jueves, noviembre 01, 2007

El enemigo público número uno de la Internet




El gusano Storm (tormenta) ha infectado tantas máquinas que es ahora una de las más poderosas supercomputadoras.

Una nueva supercomputadora, vasta y poderosa, ha sido liberada. Con más de un millón de CPUs y un petabyte de RAM deja en ridículo a su mejor competidor, la BlueGene/L de IBM que contiene 128,000 núcleos de procesamiento y 32 terabytes de memoria. Y la nueva supercomputadora esta creciendo más cada día.
Hay solo un problema con eso. Esta cantidad de poder de cómputo no reposa en una universidad, o en IBM o en una agencia de gobierno. Es la red de bots de Storm, capaz de enviar cantidades ingentes de SPAM y virus alrededor del mundo, y de lanzar ataques devastadores en contra de investigadores de seguridad y cualquier otro que se le oponga.

Una botnet (contracción de robot net o red de robots) es una red de computadoras infectadas con software malicioso y que pueden ser controlados de manera remota por un solo individuo. Los estimados varían, pero los expertos de seguridad creen que el gusano Storm tiene controlados un número de PCs que varía entre 1 y 10 millones de PCs, listas para bailar a su son.

El tope en hardware

Peter Gutmann, un científico en computación en la Universidad de Auckland en Nueva Zelandia, hace notar que las supercomputadoras reales superan a la netbot de Storm usando medidas tradicionales de rendimiento. Pero “el lugar donde Storm deja en el polvo a las supercomputadoras personales es en el número de recursos de hardware disponible (número de CPUs, total de memoria, y ancho de banda)” según escribió Gutmann en un correo electrónico.

Estas conexiones de red, que se estiman en millones, son el recurso más valioso para los malhechores detrás de Storm. Los que controlan las redes de bots o los llamados “pastores de redes” venden sus servicios, para envío de spam o para dirigir ataques, en la Internet. A mayor número de PCs infectadas en una red, mayor capacidad para enviar SPAM o mayor tráfico de ataque DoS generado, y se puede generar más dinero.

¿Quién está detrás del gusano Storm? Nadie lo sabe de manera cierta. Investigadores de la firma de seguridad F-Secure, de Finlandia, creen que tienen razones para sospechar que los principales cerebros son rusos. Adentro del código ellos se refieren a su odiado enemigo, la firma de seguridad Kapersky Lab, de Moscú. Algunos de sus software usan la palabra blydoshka, que F-Secure cree se deriva de la palabra rusa buldoshka que significa bulldog

Defensa astuta

Quienquiera que esté controlando la masiva red de bots esta controlando su expansión y defensa con gran sofisticación. Cambian frecuentemente los mensajes de correo electrónico, que están muy bien diseñados, para engañar a los usuarios y lograr que instalen el virulento bot. Cuando se dio la alerta acerca de un último ataque de una falsa tarjeta de felicitación a finales del verano, se vio cómo Storm cambio en Septiembre a mensajes que promocionaban a Tor, una herramienta que permite la navegación de forma anónima. El correo electrónico falso promoviendo a Tor usaba imágenes y textos de la página real de Tor, pero cualquiera que siguiera el enlace, lo que hacia era instalar Storm en su PC.

Y una vez que tiene el control de una PC, Storm lucha por mantenerlo. De acuerdo a Paul Sop, CTO de Prolexic, que defienda a sus clientes comerciales de ataques en la Internet cómo los que lanza el gusano Storm, los investigadores de seguridad que investigan máquinas infectadas con Storm pueden esperar algún tipo de retaliación.

“La red de Storm tiene la habilidad de defenderse sola” explicó Sop. “Cuando empiezas a investigarla le avisa a otro segmento de la red para que realice ataques DoS contra ti” En un ataque DDoS, o Negación deservicio distribuido, un robot pastor le da instrucciones para que algunas PCs, o todas, las de la red, lancen un ataque de datos basura contra una víctima particular. Y a menudo ese ataque es suficiente para colapsar un sitio Web o para destruir la conexión de Internet de un investigador.

Defensa única

Storm es la única botnet que Sop conoce con este tipo de auto defensa. Es más, es tramposa en la forma cómo ejecuta esta defensa. No lanza el ataque desde las mismas máquinas infectadas, ni siquiera desde algunas con direcciones IP cercanas, ya que esto haría muy aparente la causa del ataque. En lugar de eso transmite la dirección del investigador a otra parte de la red de máquinas infectadas para que los ataques parezcan provenir de otros lugares.

El gusano Storm se ha vuelto omnipresente, es incluso una estrella en YouTube, donde un video de F-Secure que muestra cómo el gusano se ha expandido por todo el mundo, ha sido visto más de 850.000 veces (Revisen los comentarios donde encontrara algunas opiniones de personas que están convencidos que el gusano fue creado por fuerzas extraterrestres.

Para ayudarlo a asegurarse deque no será el próximo diente del engranaje de Storm use un buen programa antivirus, y mantenga sus aplicaciones actualizadas. El gusano Storm y otros programas maliciosos se aprovechan de agujeros de seguridad conocidos en aplicaciones antiguas como Internet Explorer, FireFox, Quicktime e incluso WinZip para infectar alas PCs.

Además sea precavido con los correos electrónicos no solicitados, incluso si parecen provenir de alguien que conoce. Y finalmente, para ayudar a determinar si su computadora ya ha alcanzado el rango de muerto viviente, vea "Identificación apropiada de una PC Zombi"

No hay comentarios: