En el primer post publicado en este blog hice una corta referencia al caso de Jeanson James Ancheta, que fue la primera investigación penal en Estados Unidos en contra de un botmaster. Posteriormente he vuelto a mencionar las botnets en varias oportunidades, esperando generarle a usted, mi querido amigo, la inquietud de hacer una búsqueda en Google. Por si acaso no tuvo tiempo de hacerla, en esta oportunidad voy a referirme puntualmente a ellas, que son actualmente el mayor objeto de deseo de los spammers y de los que quieren dirigir ataques de denegación de servicios, entre otros.
Generalidades.
1. ¿Qué es una botnet? Wikipedia la define como una red de computadores comprometidos en los que se ejecutan programas (por ejemplo gusanos y troyanos), bajo una infraestructura de control y comando operada por un ?bot herder? o botmaster, generalmente a través de un servidor IRC. Frecuentemente el botmaster utiliza varias herramientas para reclutar máquinas para su red y operarlas remotamente, como exploits, buffer overflows y remote method invocation. En términos sencillos, una botnet es una red de computadores esclavos que obedecen las órdenes de su amo.
2. ¿Cómo se recluta una botnet? En términos muy simples, los atacantes utilizan técnicas automatizadas de escaneo de rangos de IPs correspondientes a las redes Clase B; una vez logran comprometer una máquina, instalan en ella un bot. Una vez instalado, se conecta al IRC definido por su botmaster y queda a la espera de instrucciones.
En el caso de Ancheta, citado arriba, los bots que instalaba en sus esclavos se encargaban, ellos mismos, de escanear el rango de IPs de la víctima y de autopropagarse a las máquinas en las que se encontraban las vulnerabilidades que podían explotar (esta técnica de propagación es muy frecuente, de hecho). 3. ¿Para qué sirve una botnet? Para Schneier, estos son algunos de los usos que se pueden dar a las botnets:
– Ataques de denegación distribuida de servicios (DDoS).
– Spamming.
– Sniffing de tráfico.
– Keylogging.
– Difusión de nuevo malware.
– Instalación de adware y browser helper objects.
– Abuso de Google AdSense.
– Ataques contra canales de IRC.
– Manipulación de apuestas y juegos en línea.
– Robo masivo de identidad.
Un botmaster habló para el Lado Oscuro.
Douglas Esker (este es su nick, no su nombre real), botmaster radicado en algún país de Latinoamérica, accedió a responderme algunas preguntas sobre las botnets; si bien sus respuestas son bastante concisas, como era de esperarse tratándose de alguien dedicado eminentemente a los aspectos técnicos, sí nos dan una idea muy interesante acerca del tema:
Lado Oscuro (LO): ¿Qué tan vulnerables son las redes de las empresas y de los hogares en Latinoamérica, es decir, qué tan fácil es para un botmaster reclutar equipos en nuestra región para armar una botnet?
Douglas Esker (DE): Todo depende de qué tan seguros o actualizados estén los equipos. Por lo general la gran mayoría de personas en Latinoamérica son usuarios Windows, la gran mayoría de ellos usando software pirate, debido a los altos precios en las licencias y el poco poder de adquisición; esto es una desventaja ya que los deja vulnerables sin poder actualizar su sistema. La facilidad depende de la vulnerabilidad que se esté explotando; en sí no es muy difícil armar una botnet
LO: ¿Cuántas máquinas has podido reclutar? ¿Has determinado los países en los que están ubicadas?
DE: Si he podido determinar los países de ubicación porque hay scripts para botnets que automáticamente colocan en el nick del robot el país de procedencia del mismo.
LO: ¿En términos generales, a qué precio se puede vender una botnet de, digamos, unos 10.000 equipos? ¿Tu nos puedes contar algo más acerca de los precios de venta de botnets?
DE: En mi caso nunca he vendido o comprado botnets; mantener una botnet estable con 10 mil equipos es muy difícil. Pero sí he visto personas que han ofrecido 15 mil o 20 mil dólares por ellas.
LO: ¿Cuando alguien compra una botnet, qué es lo que generalmente persigue?
DE: La mayoría busca realizar ataques de denegación de servicio.
LO: Security Focus publicó hace poco una nota indicando que los botmasters están migrando de IRCs a web servers y que cada vez están usando más encripción de datos; tu has notado esta tendencia en Latinoamérica también?
DE: En Latinoamérica no, pero sí en países asiáticos.
LO: ¿Cuánto tiempo puede tomar el reclutar una botnet de varias decenas de miles de esclavos?
DE: Poco tiempo; esto depende de la vulnerabilidad que se escanee… a veces obtener unos 500 robots (esclavos) puede tomar entre 20 segundos y 2 minutos.
LO: ¿Los botmasters tienen algún perfil particular? ¿No solamente en cuanto a lo técnico (el 85% de sus servidores de control y comando son servidores en Unix/Linux) sino en general?
DE: Lo de los servidores Unix es porque es más fácil obtener acceso en ellos y rodar una red ircd es mucho más sencillo. Y de conocer el funcionamiento del SO no es necesario, porque por lo general los bots tienen comandos que permiten manejar las máquinas infectadas a placer. Respecto al perfil, sólo puedo decir que el fin que busca cada 1 es realizar algún ataque de denegación.
¿Vale la pena hablar de botnets?
Sí, por tres razones fundamentales:
– Porque es necesario proteger la privacidad de los ciudadanos y las empresas.
– Porque es fundamental definir políticas sobre protección de infraestructuras críticas (acueductos, aeropuertos, proveedores de energía) operados por particulares y que pueden ser víctimas de una denegación de servicios en cualquier momento).
– Porque es importante reducir el background noise en Internet.
Un ejemplo de una acción concreta dirigida en contra de las botnets fue la Operation Spam Zombies, coordinada por la Federal Trade Comisión y con la participación de agencias de los gobiernos de Albania, Argentina, Australia, Bélgica, Bulgaria, Canadá, Chipre, Dinamarca, Alemania, Grecia, Irlanda, Japón, Corea, Lituania, Malasia, Netherlands, Noruega, Panamá, Perú, Polonia, España, Suiza, Taiwán, Reino Unido y Estados Unidos, envió comunicaciones a más de 3000 ISPs (proveedores del servicio de Internet), pidiéndoles tomar acciones concretas para contener y mitigar algunas amenazas específicas.
En una fase posterior, algunos ISPs fueron notificados acerca de la existencia de zombies en sus redes y se les pidió tomar acciones para eliminarlos. Varios casos de DDoS contra SCO y Microsoft, que han sido los más publicitados, pueden haber opacado miles de casos sucedidos en contra de empresas y hasta personas cercanas a usted y a mí. Hace unas cuantas semanas, por ejemplo, una ONG de derechos humanos brasileña fue atacada vía denegación de servicios y todos los clientes de ella (muchas otras entidades sociales) fueron víctimas por la caída de muchos servicios de los que dependían; ellos mismos descubrieron que los atacantes eran miembros de un grupo neonazi.
Las autoridades deben prestar atención real a este fenómeno que es utilizado primordialmente para dirigir DDoSs y para enviar spam. No quiero yo ver uno dirigido contra un servidor del acueducto de mi ciudad o contra la empresa que me presta el servicio de telefonía celular, o contra un servidor crítico del Ministerio de Defensa, o saber que máquinas de la Presidencia de la República han sido recultadas por un botmaster. Afortunadamente a algunos, que tienen el dinero y la motivación necesarios para hacerlo, no se les ha ocurrido, al menos que se sepa.
Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe