Tecnológico de Costa Rica.
Escuela de Ingeniería en Producción Industrial.
Curso: PI 3403 Sistemas de Información.
Caso Ejércitos de Robots y Zombies de red.
Profesor: Dr. Jaime Solano Soto.
Alumna: Andrea Masís Coto.
Carné: 200841062
Grupo: 01
Semestre II
Año: 2010
Preguntas del caso de estudio.
1. ¿Cuál es el impacto de las botnets en las empresas?
Los botnets en las empresas tienen un impacto grave, pueden experimentar problemas tales como que los clientes no puedan ingresar a su sitio web, lo que genera pérdidas de dinero, debido a que su sitio web queda inhabilitado. Los creadores del bot pueden tener acceso a las computadoras infectadas para envíos no deseados y provocarle daños. Se pueden recibir solicitudes ficticias por un ejército de zombies. Todo esto puede ser utilizado para generar pérdidas de dinero y afectar a las empresas, ya sea porque alguien decidió hacerlo sin razón aparente o por una acción de otra empresa que esté compitiendo y recurra a este tipo de acciones.
2. ¿Qué factores de administración, organización y tecnología deben abordarse en un plan para prevenir ataques de botnets?
Para no tener daños graves o disminuir la magnitud de los daños se debe tener una estrategia antes de que se dé un ataque de robots. Como ejemplo de las medidas necesarias para enfrentar un ataque se tiene el caso de Akamai Technologies, pues al recibir un ataque tuvo una manera de responder que permitió disminuir el impacto, esta empresa contaba con un Centro de Mando de Operaciones de Red que detectó el incremento de tráfico en los servidores DNS, esta empresa contaba con un equipo de auxilio (Sombrero Blanco) el que empezó a dar respuesta a la situación. Se identificó qué y quienes estaban siendo atacados, luego se dividió en subgrupos que realizaron funciones como capturar las solicitudes, descodificar patrones, crear perfil de ataque y brindo recomendaciones. Otro grupo informó a las autoridades judiciales proveedores de internet quienes brindaron orientación y ayuda. También se midió el impacto a clientes y se implementó una aplicación para identificar paquetes falsos. Por lo tanto los factores más importantes que se tienen para prevenir un ataque es contar con una estrategia, tecnología que permita identificar botnets, personal calificado para enfrentar el problema, solicitar ayuda a las autoridades, entre otros.
3. ¿Qué tan sencillo sería para una pequeña empresa combatir ataques de botnets? ¿Para una empresa grande?
Para una empresa pequeña no es tan sencillo enfrentar ataques de botnets, ya que son necesarios factores y tecnologías que una empresa pequeña no puede adquirir, porque no tiene el poder de administración y organización, ni los recursos económicos necesarios para enfrentar dichos ataques. Por lo tanto no es sencillo para una empresa pequeña enfrentar botnets, por el contrario podría ser una tarea muy difícil y como consecuencia se le causarían graves daños a la empresa. Para una empresa grande es sencillo responder a un ataque de este tipo pues cuenta con todos los recursos necesarios o podría adquirirlos sin mayores problemas.
MIS en acción.
1. ¿Qué son las botnets y cómo funcionan?
Un botnets se define según Romano, M, Rosignoli, S, Giannini, E. (2005) como:
“La palabra bot es una abreviatura de la palabra robot. Los robots (programas automatizados...) son utilizados con frecuencia en el mundo de Internet. Las arañas utilizan los motores de búsqueda a los sitios web de mapas y software para responder a las solicitudes en el IRC (como el eggdrop) son robots. Programas que respondan de manera autónoma a determinados eventos externos son robots, también.”
Los autores Romano, M, Rosignoli, S, Giannini, E. (2005) describen un tipo de robot que es el bot de IRC, el mismo utiliza redes de IRC, es su canal para comunicarse para recibir comandos de un usuario, que es un atacante, el bot es un caballo de Troya. IRC significa Internet Relay Chat es un protocolo de red abierta para chat, que se basa en arquitectura cliente-servidor. Los IRC bots son procesos que pueden ejecutar operaciones automatizadas, el control de estos robots se basa en el envío de comandos a un canal de configuración de parte del atacante infestado de robots. Pueden propagarse a otros equipos. Un grupo de robots en espera de comandos en un solo canal se denomina botnet.
2. ¿Qué características ofrecen las botnets más populares?
