Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

sábado, 6 de octubre de 2007

¿QUÉ SON LOS ORDENADORES ZOMBIE O BOTS?

Imagina que Internet es una ciudad. Sería sin duda una de las ciudades más variadas y diversas del planeta, pero también podría ser potencialmente peligrosa y con ciertos riesgos. Dentro de esta ciudad, verías que no todo el mundo es quien dice ser. Un ordenador zombie también llamado bot, es muy parecido a esas películas de espías que tanto gustan. Un pirata informático se infiltra secretamente en el ordenador de su victima y lo usa para actividades ilegales. El usuario normalmente no sabe nada de que su ordenador está comprometido y lo puede seguir usando, aunque puede notar que su rendimiento ha bajado considerablemente.

Dicho ordenador comienza a enviar una gran cantidad de mensajes spam o ataques a páginas Web y se convierte en punto central de investigaciones de estar cometiendo actividades sospechosas. El usuario se puede se puede encontrar que su ISP (proveedor de servicios de Internet), a cancelado su conexión a la red o puede estar investigado por la policía especializada en delitos informáticos. Mientras tanto, el hacker que ha ocasionado el problema, se lamenta de la perdida de uno de sus “zombies” pero sin darle mucha importancia porque tiene muchos más. Algunas veces tiene una gran cantidad de ellos, de hecho una investigación consiguió averiguar en una ocasión, que un solo hacker había conseguido el control de un millón y medio de ordenadores, utilizándolos como plataforma para sus ataques.

El término ordenador zombie no es demasiado usado y la gente los prefiere llamar bots, que viene de la palabra robot. Una colección de ordenadores bajo el control de un pirata informático es llamada botnet. Veremos a continuación en qué consisten estos ejércitos de ordenadores preparados para actuar como un solo equipo, y bajo el mando de una o varias personas.

Proceso de hacerse con la máquina

Un hacker transforma ordenadores en bots o zombies, usando pequeños programas que puede aprovecharse de ciertas debilidades o fallos de diseño en el propio sistema operativo del equipo. Puedes pensar que estos hackers son mentes criminales superdotadas en el mundo de Internet, pero la verdad es que la mayoría tienen poca o ninguna idea de programación o conocimientos sólidos, y usan programas ya hechos que otros han creado previamente.

Muchos investigadores que monitorizan estas redes de ordenadores zombie, dicen que los programas que los están manejando son bastante primitivos y mal configurados. A pesar estas inconveniencias, dichos programas consiguen hacer lo que los hackers quieren que hagan, y es hacer que los ordenadores actúen de una manera concreta.

Para infectar un ordenador, primero, el hacker debe instalar uno de estos programas en el ordenador de la victima. Normalmente lo hacen por medio de emails, programas P2P o incluso una página Web corriente. En muchas ocasiones, estos piratas disfrazan estos programas maliciosos con un nombre y extensión de fichero diferentes, para que la victima crea que está obteniendo algo totalmente diferente. Al mismo tiempo que los usuarios se vuelven más precavidos contra ataques en Internet, los hackers descubren nuevos métodos para realizar los ataques. ¿Has visto alguna vez una ventana popup que incluye un botón de “No gracias”? No es buena idea pulsarlos y se debe cerrar la ventana con la “X” en la parte superior derecha. El botón antes mencionado puede ser solo un señuelo, y en lugar de cerrar la molesta ventana, activa la descarga de un software malicioso.

Una vez que la victima recibe el programa, lo tiene que activar. En muchos casos, el usuario piensa que el programa es otra cosa distinta. Puede parecer una foto o gráfico, un archivo de video o audio, o cualquier otro formato reconocible. Cuando el usuario opta por abrir dicho archivo para ver lo que es, nada parece ocurrir. Para mucha gente, es suficiente para activar las alarmas y poner usar algún programa antivirus o spyware al momento. Por desgracias, muchos usuarios simplemente piensan que han recibido un archivo en mal estado y lo dejan de esa manera.

Mientras tanto, el programa malicioso ya activado, se añade a los elementos necesarios en el equipo de la victima para que cada vez que lo ponga en marcha, el programa se ponga en funcionamiento. Los hacker no siempre utilizan el mismo segmento inicio de un sistema operativo, lo que hace que la detección algo más complicada para el usuario medio. El programa en cuestión, puede contener instrucciones específicas para realizar una tarea en un momento determinado, o permite directamente al hacker controlar la actividad en Internet del usuario. Muchos de estos programas funcionan sobre IRC (Internet Relay Chat), y de hecho, hay comunidades botnet en las redes IRC donde los hackers se ayudan entre si, o intentan hacerse con la red de zombies de otro hacker.

Una vez que el ordenador de un usuario está comprometido, el hacker tiene el camino libre para hacer lo que quiera. Muchos de ellos intentan permanecer en silencia y sin dar pistas de su existencia. Si alerta a un usuario de su presencia, se arriesga a perder el bot. Para muchos no es problema, ya que tienen cientos o miles de ordenadores infectados bajo su mando.

