Botnet
De Wikipedia, la enciclopedia libre
Botnet es un término que hace referencia a una colección de software robots, o bots, que se ejecutan de manera autónoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores). El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC. Sus fines normalmente son poco éticos.
Tabla de contenidos |
[editar] Cómo se crea una botnet
Normalmente se utilizan lenguajes Orientados a Objetos para construir estas botnet ya que resultan mucho más cómodos.
Para la plataforma Windows, es fácil que las personas se bajen programas desde Internet sin saber exactamente qué es lo que hace el programa. Por ejemplo: en lugar de pagar una licencia de 19$ por la versión oficial, se bajan otra versión alternativa que promete la misma funcionalidad o bien un crack que ocupa más de la cuenta. Este software contiene un bot, una vez el programa se ejecuta, puede escanear su red de área local, disco duro, puede intentar propagarse usando vulnerabilidades conocidas de windows, etc.
En otros entornos más serios (que son capaces de manejar una mayor carga computacional: a nivel de servidor, cluster, etc donde la seguridad suele ser más estricta a la hora de instalar programas) como UNIX, GNU/Linux o BSD la forma más clásica de ataque a servidores para construir y expandir una Botnet es por telnet o SSH (puertos 23 y 22 respectivamente) por medio del sistema prueba-error: probando usuarios comunes y contraseñas al azar contra todas las IPs que se pueda de forma sistemática o bien mediante ataques a bugs muy conocidos dado que los administradores descuidados dejan sin parchear o corregir vulnerabilidades en sus servidores causando un gran perjuicio para ellos (consumo de ancho de banda, tiempo de CPU, pérdida de prestigio, repercusiones legales...) y para el resto de internet (spam, DDoS...).
- El operador de la botnet manda virus/gusanos/etc a los usuarios.
- Los PCs entran en el IRC o se usa otro medio de comunicación.
- El Spammer le compra acceso al operador de la Botnet.
- El Spammer manda instrucciones vía un servidor de IRC u otro canal a los PCs infectados...
- ... causando que éstos envíen Spam al los servidores de correo.
[editar] Medidas preventivas para evitar que te usen como parte de una Botnet
En plataformas Windows usando un firewall, un antivirus, instalando programas que sólo provengan de fuentes fiables, evitando abrir ejecutables enviados por email, no permitiendo la ejecución desde internet de contenidos Active X y manténiendose al día con las actualizaciones.
Un bot NET es un programa que crea archivos de ayuda automaticamente para el sistema.
En plataformas GNU/Linux, UNIX, BSD y similares basta con mantener actualizado el sistema y que los usuarios elijan contraseñas robustas. Otras soluciones mejores pasan por usar un sistema de llave pública/llave privada para las autenticaciones y usar firewalls o cerrar servicios no utilizados (como el SSH) y en caso que resulte necesario tenerlos abiertos, cambiar el puerto estándar de la aplicación, demonio o servicio. Desde luego no resulta nunca recomendable el uso de telnet ya que las contraseñas viajan si cifrar y ya ha sido sustituido por el nuevo protocolo OpenSSH.
[editar] Cómo saber si estás formando parte de una Botnet
Usando el comando netstat -an para ver las conexiones entrantes, examinando el tráfico y comprobando tu sistema, en caso que internet te vaya lento o algún síntoma similar debes saber que puedes estar formando parte de una botnet, en este caso, pasa un antivirus o reinstala tu sistema.
[editar] Para qué suelen usar una Botnet
Para enviar spam a direcciones de correo electrónico (por ello los ISPs nos dan IPs dinámicas que dificultan algo más la tarea de la Botnet y así las listas negras contienen los rangos de ip's dinámicas de todos los ISP del mundo ya que para enviar un correo electrónico un usuario se conecta a un servidor (MTA) por medio de un demonio o servicio que implementa el protocolo SMTP y no lo envía conectando directamente contra el servidor de destino. Más información en Spam)
Para la descarga de materiales que ocupan gran espacio y consumen gran ancho de banda: Es decir, también se utilizan estas Botnets como mirrors de archivos grandes, normalmente de contenido ilegal.
Para relizar ataques de tipo D.D.O.S. (Distributed D.O.S.: Denial Of Service).
Normalmente los creadores de estas Botnets venden sus servicios a los Spammers.
[editar] Qué hacer si estás bajo el ataque de una Botnet
Hay pocas opciones ya que si se recibe un ataque de tipo DDOS desde una Botnet, dada la dispersión geográfica de los ordenadores que la componen es casi imposible encontrar un patrón de las máquinas que te están atacando y dado el alto número de ellas que lo estarán haciendo al tiempo no se puede contemplar el filtrado de paquetes como una solución real que funcione, no obstante ayuda a mitigar el problema haciendo un escaneo pasivo de los paquetes para reconfigurar y adapatar el firewall
Las Botnets normalmente usan servicios gratuitos de DNS para IP's dinámicas como DynDns.org, No-IP.com, & Afraid.org para apuntar a un subdominio al cual el creador puede conectarse en caso que le cierren el servidor de IRC, en muchas ocasiones basta con avisar a estos proveedores para que cancelen su cuenta y de esta manera desarticular la Botnet completa.
Afortunadamente la estructura de servidores de la botnet tiene vulnerabilidades inherentes a su arquitectura. Por ejemplo si se encuentra el servidor de IRC y el canal, se tiene acceso a la botnet completa, con lo cual al servidor de IRC le basta con cerrar el canal o poner una g-line o k-line a las ips que intenten entrar a dicho canal.
No obstante existen construcciones más refinadas de estas botnets que tienen una lista de servidores alternativos en caso que pase esto.
[editar] Véase también
[editar] Enlaces externos
[editar] En inglés
- http://www.netfilter.org NetFilter - Página de iptables. El firewall por excelencia de GNU/Linux
- http://www.honeynet.org/papers/bots/ - German honeynet research paper
