Mostrando entradas con la etiqueta BotNets y Pseudo Hackers. Mostrar todas las entradas
Mostrando entradas con la etiqueta BotNets y Pseudo Hackers. Mostrar todas las entradas

domingo, 24 de octubre de 2010

Las Guerras Informaticas Secretas en Internet.

En el ciberespacio hay una guerra secreta desatada entre los expertos en seguridad informática y los Pseudo Hackers, que son una versión criminal del Hacker dedicada a hacer dinero valiéndose suciamente de los trucos informáticos desarrollados por el mundo Hacker. Según Lee Wenke, un profesor de la Universidad de Georgia Tech de Informática, los Pseudo Hacker (PSHacker=ciberdelincuentes que usan las técnica y conocimientos Hackers) tienen ahora a su alcance potentes Kid de BotNets capaces de liberar grandes cantidades de virus, gusanos y troyanos de sofisticadas formas en miles de Computadoras.

Por un lado el número de virus, gusanos y troyanos creados por mentes criminales sigue aumentando a un ritmo imparable día tras día, y la herramientas tradicionales de seguridad que existen para combatirlos, como por ejemplo los antivirus basados en firmas que detectan características en virus se vuelven ineficaces.

El asunto es tan grave como que los investigadores de seguridad Informática están descubriendo diariamente cerca de 100.000 nuevos ejemplares de virus, y como es lógico el tiempo y los recursos que son necesarios para realizar un profundo análisis de cada virus que se detecta, llega a ser abrumador. Prácticamente no tienen casi tiempo de crear un antídoto que desactive un virus, que a los pocos minutos ya tienen que estudiar y preparar otro antídoto para un nuevo virus. Es una guerra silenciosa que el usuario de un PC nunca llega a ver, y que se desarrolla en internet.

Según un estudio de  la firma de seguridad McAfee, los primeros seis meses de este año 2010 han sido los peores de toda la historia de internet por ser los mas activos en ataques debido al numero total de aparición de virus, gusanos y troyanos en la red.

La defensa es muy desigual. Actualmente las empresa Antivirus usan tecnologías de análisis automatizados de virus en internet. Estas tecnologías de detección y captación de nuevos ataques de virus tienen como propósito mantener actualizado el tiempo de respuesta entre el ataque y la defensa. Pero con semejante volumen de ataques informáticos lanzados por los Pseudo Hackers, es muy difícil lograr que los expertos en seguridad vayan por delante de los Pseudo Hackers.

De acuerdo con el Doctor Lee, los sistemas que emplean las empresas de análisis de antivirus que deben investigar cada una de las nuevas amenazas que aparecen en Internet carecen de la precisión necesaria para poder descifrar muchas veces el contenido que se oculta dentro de un nuevo virus. Algunos de estos virus ocultan su codigo con un cifrado, que a su vez esta comprimido, encriptado y ofuscado a propósito por los Hackers, con la idea de retrasar el acceso de los investigadores informáticos al codigo fuente del virus examinado.


El panorama es bastante desalentador. Las temibles BotNets ahora son granjas de Computadores Zombies a la espera de una sola orden. Una BotNet es una colección de millones de Ordenadores infectados por un software (un Troyano que el usuario se descarga sin saberlo en cualquier lugar) y están dirigidas por un solo Pseudo Hacker que puede ofrecer el servicio de ataque masivo al mejor postor.

Las BotNets pueden ser contratadas y alquiladas en internet con cualquier propósito que el cliente desee para que ejecuten ataques de forma automática contra cualquier objetivo. Ahora con un solo clic un Hacker es capaz poner en peligro a un gran número de máquinas remotas alrededor del planeta, y comenzar cualquier tipo de ataque y lograr que una red, o un sitio web se derrumbe.

Los ataques de BotNet generalmente están orientados a desarrollar actividades maliciosas muy precisas que puede incluir desde la difusión de spam, robo de contraseñas de inicio de sesión, robo de información personal bancaria, a la difusión masiva de virus, gusanos y troyanos a cualquier red de Computadores.

Symantec informó en este Agosto pasado que el mayor porcentaje de trafico de spam proviene de redes BotNet y ha aumentado en un 95 por ciento el trafico de spam.


Mientras tanto, las expectativas de combate siguen un pronostico bastante pesimista en relación a quien esta ganando la batalla de la seguridad informática en Internet ya que la firma MAD Partners, LLC estima que actualmente hay más de 100 millones de computadoras que están infectadas con algún Troyano y que forman parte sin saberlo de alguna red criminal dirigida por un grupo de Pseudo Hackers en internet.