En la siguiente sección, veremos como y para qué se utilizan estos ejércitos de zombies en el mundo de Internet.

El spam sigue siendo un gran problema incluso hoy en día, donde está considerado en muchos sitios como un delito. Es una experiencia frustrante abrir tu email y encontrarnos con docenas de correos basura que no aportan nada. ¿De donde viene todo ese spam? Según el FBI, se estima que un gran porcentaje de todo ese correo basura viene de redes con ordenadores zombie.

Si el spam viniera de una sola fuente centralizada, sería relativamente fácil seguir el rastro hasta su origen y poner una demanda a la ISP correspondiente para que echaran abajo la conexión a Internet de ese ordenador y poder poner una denuncia al usuario que está haciendo spam. Para evitar que esto ocurra, muchos piratas informáticos delegan en estas redes de bots. El ordenador zombie se convierte en un Proxy, lo cual significa que el hacker está a un salto de distancia del origen de los emails de spam. Un hacker con un botnet grande, puede enviar millones de mensajes todos los días.

Estos hacker pueden configurar una red de botnets para que envíen virus o troyanos a todos los ordenadores que pueda. Estas redes de ordenadores controlados, pueden también mandar los populares mensajes de phishing, los cuales son intentos de engañar al usuario para que compartan información personal, que en el peor de los casos puede ser información bancaria. Hablaremos de esto más tarde.

Cuando se envían anuncios con publicidad de algo, el encargado del botnet configura sus ordenadores para un cliente en particular y puede hacer el envío a ciertas horas del día. Algunas empresas y particulares que quieren promocionar sus productos a toda costa y a los que no les importa si los métodos empleados son intrusitos o incluso ilegales, pagan a estos hacker para que realicen el envío de miles de correos a otras personas. La mayoría de los que reciben estos correos no pueden saber de donde viene esta avalancha de correos publicitarios. Puede que al bloquearlo, solo lo estén haciendo en uno de los ordenadores que compone toda la red “zombie”. Por ello, es algo complicado parar totalmente este flujo de correos spam.

Una persona puede sospechar que su ordenador esta siendo controlado por una tercera persona si recibe correos de personas quejándose de que están recibiendo muchos correos de este tipo de nosotros, o también si detectamos que hay muchos emails que no hemos escrito en la bandeja de salida. De otra manera, el usuario del equipo probablemente no sabrá que su ordenador está manejado por otra persona. Algunos usuarios no parecen importarle que sus máquinas sean utilizadas para enviar correos de spam como si el problema fuera de otro, y no toman las precauciones necesarias para evitar convertirse en parte de un botnet.

Ataques de denegación de servicio

Algunas veces un hacker utiliza una red de ordenadores zombie para sabotear un sitio Web específico o un servidor de Internet. La idea es bastante sencilla – un hacker le dice a todos los ordenadores que componen su botnet para que contacten a un servidor específico o a un sitio Web de forma continuada. Este repentino aumento de tráfico puede hacer que la Web o servidor se sobrecargue, impidiendo su funcionamiento correcto para usuarios legítimos. Algunas veces este tráfico provocado, es suficiente para tirar abajo el sitio de forma definitiva. Esto se llama un ataque de denegación de servicio, también llamados ataques DDoS.

Algunos botnet usan ordenadores “limpios” como parte de estos ataques. Así es como funciona: El hacker inicia el comando para empezar el ataque desde su ejército de zombies. Cada ordenador dentro del ejército envía una petición de conexión a un ordenador inocente llamado reflector. Cuando este reflector recibe la petición, no parece que el ataque se haya originado desde los ordenadores zombie, sino desde la última victima del ataque. Estos reflectores envían información al sistema de la victima, y eventualmente el sistema comienza a sufrir y finalmente cae al no poder gestionar tantas peticiones y respuestas de todas estas máquinas a la vez.

Desde la perspectiva de la victima, parece que han sido los reflectores los que han atacado el sistema. Desde la perspectiva de los reflectores, parece que el sistema de la victima ha sido quién ha requerido los paquetes de información. Los ordenadores zombie se mantienen ocultos, y por supuesto el hacker se mantiene en el anonimato.

La lista de victimas de estos ataques DDoS son innumerables, y no se libra de ellos ni siquiera las grandes compañías que operan en Internet. Microsoft sufrió un ataque de este tipo llamado MyDoom. Otras compañías asentadas en la red como Amazon, eBay, CNN o Yahoo también lo han sufrido. Algunos de estos ataques tienen ya su propia definición:

  • Ping de la muerte - Los bots crean paquetes de datos de gran tamaño y los envían a la victima.
  • Mailbomb – Los bot envían una masiva cantidad de email tirando abajo los servidores de correo.
  • Ataque Smurf – Los bot envían mensajes con paquetes ICMP a los reflectores los cuales reenvían dichos paquetes a la victima.
  • Teardrop – Los bot envían partes de un paquete ilegítimo y el sistema de la victima intenta recomponer las partes en un solo paquete y como resultado el sistema cae.

