SoloCodigo

Información extraida de Noticias.com
Imagine un ejército compuesto por cientos de miles de robots a la espera de las maquiavélicas órdenes de un criminal; peor aun, imagine que estos robots luzcan absolutamente inofensivos o que ni siquiera sepan que forman parte del ejército malhechor, hasta que el “líder invisible” dé la orden, activando una programación latente que los obligue a llevar a cabo órdenes de destrucción contra objetivos públicos. Esto, que pareciera el argumento de una película hollywoodense, es una realidad que ya se encuentra entre nosotros, son las llamadas Botnets.

La palabra “Botnet” proviene de la unión de dos palabras del idioma americano: “Bot”, versión abreviada de la palabra Robot, y “Net”, que significa red. Por lo tanto, una Botnet es una red compuesta por robots. Computadores que han sido comprometidos por un código malicioso que ha sido instalado, y son todos controlados, como robots, por un hacker.

Estas redes controladas por hackers, constituyen la mayor amenaza actual en Internet!! Son la mayor amenaza debido a que pueden atacar coordinadamente cualquier dirección IP y hacerla colapsar con ataques distribuidos de negación de servicio (DDoS). Además, pueden servir para difundir correo spam, e incluso pueden ser usados como centros de distribución de malware. Una vez que son ejecutados, estos ataques pueden ser devastadores y ocasionar consecuencias traumáticas

Las Botnets son el arma favorita de los hackers, programadores de virus, e incluso de miembros del crimen organizado debido al poder que les otorgan. En su naturaleza son muy similares a un troyano en el sentido que se hacen pasar por programas válidos para que sean instalados en equipos víctimas, y pueden permitir que el atacante tenga absoluto control sobre el equipo. Y lo peor del caso, es que no es necesario tener un amplio conocimiento informático para poder desarrollar y controlar uno de estos “ejércitos”: con conocimientos rudimentarios y los kits disponibles en Internet, fácilmente se puede desarrollar su propia variante.

Historia de las Botnets

Inicialmente –como todo en la vida—las Botnets no fueron creadas para hacer ataques coordinados. El objetivo inicial de los Bots, como se conocían a principios de los años noventa, era el de preservar nombres de usuario favoritos en los canales de chat IRC: si mi nombre favorito era “ESA0101”, al finalizar mi sesión activaba mi Bot, el cual tomaría mi nombre y permanecería conectado al IRC, preservando mi nombre favorito y evitando que cualquier otro usuario pudiera tomarlo mientras yo permanecía desconectado. Sin embargo, aún en esta época se empezaban a evidenciar las posibilidades de los Bots para otros fines. Mientras usuarios utilizaban los Bots para preservar sus nombres de usuario, otros lo utilizaban para saturar los canales de chat, y así evitar que los usuarios pudieran conectarse…

Para el año 2000 los Bots ya eran mucho más sofisticados. “Trino”, “Shaft” y “Statcheldraft” eran herramientas usadas para crear ataques de DDoS en contra de hosts de IRC. Gran parte del código no era automático y requería constantes actualizaciones. Sin embargo, ya no se podía negar su efectividad: estas herramientas fueron utilizadas durante ese año para colapsar las páginas de Yahoo!, e-Bay, CNN y Amazon.com.

Para el año 2002 la automatización de los Bots fue alcanzada por medio de la integración con otros tipos de ataque, principalmente los gusanos y troyanos. Esta integración permitía que los Bots pudieran comprometer gran cantidad de computadores en un tiempo menor. Adicionalmente, se continuó usando IRC como medio de comunicación y coordinación de los ataques.

Actualmente, los Bots son amenazas múltiples, que combinan aspectos del spyware, spam, malware y DDoS, y son distribuidos por virus y gusanos. Miles de computadores pueden ser rápidamente infectados, formando redes de Bots (Botnets) que si no son detectados a tiempo, las consecuencias pueden ser devastadoras.

Un ataque en dos frentes

Las compañías deben estar alertas, ya que sus activos se ven amenazados en dos frentes: 1) los atacantes intentan tomar control de los computadores de la red para utilizarlos como parte de ataques coordinados (lo que representa una brecha en la integridad de la red); o 2) los activos de la organización pueden ser el objetivo de un ataque coordinado de DDoS. Es por ello que los responsables de la Seguridad de Información deben prepararse para ambos tipos de ataque. Y para poder prepararse, es necesario entender cómo funcionan.

En la mayoría de los casos, los Bots implantados se aprovechan de vulnerabilidades en los sistemas operativos para distribuirse. Incluso se han detectado casos donde el Bot aprovecha una vulnerabilidad en el sistema, se instala, y después aplica las actualizaciones necesarias para corregir dicha vulnerabilidad, para que el computador parezca que no es vulnerable al Bot. Una vez infectado, lo primero que debe hacer un computador es reportarse con el hacker creador


----------Funcionamiento de la Botnet----------

Debido a que los Bots utilizan IRC para comunicarse, generalmente se establece un enlace de comunicaciones TCP por el puerto 6667, el puerto IRC por defecto. Esta comunicación es necesaria ya que por esta vía el hacker ejecutará las instrucciones necesarias para llevar a cabo su ataque.

Cuando se ha establecido la comunicación con el hacker, el computador permanecerá inactivo hasta que el hacker ejecute las instrucciones necesarias. El resultado de estas instrucciones variará enormemente dependiendo del tipo de ataque que el hacker tenga en mente: pudiera ser un DDoS, haciendo peticiones legítimas contra un objetivo determinado, y eventualmente colapsándolo.

Como se ha mencionado, las Botnets pudieran ser utilizados como medio de distribución de malware, y se dice que son ideales para esta función, ya que permiten que un malware, tal como un virus, pueda ser distribuido simultáneamente por miles de equipos, dándole una ventana de acción muy corta a las compañías antivirus para liberar actualizaciones.

Finalmente, podría ser utilizado para distribuir correos SPAM y de phishing. Esto hace casi imposible la detección del atacante original, ya que el mismo no forma parte de la Botnet. Actualmente, más del 70% de todo el correo SPAM es originado por Botnets.

Debido a que nuevas Bots aparecen constantemente, se hace imposible mantenerse protegido de cada nueva variante, es por ello que la clave es mantener una protección preventiva, no sin olvidar las acciones estratégicas: se deben desarrollar e implantar políticas y procedimientos en la organización en referencia a la detección proactiva de vulnerabilidades, la administración de actualizaciones, uso apropiado de firewalls y VPNs y campañas de educación del usuario. Adicionalmente, se debe contar con un apropiado equipo de respuesta a incidentes, el cual pueda detectar que los equipos de la red han sido comprometidos y pueda devolverlos a un estado seguro.

huyyy que sorprendido he quedado, no tenia ni idea de este tipo de amenazas o por lo menos no crei que fueran reales