tienen nada guardado que sea importante, en otras palabras el que quiera que entre... Seguro que a mas de uno le suena.
El problema viene cuando infectan un Pc con esas características para incluirlo en una de esas redes Botnet. Y a partir de ese momento ¿que ocurre?. A partir de ese momento pueden usar tu PC y otros 100000 para atacar servidores web mediante un ataque DDOS o para enviar spam.
Mucho se ha hablado e investigado sobre este tema, pero la realidad es que una sola persona podría controlar cientos, miles e incluso millones de PC infectados o Zombis para un uso ilícito y con claros beneficios económicos.
Este método es relativamente sencillo y muy complicado de evitar, unicamente los organismos internacionales o empresas privadas disponen de mecanismos reales para evitar e incluso acabar con muchas de estas redes Botnet.
¿Como una sola persona puede llegar a controlar tantos PC infectados? Una red botnet es efectiva debido al control que ejerce una única persona sobre muchos PC Zombis, esta persona los controla mediante el uso de canales IRC al cual se une la maquina infectada sin conocimiento del propietario o mediante un servidor dedicado.Un botnet puede ser diseñado para infectar otras maquinas, instalar malware que le permita extraer información sensible como el número de la tarjeta de crédito , cuentas bancarias, enviar spam a multitud de email pero algo que todos los botnet tienen es la capacidad de realizar ataques DDOS.
La defensa contra este tipo de malware no es sencilla, de hecho un botnet suele tener mecanismos sofisticados para evitar ser detectados. Una solución que funciona es la de localizar los canales IRC y "tirarlos" para acabar con una red botnet.
Algunos botnet conocidos son Agobot, SDBot, SpyBot and GT Bot, como ejemplo de sus características analicemos Agobot:
Agobot es un botnet que dispone de cientos de variantes con un codigo diferente, dispone de mecanismos de control y comandos basados en un canal IRC, una extensa colección de exploits para infectar otros PC, capacidad de lanzar diferentes tipos de ataques DDOS, capacidad de sniffar una red con el fin de obtener información sensible, capacidad para fortificar, desactivar puertas traseras y desactivar antivirus en sistemas infectados por este botnet con el fin de evitar que puedan ser borrados de ese sistema, capacidad para frustrar herramientas de desamblaje de botnet como SoftIce, Ollydbg, etc, capacidad para instalar rootkit con el fin de evitar su detección y un largo etc.
¿y que pasa con los equipos con linux?
Linux es mucho mas robusto que Windows, siempre que esté correctamente configurado, pero no es invulnerable. Como hemos visto anteriormente, un atacante podría infectar un Pc con Linux mediante un ataque por fuerza bruta a ssh, Telnet o a un servidores web con un S.O Linux, el cual fue configurado de forma erronea o esa versión dispone de un bug que lo hace accesible.
Incluir un servidor Linux en una red Botnet no suele ser facil pero la recompensa es grande. Al ser un S.O. mas robusto y necesitar menos recursos, un atacante, podría infectar una maquina Linux para infectar otras maquinas windows o enviar spam de forma masiva.
Actualmente se conocen mas de 100 nodos linux infectados, los cuales se usan para estos fines.
Defensa
Para proteger nuestro linux contra cualquier tipo de malware que trate de incluir nuestro PC en una red Botned, debemos configurar correctamente ese servidor, si usamos algún servicio como dyndns.org o noIP debemos extremar al máximo las precauciones, actualizando diariamente el S.O., configurar el firewall de la forma mas segura posible y aplicando sistemas IDS como snort y sniffers como dsniff los cuales nos pueden ayudar a detectar, por tanto, evitar este tipo de ataques.
Si disponemos un servidor web y hemos activado un servidor ssh para acceder al mismo podemos usar aplicaciones fail2ban los cuales banearan la ip del usuario que intente acceder al mismo mediante algún ataque por fuerza bruta.
En definitiva podemos hacer difícil que un botnet infecte nuestra maquina pero el trabajo es difícil y las técnicas de propagación de estos malware son cada día mas sofisticadas. En definitiva, si necesitamos activar un servidor, antes es necesario documentarse bien acerca de como configurarlo y como podemos configurarlo de una forma muy segura.
Lectura recomendada:
primera entrega botnets
Segunda entrega: botnets - generalidades y surgimiento
Tercera entrega: IRC botnets - El inicio
Cuarta entrega: botnets basadas en HTTP
Quinta entrega: botnets basadas en P2P
No hay comentarios:
Publicar un comentario