Preguntas del caso de estudio: Ejércitos de Robots y Zombies en red

Preguntas del caso de estudio: Ejércitos de Robots y Zombies en red

1) Para las empresas las botnets representan una gran amenaza en cuanto a pérdidas económicas, por ejemplo empresas que la mayoría de sus servicios se prestan o publicitan por internet. Por otra parte también podría ser que el propietario de la botnet contactara con la empresa y pidiera una cantidad económica para dejar de atacar.

2) Se debe tener un control riguroso por parte de la organización para prevenir que un botnet se infiltre en la red de la empresa,se deben entender los riesgos que conllevan, y tratar de tener sistemas lo más seguros posibles, bien actualizados, que alerten al usuario acerca de su actividad.

3) No es sencillo, probablemente sea más difícil para una empresa pequeña que no cuente con sistemas operativos fiables o con control poco eficiente acerca de quién puede accesar la información confidencial.

MIS EN ACCIÓN

1) Una botnet, o "red de robots", es un grupo de ordenadores que, tras ser infectados por una persona o grupo determinado, quedan bajo su control, pudiendo ser utilizados para fines fraudulentos. Típicamente, los propietarios de esos ordenadores desconocen la infección, e ignoran que su máquina está siendo utilizada, junto con muchas más, para algún tipo de fin generalmente delictivo.

2) El bot creado posee una serie de comandos básicos que permiten al botmaster interactuar con las computadoras comprometidas. Por ejemplo, entre muchos otros:

• el comando .DDOS*IP*PUERTO realiza un Ataque de Denegación de Servicio Distribuida (DDoS)
• con .DOWNLOAD*ENLACE/MALWARE.EXE se descarga otro código malicioso
• .VISIT*ENLACE abre el enlace en el navegador del usuario
• el comando .REMOVEALL elimina automáticamente la información de la botnet y el perfil de Twitter

Es interesante mencionar que este bot abre una nueva puerta no considerada hasta el momento, la posibilidad de controlar una botnet a través de cualquier tipo de dispositivo que tenga acceso a Twitter o a sus APIs (actualmente cualquier tipo de teléfono por ejemplo) ya que el comando en el sistema infectado será ejecutado sin importar de donde provenga el mismo.

3) Quien consigue controlar una botnet, tiene muchas posibilidades a su alcance: capturar datos sensibles de sus usuarios, lanzar ataques distribuidos de denegación de servicio, o incluso poner a esos ordenadores a hacer clic en páginas con publicidad que un tercero ha contratado. Las posibilidades son múltiples: el botmaster posee un ejército de ordenadores dispuestos a ejecutar un determinado comando a su voluntad, con la ventaja de que cualquier comportamiento fraudulento resulta, al estar distribuido, muy difícil de identificar.

4) Como puedo saber si mi equipo esta en alguna botnet o es un zombie?

Las empresas de seguridad están empezando a darle importancia a este asunto y ya "asoman" algunas soluciones, como Trend Micro RUBooted. Se trata de una aplicación que se encuentra aún en versión Beta. El aspecto es el siguiente:

El problema está en los falsos positivos, y en caso de detectar algo sospechoso solo propone analizar el equipo con la versión online del antivirus.

Otra aplicación es el BotHunter. Se trata de una aplicación basada en el IDS (sistema de detección de intrusos) Snort que compara el tráfico de nuestra red frente a un modelo de patrones de comunicaciones para detectar BOTs y demás malware.

Otras medidas para proteger el equipo son disponer de un software antivirus actualizado y un cortafuegos. Esta aplicación está pensada para controlar e identificar el tráfico entrante y saliente de un ordenador. De esta forma, el usuario puede ser alertado sobre una actividad sospechosa de conexión a Internet que realice el equipo sin su permiso ni intervención.

Fuente: http://www.expansion.com/blogs/dans/2010/03/04/una-botnet.html