04 marzo 2010

Sin duda alguna es la noticia del año: 'Detenidos 3 botmasters con 13 millones de PCs en sus bolsillos' Y tras esa noticia se encuentra Panda Security como destacada protagonista.

Moviendo ciertos hilos, hemos conseguido unos minutos de atención del director técnico de Panda Security que nos ha contestado en primera persona a una mini-entrevista sobre el tema.

La gente que estamos 'en esto' conocemos a Luis desde hace bastante tiempo, pero no estaría de mas que te presentaras un poco para el publico, quien eres, cual es tu labor en Panda Security, etc

Tengo la tentación de poner el link de mi bio que tengo en el blog de PandaLabs ;) Llevo ya 11 años (me hago viejo!!!!) trabajando en Panda. De hecho, con el tiempo estoy comenzando a tener forma de oso, sobre todo en la parte de la panza XD

Soy el Director Técnico de PandaLabs, donde he estado la mayoría de años que llevo aquí. Además de jugar con los bichos y escribir para nuestro blog (http://pandalabs.pandasecurity.com), coordino el contacto del laboratorio con otras entidades, como fuerzas de seguridad, otros laboratorios de seguridad, etc. Represento al laboratorio en diferentes asociaciones a las que pertenemos, como AMTSO (www.amtso.org) o el APWG (www.antiphishing.org). Cuando tengo tiempo y me dejan, doy charlas y también voy a escucharlas. Casualmente, las más interesantes suelen ser en destinos bastante exóticos, como Japón, Seúl, Islandia, Bali… Un trabajo muy sacrificado, como podéis ver ;) 

¡¡ Menudo revuelo habéis montado hoy !! Prensa, TV, Radio ... ¿Ha sido para tanto? (La Guardia Civil siempre ha sido pelin exagerada cuando tiene delante una cámara ...)

La verdad es que sí que hemos montado una buena, pero esta vez sin exagerar. Como diría un señor que suele salir por la tele en nochebuena, “Me llena de orgullo y satisfacción…” XD

Bueno, en serio, realmente nunca habíamos visto una botnet tan grande, y el haber podido desmantelarla y dar con los responsables ha sido un éxito del que nos podemos enorgullecer todos. Ha sido una labor de investigación de muchos meses, durante la cual nos hemos coordinado con diferentes organizaciones para lograr llevar a los delincuentes ante la justicia.

Si quieres que me meta en más datos dime, pero no quiero aburrir a tus lectores, y si les apetece saber todos los detalles que me visiten en el blog de PandaLabs ;)

Hemos leído que en la investigación habéis colaborado con Inteligencia de EEUU y de Georgia ¿Es cierto que los agentes del FBI van vestidos como el Agente Smith de Matrix y los de Georgia van armados con botellas de vodka ?

Al contrario de lo que se pueda pensar, en EEUU sí que hay Inteligencia, y ha funcionado muy bien. Además, al contrario que el agente Smith, estos no se replicaban. Los de Georgia eran del estado de Georgia en EEUU, por lo que suelen preferir el bourbon al vodka.

Coñas aparte, realmente ha tenido que ser muy emocionante estar metido en algo de esa envergadura, ¿Cuantas horas x día has dedicado en los últimos meses?

Bueno, yo estoy dando la cara pero en Panda hemos estado trabajando en esto unas cuantas personas durante todos estos meses, de hecho todavía seguimos investigando y sacando nueva información, por lo que el total de horas mejor no las comentamos aquí, que luego mi jefe dirá que nos dedicamos a “mariposear” ;)

Por último, puedes darnos datos técnicos (cuantos mas mejor) sobre el funcionamiento de la botnet, el tipo de troyanos que empleaban, etc ...

