Primera entrega: botnets o la suma de todos los males. Introducción.
Si bien existen muchos riesgos en Internet, hay uno en particular que viene desarrollándose desde hace varios años y que, a medida que pasa el tiempo, es más y más preocupante: las redes de computadores esclavos o botnets, según son conocidas en inglés. Es cierto que el fraude en línea (bajo la forma del phishing, por ejemplo) es preocupante, que los daños que se pueden causar con técnicas tradicionales de hacking pueden ser considerables, que el correo basura o spam que es enviado cada día consume muchos recursos, que la pornografía infantil en línea produce dolor en el alma y que los casos de piratería de software, música y videos son muy frecuentes.
Pero lo que hace de las botnets el centro de la atención en el combate al crimen informático (1) a nivel internacional, es que sirven para cometer todos los delitos mencionados y muchos más, en forma simultánea y a una escala nunca antes vista. El 18 de septiembre de 2008, tras 21 meses de haber sido lanzada, dejó de operar (2) la botnet denominada Storm (3), que para algunos llegó a estar compuesta por más de 50’000.000 de computadores esclavos (4) ; esta botnet se diseminó usando varios vectores de ataque, incluyendo un gusano (5) que, como tal, se autoreplicaba a través de correo basura que incluía inicialmente líneas de asunto como «230 dead as storm batters Europe» («230 mueren mientras tormenta arrasa Europa»), de ahí su nombre.
El sistema operativo de los computadores infectados era Microsoft Windows y, desde el principio de sus actividades, quienes controlaban esta botnet (sus botmasters o herders) desplegaron comportamientos defensivos para evitar que la misma fuera detectada o inutilizada. Storm llegó a ser más poderosa que los mismos supercomputadores (6) más poderosos hoy existentes; sólo en el mes de septiembre de 2007 envió más de 1.2 miles de millones de correos electrónicos buscando expandirse y, en su pico más alto, el 22 de agosto de ese año, envió 57 millones de mensajes maliciosos (7).
Aparte de haber sido relacionada con estos envíos masivos de spam, de acuerdo con la revista SC Magazine (8), Storm fue utilizada para enviar miles de mensajes que contenían un archivo en formato PDF con contenido malicioso que, además de infectar los equipos, incitaba a las víctimas a comprar acciones de una empresa llamada Prime Time Goup Inc., consiguiendo que el precio por acción se disparara y los botmasters se enriquecieran al vender las acciones que habían comprado con anterioridad. Algunos investigadores temían que Storm fuera alquilada con el fin de dirigir ataques de Denegación de Servicios para tumbar la conectividad de agencias estatales o gobiernos enteros o la de completos centros financieros (9), entre otras muchas posibilidades.
Storm hace parte de una nueva generación de botnets, fruto de una evolución de varios años en la que la descentralización del comando y control se impone.
Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe
Espere en los siguientes posts las generalidades, el surgimiento (ir a la segunda entrega sobre botnets acá) y la evolución de las botnets! Entenderá qué es una botnet, qué alcances puede llegar a tener y otras particularidades.
Notas:
(1) «Los gobiernos deberían comprometerse a trabajar con los proveeedores de Internet, con los desarrolladores y con el público en general, para desarrollar y dar soporte a procedimientos viables que reduzcan la vulnerabilidad frente a los ataques de las botnets, detectándolos rápidamente tan pronto ocurran, asesorando a los proveedores de Internet en aislar máquinas maliciosas y apoyando a los usuarios finales en el aseguramiento de la evidencia y la recuperación de la máquina» (traducción libre). Kelly, John, y Almann, Lauri; Policy Review del Hoover Institution en Stanford University; en: http://www.hoover.org/publications/policyreview/35543534.html .
(2) Stewart, Joe, «Spam Botnets to Watch in 2009» (Botnets de correo basura a ser observadas en 2009); en: http://www.secureworks.com/research/threats/botnets2009/.
(3) Recibió otros alias también, como Nuwar y Peacomm; http://vil.nai.com/vil/content/v_140835.htm
(4) Spiess, Kevin, «Worm ‘Storm’ gathers strenght» («El gusano ‘Storm’ gana fuerza»); en: http://www.neoseeker.com/news/7103-worm-storm-gathers-strength/ .
(5) Para Bruce Schneier, Storm era un gusano, un troyano y un bot, todos en uno: http://www.schneier.com/blog/archives/2007/10/the_storm_worm.html .
(6) Storm llegó a ser más poderosa que el Roadrunner, que es el supercomputador más poderoso que existe en el planeta: costó 113 millones de dólares, ocupa unos 560 pies cuadrados y tiene una capacidad de hasta 1.7 petaFLOPS (Floating point Operations per Second). Una calculadora normal tiene una capacidad de 10 FLOPS, es decir, su tiempo de respuesta para realizar una operación es de 0.1 segundos; un petaFLOPS es 1015 FLOPS, o sea 1.000’000.000’000.000 FLOPS – Storm fue aún más poderosa. En: http://en.wikipedia.org/wiki/IBM_Roadrunner y http://en.wikipedia.org/wiki/FLOPS .
(7) Gaudin, Sharon; «Storm Worm Botnet More Powerful than top Supercomputers» (La botnet Storm es más poderosa que los más grandes supercomputadores»). En: http://www.informationweek.com/news/internet/showArticle.jhtml?articleID=201804528 .
(8) En: http://www.scmagazineus.com/Storm-Worm-uses-e-cards-to-push-spam-near-all-time-high/article/35321/ .
(9) Gaudin, op. cit.
Comentarios