En el artículo de Romano, M, Rosignoli, S, Giannini, E. (2005) llamado Robot Wars – How Botnets Work se describen los siguientes botnets los cuales son los más populares:
“GT-Bot
Todos los GT (Global Threat) contra los robots se basan en un popular cliente de IRC para Windows llamado mIRC. El núcleo de estos robots está formado por un conjunto de scripts de mIRC, que se utilizan para controlar la actividad del sistema remoto. Este tipo de bot lanza una instancia del cliente mejorada con scripts de control y utiliza una segunda aplicación, por lo general HideWindow, para mIRC invisible para el usuario de la computadora host. Un archivo DLL adicional añade nuevas funciones a mIRC para que las secuencias de comandos para poder influir en diversos aspectos de la maquina controlada.
Agobot
Agobot es probablemente uno de los robots más populares usados por los crackers. Está escrito en C + + y liberado con una licencia GPL. Lo interesante de Agobot es su código fuente. Altamente modular, que hace que sea fácil añadir nuevas funciones. Agobot proporciona muchos mecanismos para ocultar su presencia en el equipo host. Estos incluyen: NTFS Alternate Data Stream, Killer-virus y el motor de encryptor polimórfica. Agobot ofrece husmeando el tráfico y la funcionalidad de clasificación. Protocolos distintos de IRC también se puede utilizar para controlar este robot.
DSNX
El Dataspy Red bot X también está escrito en C + + y su código fuente está también disponible en una licencia GPL. Añadir nuevas funciones a este robot es muy fácil gracias a su sencilla arquitectura plug-in.
SDBot
SDBot está escrito en C y también está disponible con una licencia GPL. A diferencia de Agobot, su código no está muy claro y el propio software viene con un conjunto limitado de funciones. No obstante, sigue siendo muy popular y está disponible en diferentes variantes.”
3. ¿Cómo infecta y controla un robot a una computadora host?
Para los autores Romano, M, Rosignoli, S, Giannini, E. (2005) cuando se da un ataque, primero se propaga un troyano el que se encarga de infectar a varios hosts, estos hosts se convierten en zombis y prosiguen a conectarse al servidor IRC con el fin de escuchar comandos. El servidor IRC podría ser un equipo público en una red IRC o un servidor en uno de los equipos comprometidos. Un bot en una computadora comprometida forma una botnet. La actividad del atacante se puede dividir en creación, configuración, infección y control. La infección consiste en técnicas para la difusión de bots, las hay directas e indirectas, las directas utilizan las vulnerabilidades del sistema operativo mientras que las indirectas emplean otro software. Las técnicas directas se automatizan con gusanos, todos buscan sub redes para sistemas vulnerables así inyectan el código, luego continua el proceso de infección. El control inicia una vez que el bot está instalado en el hosts de destino en un directorio seleccionado, el bot se conecta a un servidor IRC y se une al canal de control, ya puede recibir comandos de la aplicación.
4. ¿Cómo se puede prevenir un ataque de robots?
La manera para prevenir un ataque de los robots consiste para Romano, M, Rosignoli, S, Giannini, E. (2005) en actualizar el sistema frecuentemente, descargar parches tanto para el sistema operativo como para las aplicaciones que utilizan Internet. No se deben de abrir archivos adjuntos de correos electrónicos sospechosos. Se debería de desactivar el soporte para los lenguajes como ActiveX y JavaScript. Es indispensable el uso y actualización de antivirus, antitrojan. A pesar de esto los robots pueden evadir los antivirus, por lo tanto se recomienda un servidor de seguridad personal. Para tener la posibilidad de detectar conexiones sospechosas es Netstat. Los administradores tienen la responsabilidad de actualizar su información a cerca de las más recientes vulnerabilidades, deben de establecer políticas de seguridad y privacidad. Se requiere poner atención en los registros que provienen de IDS, así como los producidos por el sistema de Firewall, servidores de correo, DHCP y servidores Proxy, esto permite encontrar el tráfico anormal lo cual sugiere al presencia de bots, cuando se identifica el trafico anormales puede identificar la subred con un sniffer. Otra herramienta de apoyo para combatir los botnets son los Honeybots máquinas que se infectan y de esta manera el administrador encuentra el problema y lo analiza.
Bibliografía.
Romano, M, Rosignoli, S, Giannini, E. (2005). Robot Wars - How Botnets Work. Hakin 9. Consultado en 08, 23,2010 en http://www.windowsecurity.com/articles/Robot-Wars-How-Botnets-Work.html.
10
ResponderEliminar