Son el azote de Internet—redes que contienen miles o incluso millones de ordenadores infectados por virus y controlados remotamente. Las llamadas "botnets" envían spam y lanzan ataques contra portales web y sistemas informáticos.
Sin embargo, recientemente un equipo de investigadores ha encontrado una forma de identificar los ordenadores infectados utilizando la forma en que éste trata de comunicarse con su servidor de comando y control.
Muchas redes de bots utilizan una técnica conocida como "fluxing de dominios" que hace que sea difícil encontrar y deshabilitar su servidor de control. Un ordenador infectado genera una enorme lista de nombres de dominio aparentemente al azar y comprueba en cada dominio si es dónde se encuentra el servidor de comando y control. Esto hace que sea difícil para cualquier otra persona saber dónde se encuentra el controlar de la red de bots. Además, el creador de la red de bots sabe cómo generar la misma lista, y sólo tiene que reservar un único dominio para enviar comandos a la red.
En un artículo reciente, un equipo compuesto por investigadores de la Universidad Texas A&M y de la empresa de seguridad Narus revela una forma de utilizar el fluxing de dominios para identificar un equipo que forme parte de una red de bots. Los investigadores determinaron que los dominios generados por estas redes son más al azar que los legítimos.
Los investigadores analizaron las consultas de nombre de dominio emitidas por muchas máquinas diferentes. "Si los nombres estaban más cerca de una distribución aleatoria, los declarábamos anómalos", recuerda A.L. Narasimha Reddy, profesor de ingeniería de Texas A&M que desarrolló la técnica con sus colaboradores. Un equipo que envía solicitudes a 500 dominios puede ser identificado sin falta como parte de una red de bots.
Sin embargo, a Reddy le preocupa que un nuevo tipo, más sigiloso, de red de bots, que sólo se despertara para llevar a cabo ataques podría hacer más difícil su detección. "Estoy bastante seguro de que los programadores de reds de bots intentaran innovar mediante la adopción de medidas para evitar la detección", afirma Ramos. "Mientras existan los ataques de phishing que engañan fácilmente a la gente para que hagan clic en sus enlaces, los atacantes se las arreglarán para mantenerse a la vanguardia."
Varios nuevos enfoques jurídicos están ayudando en la guerra contra las redes de bots. A mediados de marzo, un grupo de alguaciles de EE.UU. y de expertos en informática forense entraron en varios centros de datos emplazados en siete ciudades de EE.UU., para retirar los discos duros de los servidores que estaban siendo utilizados para el control de una red de bots masiva conocida como Rustock. La red estaba compuesta por más de dos millones de ordenadores personales que estaban siendo utilizados para enviar correo no deseado.
Microsoft encabezó la interrupción de Rustock utilizando de una forma sin precedentes una ley de infracción de marcas conocida como la Ley Lanham. Demostrando que los spammers estaban usando las marcas de Microsoft y Pfizer sin permiso, las empresas convencieron a un juez de que era necesario tomar medidas drásticas. Un ordenamiento jurídico especial permitió a Microsoft y el cuerpo de alguaciles de EE.UU. confiscar el hardware de los presuntos delincuentes sin antes notificar a sus propietarios.
No hay comentarios:
Publicar un comentario