Una vez que una red de estos ordenadores zombie empieza un ataque contra el sistema de una victima, hay algunas cosas que el administrador del sistema puede hacer para prevenir una catástrofe. Puede elegir limitar la cantidad de tráfico permitida en el servidor, pero esto conlleva restringir también las conexiones legítimas a Internet. Si el administrador puede determinar los orígenes de los ataques, puede filtrar el tráfico. Por desgracia, los ordenadores pueden “disfrazar” sus direcciones con técnicas de spoofing, lo cual complica estos filtros.

Como hemos visto, algunos hackers se interesan en los ordenadores zombies para enviar spam o tirar abajo un objetivo en particular. Otros se hacen con el control de otros ordenadores como un método de hacer phising, que es donde tratan de revelar información privilegiada, particularmente información identificativa. Pueden intentar robar información de las tarjetas de crédito u otro tipo de datos buscando en los ficheros de tu disco duro. Pueden usar un programa de capturador de teclas llamado key logger para rastrear todo lo que tecleemos. En otras ocasiones, los ordenadores zombie se pueden usar para que no afecten directamente a la victima en el ataque inicial o incluso en todo el proceso, aunque el objetivo final sigue siendo poco ético.

Otra forma de usar este tipo de redes con ordenadores controlados por una o varias personas, es el click fraud o fraude en los clics. Click fraud se refiere a configurar adecuadamente un botnet para hacer clic repetidamente en un enlace específico. En ocasiones, estos clics pueden ir dirigidos a publicidad que el propio hacker tiene en una de sus Web. Algunos métodos de publicidad usualmente pagan una cantidad de dinero por el número de clics que un anuncio tenga, y por ello por ello el hacker obtiene una cantidad de dinero con visitas falsas haciendo clics fraudulentos.

Una de las cosas que más asusta de estas redes de ordenadores zombie, es que podemos acabar siendo víctimas de un robo de identidad o participar sin saberlo en un ataque a una página Web importante. Es importante protegernos contra estas posibles amenazas y saber también como descubrir si otros ordenadores tienen la seguridad comprometida.

Prevención contra los botnet

No quieres que tu ordenador se convierta en un zombie, por lo que, ¿Cómo lo prevenimos? Una de las cosas más importantes a recordar es que la prevención es un proceso continuado – no puedes pensar configurar todo de una manera concreta y esperar estar protegido para siempre. También es importante recordar que mientras navegas por Internet hay que tener sentido común y prudencia con nuestros hábitos de exploración. De otra manera estamos tentando a la suerte.

Un software antivirus es muy necesario. Ya sea un paquete comercial o uno gratuito como el AVG Anti-Virus Free Edition, hay que tenerlo activado y asegurarnos de que esté actualizado. Algunos expertos en el tema aseguran que un paquete antivirus debería ser actualizado cada hora aunque personalmente me parece exagerado.

Usa analizadores de spyware para buscar este tipo de programas de seguimiento de nuestras prácticas de navegación. Algunos de estos programas especiales incluso pueden registrar todo lo que tecleas al cabo del día y registrar lo que haces en tu ordenador. Un buen programa para defendernos es el Adware de Lavasoft. Al igual que los programas antivirus, mantenlos actualizados.

Instala un firewall para proteger tu ordenador. Los firewall pueden formar parte de uno de estos paquetes de software o estar incorporados en el mismo hardware como es el caso de algunos routers. Algunos sistemas operativos, como es el caso de Windows XP, ya llevan un firewall incorporado que se puede configurar según nuestro criterio. También nos deberíamos asegurar de que las contraseñas que elijamos sean difíciles y prácticamente imposibles de descifrar o averiguar, y no deberíamos usar la misma contraseña para múltiples aplicaciones. Esto puede ser un poco molesto al tener que recordar varias contraseñas, pero nos da un nivel adicional de seguridad.

Si tu ordenador ya está infectado y se ha convertido en un ordenador zombie, hay algunas opciones disponibles. Si tienes la posibilidad de tener un soporte técnico que trabaje en tu ordenador para limpiarlo, es una muy buena opción. Si no es así, puede buscar un programa de eliminación de virus para romper la conexión entre tu ordenador y el hacker. Por desgracia, algunas veces la única opción que nos queda es formatear el disco duro y volver a instalar el sistema operativo y todos los programas que tenías. Se deberían hacer backup de los datos regularmente por si acaso hubiera que hacer esto. Recuerda pasar los archivos del backup por un antivirus para asegurarte de que no están infectados.

Tu ordenador es un gran recurso para casi todo. Lo malo es que muchos hackers piensan lo mismo y buscan que tu ordenador se convierta en su propio recurso. Si eres cuidadoso al navegar por Internet y sigues los consejos del artículo que has leído, las opciones de que tu equipo se mantenga seguro son muy buenas.

Fuente: http://www.ordenadores-y-portatiles.com/ordenadores-zombie.html

0 comentarios:

Publicar un comentario en la entrada