Cuando se trata de comprender las redes BotNets y cual es su propósito, la primera evidencia que debemos considerar es que sus ataques están aumentando de forma cada vez mas exponencial, incluso los ataques son lanzados contra cualquier Gobierno incluido el de los Estados Unidos, comento Symantec.

Hay también informes de Agosto de este mismo año donde se comenta que  tanto los Gobiernos de los países del mundo como el Sector Publico (Empresas privadas) son ahora el principal objetivo de estos ataques BotNets, y por consiguiente deberían de ser los primeros en tomar medidas eficaces con los que localizar, informar, y combatir los Virus y los correos con virus que circulan por sus redes. Según parece  uno de cada 74,6 mensajes de correo electrónico se bloquean en algún punto de la red de internet por contener algún virus.

Por desgracia una de las tendencias actuales de las BotNets son los ataques a escala planetaria. Gracias a la estructura de Internet y a la forma como se conecta y organiza la gran red alrededor del mundo, las BotNets tienen actualmente descomunal capacidad para dispersar y ocultar virus, gusanos y troyanos muy específicos por todas las redes y por millones de Computadores en cuestión de horas.

Por ejemplo, ahora un Psudo Hacker provisto de un software de BotNet puede convertirse en un tipo tremendamente poderoso y a la vez que rico. Con una enorme red de ordenadores Zombie, puede lanzar ataques contratados y dirigidos contra una organización específica o incluso contra la red de internet de un País De esta manera, el propósito del ataque es mucho más difícil de comprender desde alguna justificación, ya que no es una reivindicacion por alguna causa como la libertad de expresión, o por una causa anti monopolio del software, sino que hay un interés económico

A principios de este año, yo comente en un articulo como empresas como Google, Adobe y algunas mas del sector comercial fueron atacadas por el virus BotNet conocido como Aurora. Algunos comentaron jocosamente que parecía un anuncio de Compresas; vale, de acuerdo. El tipo que hizo la desafortunada comparación olvido que su propio ordenador podría estar trabajando sin que él se diera cuenta para una de estas BotNets. Riete ahora.

Según Gunter Ollman, vicepresidente de investigación de Damballa, "El ataque de la BotNet Aurora fue dirigido contra las grandes empresas internacionales con el objetivo de infiltrar la red, robar secretos comerciales y  modificar datos críticos del sistema”.

Las cuestión no es para tomársela a broma comparando virus con compresas solo porque sus nombres suenan de forma semejante. Ahora vas a cualquier pagina y te bajas una película de vídeo, por ejemplo una película TS-Scriner de estreno grabada en Rusia. Como se trata de una película que todo el mundo quiere ver, algún Pseudo Hacker mete un Troyano que contiene el virus para que tu PC se convierta en un Ordenador Zombie. Si la película se la bajan miles de personas, que a su vez la suben a otros sitios, la infección se extiende de forma ascendente.

Con este simple recurso, un Pseudo Hacker tiene en pocas horas y de forma fácil una red de ordenadores Zombie a su servicio. Las actuales BotNets son sofisticadas maquinarias de hacer dinero que no sólo se usan para apropiarse de los datos presentes en las computadoras de las víctimas o poner en peligro las redes de negocios que encuentran a su paso, sino que también se han convertido en la columna vertebral de un ecosistema muy delictivo. Teniendo en cuenta el poder del alcance de los Pseudo Hackers y los métodos de rentabilizaron de las redes BotNets que usan, todos estamos en peligro", dijo Ollman.

Hay que considerar que este nuevo concepto de crear y usar BotNets cobrando por alquilar el servicio como fuerza de ataque contra cualquier objetivo es un nuevo negocio que esta mas allá de la simple comprensión normal de un usuario y entra en el terreno del terrorismo ya que es un fenómeno a escala planetaria.

Por otra parte la creación de virus, gusanos y troyanos extremadamente sofisticados no están diseñados y escritos por un vulgar programador Hacker.  Son programas de virus escritos exclusivamente por profesionales de la programación que trabajan a su vez por encargo para grupos criminales que actúan en el ámbito de la delincuencia organizada. Ese es el nuevo ciberecosistema que esta emergiendo.

