25 septiembre 2009

¿Qué pueden hacer los ISPs para luchar contra las Botnets?

En repetidas ocasiones hemos hablado sobre el riesgo potencial que suponen las redes de botnets, cuales son las botnets más buscadas e incluso como sincronizar una botnet desde Twitter.

Los usuarios, cuyas máquinas han sido infectadas, se exponen a grandes riesgos como son: la pérdida de información personal, un posible fraude mediante phishing, la generación de spam, e incluso pueden llegar a ser partícipes de una red de ordenadores zombies utilizados para realizar ataques DDoS.

Desde SANS ISC nos presentan un borrador realizado por IETF con las recomendaciones que debería seguir un ISP para detectar aquellos usuarios que han sido infectados por bots maliciosos y un plan de actuación para mitigar los daños. De esta forma se reduciría de forma considerable la actuación de estas botnets en Internet y de forma particular en las redes del ISP.

Los ISPs deberían realizar las siguientes tareas: detectar los bots, notificarlo a sus usuarios y ayudar en la medida de lo posible a su eliminación.

Detección de bots

El ISP debe identificar aquellos usuarios que han sido infectados por un bot, utilizando los métodos y las herramientas sin que atenten contra la privacidad de los usuarios, además estos métodos deben ser transparentes al usuario, sin bloquear tráfico.

Estos métodos incluirán: el análisis del tráfico de la red para determinadas aplicaciones (tráfico enviado al servidor de correo), datos de otros ISPs y organizaciones (informes con listas de IPs que han enviado spam), de forma que puedan corroborar la información y eliminar falsos positivos al identificar las máquinas afectadas.

Se deberá clasificar el bot para determinar su naturaleza y estimar la gravedad de la amenaza (bot de spam, bot de key-logging, bot de distribución de ficheros, etc.)

Nos proponen varios métodos para la detección de bots en los ISPs:
  1. Dependiendo de la legalidad permitida en cada región los ISPs deberían escanear el rango de IPs para detectar los hosts que no están parcheados y que corren el riesgo de ser infectados. Deben tener en cuenta que determinados métodos de escaneo de puertos pueden ser detectados por un firewall o IDS y enviarle una alerta al usuario.
  2. Deben estar con contacto con otras organizaciones e ISPs para compartir información sobre IPs que pueden albergar bots, DNSs que controlan botnets,etc.
  3. Los ISPs deberán usar herramientas de monitorización para identificar las anomalías de la red que indiquen ataques de botnets o comunicaciones de los bots. Por ejemplo, el ISP debe ser capaz de identificar los hosts analizando el tráfico destinado a una dirección IP relacionada con el control de botnets.
  4. Podrán usar técnicas basadas en DNS para realizar la detección. Por ejemplo, disponiendo de una lista de dominios de malware podríamos clasificar el tipo de bot.
  5. Suscripción a servicios que hacen uso de las capacidades de las honeynet y obtener en tiempo real información de listas de máquinas infectadas.
Notificación a los usuarios

Una vez detectada la infección, se deberá informar al usuario del problema eligiendo el método más apropiado según su gravedad. Ya sea vía e-mail, llamada telefónica, correo ordinario, mensajería IM, SMS, etc. El método o los métodos elegidos deben asegurar la recepción de la notificación por parte del destinatario.

Remediar el problema

Se deberán proporcionar las herramientas y la ayuda necesaria para que los usuarios infectados con bots, puedan limpiar sus equipos por si mismos. Para ello se podría crear una web con contenidos de seguridad que explique de forma clara (enfocado a usuarios no técnicos) por qué el usuario ha sido notificado, indicando los bots que existen y los riesgos a los que estamos expuestos, además de los pasos que deben seguir para remediarlo.

Inicialmente los usuarios deberán hacer un estudio para ver que ordenadores están infectados, ya que pueden disponer de varias máquinas con NAT que compartan una misma IP pública. Añadiendo a esto más complicación si el equipo infectado se tratase de una consola, equipo multimedia o un appliance.

