09/12/2009

La raíz de la epidemia botnet

En el trascurso de unos pocos días durante el mes de febrero de 2000, un solitario hacker fue capaz de hacer que algunos de los sitios Web más grandes se rindieran, usando tan sólo unas pocas docenas de máquinas y un software relativamente primitivo para paralizar Yahoo, eBay, E*trade, Amazon, ZDnet y otros durante horas al mismo tiempo. Nadie lo sabía en ese momento, pero estos ataques llegarían a ser vistos años después como uno de los primeros brotes de lo que se ha convertido en una pandemia masiva en línea.

Los ataques por sí mismos no fueron nada elaborados. El hacker, que más tarde sería identificado como un niño de 15 años de Montreal, llamado Michael Calce, utilizó una herramienta DDoS llamada Mstream para instruir a un pequeño ejército de máquinas que había comprometido previamente para mandar grandes cantidades de datos no deseados a servidores de Web remotos que tenía como objetivos. Pero la técnica fue brutalmente efectiva: Yahoo, que en ese entonces era el proveedor de búsqueda y el sitio de portal dominante, fue paralizado alrededor de dos horas después de recibir más de un gigabit de datos por segundo de los bots de Calce.

CNN, Zdnet, Dell.com, eBay y otros sitios experimentaron fallas similares, cada uno con un nivel variable de éxito. La especulación inicial en la comunidad de seguridad y aplicación de la ley se centró en hackers sofisticados, tal vez un grupo extranjero tratando de comprobar alguna opinión acerca del capitalismo americano, o un servicio de inteligencia extranjero probando las redes del país en busca de puntos vulnerables.

En vez de eso, las autoridades de E.U. y Canadá eventualmente rastrearon los ataques llegando a Calce, un estudiante de preparatoria que utilizó Mafiaboy y que había obtenido el programa DDoS de un conocido en línea. Calce presumía acerca de los ataques en el canal IRC, y las autoridades descubrieron más tarde que necesitó menos de 80 PCs comprometidas, muchas de ellas en redes de la universidad, para paralizar algunos de los sitios de Internet más ocupados.

El editor de Threatpost, Dennis Fisher, habla acerca de las raíces del problema botnet y de cómo evolucionó en amenazas más grandes en la Web.

Estos ataques fueron vistos como una novedad, como un tipo de ejercicio interesante que señalaba las debilidades de la seguridad de los sitios y que servía como una llamada de alerta menor para los dueños de sitios acerca de los peligros al hacer negocios en línea. El término botnet no había ganado fuerza, y pocas personas, aún dentro de la comunidad de investigación sobre seguridad, tenían concepto alguno de que estas redes de máquinas comprometidas se convertirían en la amenaza de seguridad más grande de la década.


Ahora, casi 10 años después de aquellos ataques, los botnets no son sólo armas de disrupción masiva para hackivistas y para script kiddies (hackers novatos) sino que sirven como cimientos para el ciber-crimen mundial ilegal y son el corazón de un aumento masivo de malware en años recientes así como la ola de ataques de inyecciones SQL en contra de sitios Web legítimos.


“Es un gran, gran problema y es uno que tiene muchos componentes distintos,” dice Joe Stewart, investigador de seguridad senior en SecureWorks, y una autoridad en botnets y crimen en línea. “Hay muchas más cosas sucediendo además de sólo inyecciones SQL y ataques DDoS que la gente simplemente no sabe.”

¿Cómo se llegó a ésto?

No hay números definitivos acerca de qué tan grande es el problema botnet, pero los expertos dicen que el número de PCs infectadas es de decenas de millones en cualquier momento dado. Muchas de esas máquinas pertenecen a usuarios en el hogar con conexiones de banda ancha relativamente rápidas y poco o ningún conocimiento acerca de las amenazas de seguridad al acecho en la Web. Estas PCs son presa fácil para los atacantes. Pero éste no fue siempre el caso.

En los primeros días del problema botnet, los atacantes se dirigían a PCs dentro de redes corporativas o universitarias, las cuales tenían conexiones de alta velocidad y poderosas máquinas que los hackers necesitaban para los ataques DDoS. Las universidades, por necesidad, también tenían redes abiertas que ofrecían a los hackers más maneras de entrar y les daban avenidas fáciles para escaladas de privilegio y la habilidad de saltar de una máquina a la siguiente, plantando software de ataque a cada paso del camino.


Jose Nazario “Red Hat [Linux] era el sabor del mes en ese entonces. Tenías todos estos códigos que podías utilizar para meterte en sus computadoras,” dijo Jose Nazario, investigador de seguridad senior en Arbor Networks, uno de los mejores investigadores de botnet en el mundo. “Estas personas estaban realmente cerca de escribir gusanos con algunas de estas cosas porque harían escaneo automatizado e instalaciones y auto-réplicas. Ahí fue cuando comenzó a volverse realmente interesante.”