Ahora el nuevo negocio consiste en programa un virus BotNet, crear un kid, y ponerlo a la venta en una web de internet accesible a cualquier Pseudo Hacker interesado. De este modo cualquiera que este dispuesto a pagar el precio tendrá la posibilidad de crear una granja de BotNets y lanzar ataques masivo mediante millones de Ordenares Zombie, con lo que el concepto de simple ataque Hacker deja de tener su estricto sentido, y pasa a ser un concepto mucho mas amplio de terrorismo en el ciberespacio.

Tu puedes cuestionar todo cuanto escribo en este articulo, o argumentar todas las opiniones que deseas, pero la realidad es por el momento esta. Del mismo modo que se venden en internet los Kid para clonar tarjetas de crédito, o duplicar los datos, ahora también se venden los Kid de construcción de Redes BotNets. El peligro esta precisamente en la puerta del vecino de enfrente. Recientemente, un par de tipos fueron detenidos Por la Guardia Civil en Galicia por haber organizado una enorme BotNet, que a su vez era  uno de estos peligrosos Kids.

No olvidemos que en internet puedes comprar cualquier cosa y los Kid para crear tus propios virus son artículos que están al alcance de cualquier analfabeto que quiera diseñar fácilmente virus, gusanos y troyanos sigilosos provistos de sofisticados mecanismos de lucha contra la detección de los antivirus. Como ya he comentado, actualmente la mayoría de virus, gusanos y troyanos están cubiertos internamente de una serie de protecciones maliciosas, que incluyen sistemas que confunden a los Antivirus y le hacen creer que son ejecutables  de software original.

Lo preocupante es lo que afirman las propios expertos en seguridad informática Algunos de virus, gusanos y troyanos ya no son detectables por las tecnologías de seguridad tradicionales. El año pasado el brote del virus Waledac es un claro ejemplo de una BotNet que permanecía indetectable ante la mayoría de los Antivirus. En un experimento realizado por la GTISC, se tomaron dos muestras del virus Waledac que arrojaron tasas de detección muy diferentes ante un escaneo  de seguridad. De un análisis llevado a cabo por 38 antivirus de un total de 39, sólo 11 Antivirus detectó al virus Waledac, lo que demuestra la eficacia del poder de camuflaje y auto-actualización de algunos nuevos Virus.


Una forma de luchar contra la explosión de ejemplares de virus, gusanos y troyanos, es a través de la utilización de un sistema transparente escalable, (es decir, los atacantes no podrán detectarlo) y el sistema de análisis automatizado puede obtener inteligencia de cualquier acción que realice el virus, y aprovechar la inteligencia de manera significativa.

La GTISC ha desarrollado un sistema, llamado mtrace. Precisamente la información de mtrace se utilizó para ayudar a capturar un enorme BotNet, dedicada a robar datos confidenciales llamada Mariposa BotNet, que se descubrió en la primavera del 2009.

En su primer apogeo, Mariposa BotNet logro controlar a más de un millón de Ordenadores sin que sus usuarios se dieran cuenta, incluidos la mitad de los miembros de la lista de los ricos mas ricos del mundo, Fortune 1000.

La GTISC formaron un grupo de trabajo internacional  para combatir Mariposa BotNet, compuesto por los principales proveedores de seguridad y los  organismos oficiales incluyendo el FBI. En enero de 2010, se consiguieron cerrar todos los dominios de comando y control de la BotNet Mariposa y sus operadores fueron detenidos. En el momento de la detención, tenían en su poder 800.000 credenciales financieras (Datos bancarios), que fueron localizados en uno de los equipos del Pseudo Hacker (el operador de la BotNet), todos robados usando la BotNet Mariposa.

Otro ejemplo de como los Pseudo Hacker usan el  ciberespacio las BotNet con propósitos criminales es lo que ocurrió recientemente con una de las grandes redes BotNet conocida como Kraken, que era usada para enviar correo no deseado a miles de ordenadores por minuto. El BotNet Kraken, que estaba compuesto por cerca de 650.000 ordenadores infectados, entre ellos 10 por ciento eran de la lista Fortune 500, reapareció un año después de ser neutralizada, gracias a Bootstrap, otro BotNet, que actuó como una  plataforma de instalación masiva de miles de virus que transportaban el programa Zombie.

Este ejemplo ilustra que los Pseudo Hackers realmente son muy eficientes en sus ataques y saben hacer una inteligente reutilización de codigo fuente de los virus que construyen. Los virus que usan los reutilizan y los convierten  en codigo cada vez más sofisticados, simplemente valorando los fallos que han tenido y reflexionando sobre como mejorar la experiencia ganada.


