lunes, 25 de abril de 2011

¿Botnets inmortales?


Unos nuevos esquemas de comunicación podrían hacer que las redes de PCs zombis fueran mucho más difíciles de cerrar.

La semana pasada el FBI se hizo con la botnet Coreflood—una importante red de ordenadores zombis que se había utilizado para robar información personal por valor de cientos de miles de dólares. Sin embargo, la captura se basó en una debilidad importante de las botnets convencionales—que son controladas por unos pocos ordenadores centrales. Al hacerse con esas máquinas centrales se logra desactivar toda una red de hasta cientos de miles de ordenadores comprometidos. Los investigadores advierten que esta debilidad no existe en las botnets que utilizan protocolos de comunicación peer-to-peer, donde los mensajes se transmiten de una máquina a otra en lugar de provenir de un mando central.

Las botnets peer-to-peer podrían hacerse más comunes si los ataques coordinados sobre las botnets convencionales continúan. "Cuando sientan que las botnets centralizadas tienen algo más que una tendencia a ser cerradas por las autoridades, entonces se pasarán a las botnets peer-to-peer", señala Cliff Zou, investigador de seguridad de redes de la Universidad de Florida Central.

Una botnet es una red de ordenadores que, sin saberlo sus dueños, han sido comprometidos por virus o gusanos y se pueden controlar de forma remota. Los spammers y las organizaciones criminales los utilizan para obtener información de tarjetas de crédito y cuentas bancarias.

Algunas botnets ya implementadas han usado las comunicaciones peer-to-peer. Los ordenadores en una red de este tipo mantienen una lista de equipos de otros usuarios—y pasan la información a ellos. Cuando el controlador quiere emitir un comando a la botnet, lo inserta en uno o varios de los usuarios, y poco a poco se extiende por toda la red.

Sin embargo, este diseño es complicado de implementar, y las autoridades han sido capaces de infiltrarse en estas redes para difundir comandos, archivos e información de otros usuarios falsa, interceptando y alterando las comunicaciones.

Stephan Eidenbenz, desde Los Alamos National Laboratory, y sus colegas diseñaron y simularon una botnet que podría ser mucho más resistente. La describen en un próximo artículo de Computer Networks.

Su botnet hipotética se configuraría a sí misma al azar en una jerarquía, y los miembros sólo aceptarían comandos de ordenadores más arriba en la jerarquía. Por lo tanto sería menos probable que cualquier ordenador tomado por un extraño fuera capaz de alterar la red. La botnet reconfiguraría su jerarquía todos los días, por lo que los usuarios externos tendrían poco tiempo para localizar a los equipos de más alto nivel capaces de hacer el mayor daño.

La técnica, junto con un fuerte cifrado, haría que las botnets fueran difíciles de analizar y atacar. "Creemos que podría ser muy eficaz", advierte Eidenbenz.

Zou cree que el fortalecimiento de las botnets peer-to-peer es sólo una cuestión de tiempo. Una vez que alguien escriba la manera de reforzar la seguridad de una botnet en un código fácil de implementar, afirma, este tipo de botnet se extenderá rápidamente.

Sin embargo, Brett Stone-Gross, investigador de seguridad informática en la Universidad de California Santa Bárbara, cree que incluso con las mejoras, las botnets peer-to-peer seguirán siendo muy complicadas y vulnerables como para ser conquistadas. Además, afirma, las botnets convencionales siguen siendo muy difíciles de batallar. "Las botnets [convencionales] siguen siendo las más eficaces", asegura. "Son fáciles de instalar. Todo se reduce a la sencillez frente a la complejidad. Incluso si se captura un servidor web, saldrán de nuevo en otro lugar. Esto pasará con Coreflood. Estará de nuevo en línea en un par de semanas".

No hay comentarios:

Publicar un comentario