Las herramientas seleccionadas para esta temprana tripulación de atacantes comprendían un pequeño grupo de programas diseñados específicamente para ejecutar ataques DDoS en contra de un solo objetivo. Programas tales como Mstream, Trinoo, Tribe Flood Network, Shaft y Stacheldraht, que, en su mayor parte, fueron diseñados para ejecutarse en sistemas basados en Unix que habían sido comprometidos previamente mediante algún otro método. Las infecciones iniciales eran constantemente logradas utilizando vulnerabilidades en uno de los varios servicios remotos constantemente ejecutándose en estas máquinas, tales como RCP o FTP.

De aquí, los ataques siguieron un código bastante éstandard. Un hacker utilizaría una cuenta robada en una red de universidad o de corporativo como zona de asalto para herramientas de ataque, credenciales robadas para otras máquinas en la red, listas de otras cuentas y máquinas comprometidas en la red para ser escaneadas. El atacante escanearía entonces la red, buscando otras máquinas con vulnerabilidades explotables y luego comprometiendo esas computadoras y plantando una copia de la herramienta DDoS pre-compilada.

En el análisis de Trinoo realizado en 1999, Dave Dittrich, un investigador de University of Washington, encontró que los atacantes constantemente se esmeraban por ocultar la existencia de una infección bot en una máquina. En algunos casos, encontró, los hackers plantarían un rootkit en una computadora comprometida—especialmente si la máquina estaba sirviendo como master, dirigiendo el tráfico para otros bots—para disfrazar la infección. También encontró un método más insidioso de evitar la detección.

“Debería ser notado que en muchos casos, los masters han sido instalados en los huéspedes de servidor de nombre primario de los Proveedores de Servicio de Internet, los cuales normalmente tendrían un alto tráfico de paquete y un gran número de conexiones TCP y UDP, los cuales esconderían efectivamente cualquier actividad o tráfico relacionados con trinoo, y probablemente no serían detectados. El hecho de que estos fueran servidores de nombre primario también tendería a hacer menos probable que los dueños abandonaran Internet cuando los reportes acerca de actividad relacionada con denegación del servicio comenzaran a entrar,” escribió Dittrich.

Este patrón se repitió muchas veces, por todo el Internet, creando redes pequeñas de propiedad privada de máquinas controladas por el atacante que podían ser solicitadas en cualquier momento. Y eso fue exactamente lo que sucedió.

Michael Calce

Pocos meses después de los ataques a CNN, eBay y otros sitios, los ataques DDoS se habían convertido en un serio problema en el Internet. Hackers de todas las habilidades, y con toda motivación concebible, se estaban uniendo a los canales IRC, comprando (o descargando) software de ataque y siguiendo su alegre camino.

“Eso realmente inició una fiebre de oro en este espacio,” Nazario dijo. “Un año después, todos y sus hermanos tenían un botnet. Personas que no podían ni deletrear IRC, sin mencionar siquiera usar IRC, tenían botnets. Estos eran muchachos jóvenes que habían crecido en IM y no tenían idea de lo que estaban haciendo en IRC. Pero escuchan que algún idiota puede hacerlo, entonces piensan, yo también puedo. Eso llevó a esta enorme fiebre de tierras. Todos ven este amplio espacio abierto y de pronto hay presión para botnets más fáciles de usar, y luego las cosas simplemente se siguieron.”

El siguiente paso lógico fue la creación de herramientas de ataque de uso amigable, y hubo muchos programadores ahí afuera dispuestos a hacer el favor.

“Rápidamente, empezamos a ver programas de ataque que tenían un Windows UI, eran señale-y-dé-click y la gente podía obtener cualquier opción que deseara,” dijo Nazario. “Podían decir, me gustarían este y este módulo, por favor codifíquelo, incluya trucos anti-análisis, y luego dé click en compilar y estarán terminados.”


Esta “fiebre de tierras” que comenzó en el 2000 siguiendo los ataques de Calce, sólo ha ganado impulso desde entonces, y no muestra señales de aflojar el paso. Los ataques DDoS han sido una amenaza constante los últimos 10 años y las innovaciones en software y técnicas de ataque probablemente mantendrán esa tendencia.

“Estos ataques DDoS siguen funcionando, y seguirán así por un largo período de tiempo, siempre y cuando haya disparidad entre lo que los atacantes tienen disponible y lo que nosotros tenemos,” dijo Nazario.

Esta es la primera de una serie de historias ocasionales examinando las raíces, el crecimiento y los efectos de la epidemia botnet.

0 comentarios: