Sobre BOTNETs, PCs Zombie y SPAM

 

 

Enviado por darthje el 23 Julio 2010 - 7:29am

Por darthje

Sobre BOTNETs, PCs Zombies y SPAM

Bajo mi punto de vista hay una creciente preocupación por parte de las empresas sobre estos temas. Sin ir mas lejos, en "mi empresa" estamos especialmente preocupados por el SPAM, y se teme a la posibilidad real de que algún equipo de alguna sede forme parte de alguna botnet o sea un PC Zombie, siendo usado para enviar SPAM (entre otras cosas) a todos los clientes. Que por culpa de ese SPAM nos incluyan en "blocklist" y nos bloqueen ocasionando que y la mayoría de los servidores de correo a nivel mundial nos traten como emisores de SPAM, no permitiendo que nuestros clientes reciban los correos que se han enviado de forma legitima desde nuestro servidor. Esta incapacidad para enviar correos a los clientes afectaría negativamente al negocio de la empresa, provocando una perdida efectiva de ingresos debido a que los clientes no han recibido u obtenido la información necesaria.

Esto, quizás, pueda parecer paranoia pero es algo real que preocupa a, cada vez, mas empresas y responsables de TI debido, en parte, al temor del uso que los usuarios puedan hacer de Internet...

Entre los "particulares" (usuarios no empresa) también crece la preocupación propiciada por las publicaciones en algunos medios de comunicación y lo que se escucha de los "colegas" y/o presuntos "entendidos en la materia".

Algunos ejemplos de artículos de este tipo los podemos encontrar en las siguientes URLs:

 

Recuperando el control

En principio, para evitar el "secuestro" de nuestro equipo tan solo basta con tener un antivirus actualizado y algún cortafuegos medianamente decente.

En mi opinión, es importante NO utilizar soluciones antivirus "piratas". Debemos tener en cuenta que estas aplicaciones solo actualizan sus definiciones de virus y no el resto de la aplicación (se perdería el parche o crack que se ha aplicado para hacer funcionar el antivirus) como el motor de búsqueda y desinfección, lo que las hace, en mi opinión, vulnerables. Es mejor utilizar algún antivirus gratuito como AVG Free o Avira Free. Podeís encontrar mas información sobre esto aquí.

 

¿Como puedo saber si mi equipo esta en alguna botnet o es un zombie?

Las empresas de seguridad están empezando a darle importancia a este asunto y ya "asoman" algunas soluciones, como Trend Micro RUBooted.

Se trata de una aplicación que se encuentra aún en versión Beta. El aspecto es el siguiente:

El problema está en los falsos positivos, y en caso de detectar algo sospechoso solo propone analizar el equipo con la versión online de su antivirus.

En mi caso el falso positivo se debe a que uso TeamViewer para conectarme al equipo de mi casa y detecta que este software realiza consultas "extrañas" a servicios de DNS. En mi opinión, esta herramienta debería dar más información de los problemas que encuentra ya que la información que proporciona es muy escueta.

La aplicación que más me ha gustado es BotHunter. Se trata de una aplicación basada en el IDS (sistema de detección de intrusos) Snort que compara el tráfico de nuestra red frente a un modelo de patrones de comunicaciones para detectar BOTs y demás malware. El aspecto de esta aplicación es el siguiente:

Esta si que no da falsos positivos y funciona tanto en Windows como Linux, FreeBSD y MacOS.

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
Sasha's picture

Otra alternativa para evitar sustos de esos

Enviado por Sasha el 23 Julio 2010 - 10:58am.

Sustituir todo aplicativo Windows, incluyendo sistemas operativos, por cualquier otra alternativa. Me abstengo de decir 'linux' porque vale para este caso todo lo que no sea MS, incluido el extinto BeOS u otras soluciones como Solaris.

Sí, esto suena a inicio de cadena de trolleadas y demás, pero es que es la verdad. Yo entenderé que se me tache de troll y demás pero jamás es mi intención.

Plantea además una serie de costes a corto y medio plazo, pero ventajas a largo plazo. Los inconvenientes a corto y, en menor medida, medio plazo, son la adaptación al nuevo entorno. Puede ser sangrante y de dura adaptación pero si quieres evitar esos problemas no hay otra solución más directa. En realidad es un proyecto enorme incluso para una red local de menos 50 máquinas, así que imagínate todo un edificio... Y eso sí, es "bonito" (en lo positivo) de hacer.

A largo plazo (reflejado también a corto plazo) es la ausencia total de amenazas salvo las del personal muñones. Es decir, si temes tener o poder tener algún 'bot', con esto te olvidas sí o sí (salvo que ese mencionado muñones lo logre con su esfuerzo y conocimientos). También, dependiendo de la solución, el coste económico, el cual varía según la solución adoptada. Además, está el tema de la optimización de recursos, sobre todo a nivel de red.

Hay otros inconvenientes y ventajas, las iremos enumerando. De mantener los sistemas Windows también hay alternativas pero nunca serán tan definitivas.