Pero la batalla va mas allá de lo imaginable. Dentro del mundo del underground los Pseudo Hackers intercambian y comparten los métodos y cocimientos obtenidos con  los virus, gusanos y troyanos y los ataques. Esto les permite  ser realmente una fuerza oculta muy eficiente, ya que pueden reescribir de forma mucho mas inteligente sus códigos de virus con los que posteriormente hacer más dinero con la venta de es código malicioso. A su vez, este intercambio de información entre cerebros criminales compromete sistemas y servicios de forma mucho mas especializada durante sus ataques.

Los expertos descubrieron por segunda vez la aparición de Kraken través de la inteligencia obtenida con mtrace. Esto demuestra una estrategia de combate nunca vista el el mundo de la informática, solo comparable a la ciber guerra, ya que los Pseudo Hackers se retiran, perfeccionan sus ramas y regresan con un nuevo ataque y la venganza en las manos. Además en un posterior ataque  Kraken demostró una persistencia excepcional, ya que los operadores Kraken habían empleado técnicas de resistencia a muchos sistemas de detección incluyendo la posibilidad de cambiar continuamente su nombre de dominio y los proveedores de alojamiento.

La informática en manos de los Pseudo Hackers en Internet esta alcanzando una dimensión casi delirante. Las nuevas amenazas son tan extravagantes como por ejemplo el secuestro completo y el bloqueo de una red durante un periodo de tiempo concreto a cambio de un pago de un rescate. El uso del derrumbamiento de una red, y un posterior pago a cambio de protección por no sufrir ataques solo es comparable a los gangsters de Al Capone. La amenaza de robar datos, de invadir sistemas y usarlos en combinación con la propaganda sucia que derrumba la reputación de una persona, son otras de las nuevas aplicaciones de este tipo de informática sucia.

Entre el 20-25 por ciento de los sistemas informáticos tienen instalados sin que se den cuenta algún tipo de software residente en estado durmiente capaz de comprometer con una simple orden todo el funcionamiento del sistema. Pero lo mas preocupante es no saber en  manos de quien están estos programas invisibles residentes. No sabemos quienes son los que tienen bajo su control estos sistemas, solo sabemos que no son unos aficionados.

Pero por si todo lo comentado es poco esperanzador, hay que añadir que la difusión de la idea de que las redes BotNets son un negocio muy rentable,  esto está constantemente atrayendo a nuevos Pseudo Hackers (ciberdelincuentes) al mundo de la informática sucia y siniestra en busca de hacer dinero rápido y fácil 
Paralelamente a la cada vez mayor sofisticación, Jon Ramsey, CTO de SecureWorks comenta que estamos observando una tendencia de "regreso a lo básico" hacia  la reutilización de los métodos de ataque simplificados, como correos electrónicos con trampa, la ingeniería social que contienen enlaces maliciosos, etc. Estos han sido muy recientemente los vectores iniciales de la infección mas reciente conocida como "Aquí tienes" anuncio masivo publicitario que propago un gusano que afectó a las empresas  y las agencias del gobierno del EE.UU, por muchos servidores de correo.

Paul Judge, jefe de investigación de Barracuda Networks, dice, "El 'aquí tienes' era un gusano de correo electrónico, simple en su naturaleza, pero lo suficientemente diferente como para convencer a muchos usuarios que se descargaran y ejecutar la carga útil de ese gusano. Como ya he explicado en el libro “Ciberpuetadores en Internet” los correos electrónicos que ofrecen algún tipo de archivo, que parece provenir de amigos y personas de confianza son la principal baza que explotan los atacantes para convertir tu PC en una chatarra. 

Recientemente una amigo, Julian, recibió un Powerpoint de un amigo suyo. Al abrirlo apenas tuvo tiempo de ver nada de su contenido porque medio minuto después el PC se apago con un pantallazo en negro, que le dejo perplejo. Después intento arrancar el PC, pero el PC no arrancaba y la pantalla quedo en negro. Este simple ataque de Powerpoint podría haber sido fácilmente un virus utilizado para algo más que mostrar las típicas animaciones ingenuas, ya que el resultado final fue el reformateo completo de todo el disco duro.

http://www.documentalonline.com/tecnologia/ciberguerrila-hackers-piratas-y-guerras-secretas

LinkWithin

Related Posts Plugin for WordPress, Blogger...