Nos proponen unas recomendaciones mínimas que deben incluirse en la guía para ayudar a los usuarios a eliminar la infección:
  1. Hacer back-up de forma regular y almacenarla en dispositivos externos.
  2. Tener actualizados los parches del SO, el antivirus.
  3. Explicar a los usuarios como configurar de forma automática las actualizaciones del SO, antivirus y navegadores.
  4. Se debe incluir una opción que permita contactar con el servicio técnico si no pudieran solucionarlo por ellos mismos.
  5. Se deben identificar as máquinas que han sido infectadas.
  6. Se debe indicar que acciones deben realizar para remediar el problema.
  7. Se indicará como ponerse en contacto con la ley, si el incidente fuera grave y deseen notificarlo, en estos casos no se deberán eliminar las evidencias y el ordenador pasaría a formar parte de la escena del crimen.
En los últimos días hemos oído hablar sobre los comandos de redes zombies difundidos mediante de Google Groups, incluso desde S21sec tuvieron ocasión de hablar con el vampiro. Las botnets son un grave problema para la privacidad de los usuarios, ¿deberían los IPSs aportar ciertas medidas para intentar limitar el alcance de estas botnets?.

8 comments :

eduardo dijo...

Hola,

Los bancos ya tienen mecanismos para detectar clientes infectados (geoiplocation, mirar el referer, ...), y les llaman para que formateen el ordenador en caso de infección... Otra cosa es que hagan caso, o que acabes en casa del cliente buscando tú el troyano.

Y, respecto del escaneo, detección, ... me parece estupendo. ¿Puedo escanear yo a los bancos, la policía, ... buscando backdoors? No vayan a estar infectados ... Eso sí, sin atentar a la privacidad y sin que les salten alertas en los IDS, para "no molestar". Esta otra parte no me convence tanto.

Saludos,

Anónimo dijo...

Buen post!

Sin embargo, creer que el usuario medio sabrá (o querrá) realizar los 7 puntos que comentas (o hasta alguno de ellos) es tener mucha fe ;)

Por cierto, un ISP como puede analizar el tráfico respetando la privacidad del usuario? Por ejemplo, siendo una botnet de spam.


Saludos y gracias!


Newlog

Román Ramírez dijo...

Este tipo de medidas o las proponen personas naíf o las proponen personas con intereses solapados.

¿Realmente os parecen creíbles medidas que pueden implicar "analizar los equipos cliente" por parte del proveedor de servicios? ¿Y en caso de detectar un equipo de cliente infectado? ¿Que tenga abierto el puerto del emule o del torrent es síntoma de estar infectado?

¿Pueden funcionar las botnet encapsuladas en HTTPS? Ay, me da a mí que sí pueden eh... y, como comentáis en el artículo... si es que basta con ocultar los comandos dentro de textos en blogspot, en twits, si me apuráis hasta en comentarios de este blog...

Como viene siendo habitual, absurdeces varias propuestas por malos, por tontos o por malos-tontos.

Anónimo dijo...

No gracias, no quiero que la isp examine los datos que mando, quiero que respete la privacidad, eso de examinar y avisar me parece demasiado atrevido y intrusivo y puede llevar a otras consecuencias no deseadas, de hecho puede ser usado para otros fines más invasivos que no son el inicial de seguridad.
No gracias.

Jordi dijo...

Los isps deberían hacer más caso a los avisos a sus cuentas de abuse@... sería un buen primer paso

Emili dijo...

Estoy de acuerdo con comentarios anteriores. Es contradictorio que el ISP nos escanee los puertos, vigile nuestro tráfico y los emails que enviamos "sin vulnerar nuestra privacidad".

Este post es un ejemplo mas del error que cometemos a diario en nuestra sociedad: centrarnos en arreglar los síntomas del problema en lugar de preocuparnos por las causas.

Hay que centrarse mas en evitar ser infectados y no en qué hacer para detectar la gente infectada. ¿O a caso no es mejor curar la enfermedad que tratarla?

Si los ISPs tienen que intervenir que sea solo para EVITAR contagios y no para detectar contagiados. Y para evitar contagios no hay que preocuparse para nada de mis datos, mi trafico y, mucho menos, de vulnerar mi privacidad.

Saludos!

Anónimo dijo...

@Emili: El post se limita a traducir un documento publicado por el SANS ISC, dejando abierto el debate.

En todo caso, será "un error" el documento del SANS, y no el post que se limita a mostrar un documento sin tomar parte, para que cada uno le de vueltas a su cabecita.

Defiendo la privacidad del usuario. Leyendo el documento ellos repiten una y otra vez, que "no se debe vulnerar la privacidad del usuario", cosa que veo difícil que respeten si pretenden analizar nuestro tráfico (como bien apunta Newlog).

No estoy de acuerdo con que se atente contra la privacidad del usuario. Por el contrario, si me parece buena la idea de montar una web de ayuda al usuario para indicarle como prevenir los contagios.

Anónimo dijo...

http://www.h-online.com/security/news/item/Germany-to-set-up-centre-to-coordinate-fight-against-botnets-880077.html

En Alemania están pensando en aplicarlo para el 2010.