Visto el ganado que se mueve por Kriptópolis, lo de 'quita MS pon [linux|MacOSX|BSD|CP/M]' alguien lo tenía que decir, ¿no? ;)

=========================================

Cuando un partido te pide que seas un patriota en vez de pedirte que seas un ciudadano, es mejor arrimar el culo a la pared.

JPatache, en el blog de escolar.net

usrdxt's picture

Creo que evitando

Enviado por usrdxt el 23 Julio 2010 - 12:50pm.

ciertas prácticas de riesgo, uno está bastante a salvo de pillar algo de esto. Con un buen firewall, un antivirus (que puedes tener ambos gratuitos) y un anti-malware, yo he reducido las infecciones al mínimo (por no decir cero).

En entornos empresariales, supongo que es algo más complejo, pero me abstendré de comentar lo que no conozco.

Visto el ganado que se mueve por Kriptópolis, lo de 'quita MS pon [linux|MacOSX|BSD|CP/M]' alguien lo tenía que decir, ¿no? ;)

Sí, por eso te lo dejamos a tí :)

Calario's picture

Windos

Enviado por Calario el 26 Julio 2010 - 2:39pm.

Los virus y demás guarrería que ahora se llama "malware" existen desde antes que existiera Microsoft. Evidentemente, el sistema operativo doméstico más extendido es el que resulta más rentable para atacar. Si yo fuera unmalo no me iba a dedicar a desarrollar para máquinas Sun si lo que quiero es montar una bot net.

Un gran incremento en el parque Linux podría hacer atractivo intentar explotarlo.

Cualquier sistema es vulnerable, muy vulnerable. La clave está en considerar todo el sistema y no sólo la parte inorgánica del mismo.

Ya sabéis lo de la seguridad y los cerditos bailarines ¿no? pues eso.

Andy's picture

No es muy exacto que digamos...

Enviado por Andy el 26 Julio 2010 - 6:39pm.

Los virus y demás guarrería que ahora se llama "malware" existen desde antes que existiera Microsoft.

No es tan así. Te paso algunas fechas:

  • Microsoft: 1975
  • Elk Cloner (Apple II - floppies): 1981
  • Windows: 1985
  • Boot Sector Virus (IBM PC - floppies): 1986
  • SCA Virus (Amiga - floppies): 1987
  • Christmas Tree (IBM Mainframes - VNET, Bitnet, EARN): 1987
  • Festering Hate Apple ProDOS (Apple II - BBS): 1988
  • Morris Worm (VAX & Sun Unix - Internet): 1988

Antes del Morris Worm había muy poco "malware" que se pudiese transmitir sin contacto físico. Casi todo era para floppies (disquettes). Y aún contando esos, son posteriores a Microsoft.

Parece que no, pero Microsoft lleva muchos muchos años operando.

Calario's picture

¡AY! si yo te contara...

Enviado por Calario el 27 Julio 2010 - 12:40pm.

Hay una larga historia antes del floppy (gracias por la aclaración de que son disquetes), y los sistemas ¡se comunicaban entre ellos! algunos usando Interent y otros usando otras redes (otra gran historia antes de Internet).

Te podría contar alguna batallita de abuelo sobre lo divertido que era probar las contraseñas de administrador por defecto de los sistemas UNIX (que muchos administradores no cambiaban) para cacharrear por dentro.

Algunos (yo no, ¡of course1) dejaban demoniejos corriendo que hacía cosillas (buscar información relevante, capturar contraseñas). Y los más malotes automatizaban las operaciones.

Los AS400 y los IBM también tenían sus cosillas y supongo que las seguirán teniendo, pero la juventud - gracias a dios en este caso - a veces no tiene inquietudes arqueológicas.

Los casos que pasan son los más extendidos y debes tener en cuenta que hace 30 y 40 años las cosas se hacían de forma mucho más artesanal y con un ámbito mucho más localizado. Dudo mucho que los registros de malware de los 80 y anteriores tengan muy en cuenta lo que hubiera fuera de Estados Unidos. Además, casi todos los casos que mencionas tienen efectos "visibles" y por esa época el objetivo no solía ser tirar un sistema, sino usar los escasos recursos que había (almacenamiento y ciclos de proceso), por tanto una de las prioridades era no ser descubierto, algo a lo que se ha vuelto en los últimos tiempos, porque se busca un beneficio más que un perjuicio.

ideviles's picture

cerditos bailarines

Enviado por ideviles el 28 Julio 2010 - 12:23pm.

No, yo no conozco eso de la seguridad y los cerditos bailarines!!!!

Calario's picture

Los cerditos

Enviado por Calario el 30 Julio 2010 - 11:46am.

Si tienes tiempo y lees inglis pitinglis:

http://en.wikipedia.org/wiki/Dancing_pigs

Si no:

Si a un usario le dices que escoja entre "Seguridad" o "Cerditos Bailarines", escogerá los cerditos, siempre.

Agustín's picture

"La paranoia me mantiene vivo"

Enviado por Agustín el 23 Julio 2010 - 3:54pm.

En estos temas no se debe pecar de confiado. Hay que tener en cuenta que los "malos" van siempre un pasito por delante de los "buenos". Y no es impensable que algunos que supuestamente son los "buenos" también estén utilizando botnets para "protegernos" del Mal. Estas botnets serían, en principio, más difíciles de detectar. Gracias por la info.

---

Ouro's picture

Exacto

Enviado por Ouro el 24 Julio 2010 - 11:08am.

Por ejemplo el juego "Lineage 2" crea un usuario en windows sin que tu te enteres (lo descubri un dia mirando mis usuarios) y es un bot que se dedica a ver si usas programas no legitimos... y por cierto no funciona para nada ese usuario asi que ya me da que pensar que a lo mejor lo usan para otra cosa.

Yo tengo el antivirus Avast y el unico virus que me detecto fue hace poco un troyano que yo mismo me meti (bifrost).

anv's picture

En principio, para evitar

Enviado por anv el 24 Julio 2010 - 7:33pm.

En principio, para evitar el "secuestro" de nuestro equipo tan solo basta con tener un antivirus actualizado y algún cortafuegos medianamente decente.

Sabemos bien que eso no es cierto. De hecho la misma gente de Kaspersky dijo que estan totalmente desbordados y que quien prometa que puede protegernos de los virus sencillamente está mintiendo. Para que lo diga una empresa cuyo negocio es justamente brindar esa protección, la cosa tiene que ser grave, y sabemos que lo es.

Sencillamente, hay que hacerse a la idea de que en entornos windows, los programas maliciosos son parte de la vida como lo es un resfriado en invierno para los humanos. Podemos tomar medidas para prevenirlo pero si hay una cosa segura es que tarde o temprano nos tocará. Y cuando digo "tarde" me refiero a cosa de meses.

La detección puede ser una buena idea. Pero no hay que olvidar que siempre se desarrollará una manera de evitar la detección. No hay que cometer el mismo error que cometen en la industria del entretenimiento, de creer que el super recontra seguro sistema anticopia que les costó años y millones desarrollar, resistirá más que unas pocas semanas.

Más arriba proponen la solución de evitar el uso de windows, y de poderse implementar, solucionaría el problema de raíz y al menos por los próximos años. Pero sabemos bien el inconveniente: siempre habrá quién se niegue al cambio alegando que es muy difícil, o que tal o cual aplicación no está. Y peor aún es cuando el propio departamento de sistemas piensa de esa forma. Obviamente, unos de los primeros en oponerse a ese cambio son los jefes, cosa que suele ser un obstáculo insalvable.

La detección mediante sistemas que "miran" el tráfico de la red es una alternativa, aunque implica algunos inconvenientes, como el hecho de que buena parte de los recursos del departamento de sistemas deberán dedeicarse a investigar la manera de erradicar el malware, interrumpiendo el trabajo de los usuarios y para colmo eso no evitará que se envíe spam y que nos pongan en listas negras.

Para los que se animen al cambio, existen maneras de solventar los problemas. El primer paso es reemplazar por software multiplataforma todo lo que se pueda en las estaciones de trabajo así una vez acostumbrada la gente al nuevo software el cambio será más sencillo. Otro paso importante es jamás desarrollar nuevo software que no sea multiplataforma y preferentemente hacer todas las aplicaciones que funcionen vía web. Podrá tener desventajas pero las ventajas las compensan con creces. El simple hecho de poder solucionar un fallo en segundos y que automáticamente esté funcionando la nueva versión en todos los usuarios es una de ellas.

Pero el paso final es, obviamente, migrar a otro sistema operativo. Y si no quieren gastar en hardware nuevo, lo ideal es que sea Linux. Ya se, que sin el "ofis" no pueden vivir. Ok, ok, que no voy a decir que el open office es más que suficiente para casi todo el trabajo porque tienen tal o cual aplicación windows que cometieron el error de comprar o desarrollar y que ahora no pueden reemplazar. Bueno, para eso hay alternativas. La más sencilla un windows virtual con VMWare. Ya se que no es software libre pero estamos hablando de empresas donde hay que usar lo que haya que usar. Puede ser Virtual Box, Xen, o lo que quieran. VMWare me ha gustado por tener buenas prestaciones y para usuarios sin conocimientos (como el típico empleado de una empresa) hay una opción increíblemente importante: decirle que cada vez que se inicie la máquina virtual, se restaure el último snapshot. Esto tiene el efecto de revertir absolutamente todos los cambios a su valor inicial. El resultado es un windows perfectamente limpio y que funciona rapidísimo (como todo windows recién instalado), y sin necesidad de antivirus. Ante cualquier duda se restaura el snapshot y listo. Y cada vez que se inicia, haya dudas o no de virus, se restaura igual dando como resultado un sistema rápido y limpio siempre.

Existen alternativas más avanzadas para empresas que quieren hacer las cosas mejor, como Cytrix (que en definitiva es Xen con condimientos), pero desde hace tiempo se va viendo que la virtualización es la solución a muchísimos problemas, y uno de ellos es el de los virus.

Alejandro Nestor Vargas
http://theflatearthsociety.org/