Como me ponga a describir todo nos puede dar para un libro. El bot utilizado lo adquirieron en el mercado negro. Al contrario de lo que la gente pueda pensar, este tipo de herramientas no son muy caras, y con unos cientos de euros te puedes agenciar una que te haga el trabajo. Teniendo acceso al kit de construcción de este troyano, puedes además elegir el sabor que más te guste entre un amplio abanico de opciones:
  • Seleccionar si las réplicas de sí mismo que realiza son polimórficas o no.
  • Puertos de conexión al servidor.
  • Retardo hasta la inyección en el proceso EXPLORER.EXE para dificultar el análisis del malware.
  • Número de envíos por MSN Messenger.
  • Nombre del archivo con el que se copia en las unidades extraíbles.
  • Configuración del autoarranque de dichas unidades extraíbles.
Además se puede adquirir con diferentes módulos extras (a cambio de un poco más de dinero). Por ejemplo, uno de estos módulos permite robar toda la información de formularios que el usuario introduce en Internet Explorer (6, 7 y 8). Otro módulo estaba dedicado al resto de navegadores más populares (Firefox, Chrome, Opera). Y una vez tienes montada la red de bots, sólo tienes que empezar a dar órdenes, algo muy sencillo a través del interfaz que incluye:


Estas son algunas de las órdenes que se pueden dar, atentos al nombre de algunos de los comandos, bastante descriptivos ;)


Muchísimas gracias Luis, ha sido genial poder compartir todo esto contigo.

15 comments :

Anónimo dijo...

HOla tengo un tiempo siguiendo su blog, es bastante gratificante leerlo. Quiero felicitarlos por su trabajo y por esta breve pero interesante entrevista.

atte. Eduardo NC

Jar0b_ dijo...

He disfrutado pero bien leyendo esta entrevista la verdad.

Que interesante, y a la vez, que miedo, que cualquiera por unos cientos de Euros, pueda hacer un mas que decente ataque DoS sin mas trabajo que el de aprenderse unos comandos.

La verdad es que yo tambien pensaba que esas herramientas eran mas caras.

Un saludo, y seguid asi :D

Seifreed dijo...

Hola

Es genial que se le haya podido hacer una mini-entrevista.
Un saludo

Juan Antonio Calles dijo...

Gran caza chicos, me apasiona todo el tema este de las Botnets y el poder y la facil expansión que tienen, no ha tenido que ser nada facil encontrar a los culpables, enhorabuena!

saludos!

Anónimo dijo...

Una pregunta, ¿esos 13 millones de PC,s estaban sin antivirus o sin actualizar?

Anónimo dijo...

Simplemente dar la enhorabuena por la entrevista.

Anónimo dijo...

jajajajaja XD
lo ke me da risa
es ke se sientan tan grandiosos
por una botnet tan insignificante
y mas cuando los creadores
siguen negociando con ellas
http://www.bfsystems.net
y porfavor una botnet centralizada que cosa mas dificil de rastrear *sarcasmo*

cGVwZQ dijo...

Buena entrevista! ;D
Tiene que ser divertido dedicarse a estas cosas... Saludos.

Skynet dijo...

@Anónimo Hablo el Johnny Memonic, el white rabbit Netrunner de entre todos los Netrunners...

Es la botnet mas grande que se ha desmantelado en el mundo listo, las hay mas grandes? No se sabe aun, lo importante es que gente de una empresa española ha colaborado a nivel internacional para echarla abajo. Enhorabuena a los Panda, parece que estan resurgiendo de sus cenizas, ya era hora. Gran post.

neofito dijo...

Muy interesante la entrevista

Se le ponen a uno los dientes largos cuando piensa en lo interesante que ha tenido que ser el trabajo.

Deberiamos estar orgullosos de haber demostrado una vez mas que en España hay muchos y muy buenos profesionales.

Saludos

Julio dijo...

Muy interesante, sobre todo si lo leemos desde un mac o un linux y nos sentimos a salvo...

Anónimo dijo...

Si ese muchacho es el director técnico de PandaLabs, entonces PandaLabs no es muy técnico.

Anónimo dijo...

Hay algunos muy cachondos por aquí..

Es muy fácil rastrear una botnet. Nadie dice que sea difícil, lo complicado es pillar a los que están controlándola, que es lo que se ha conseguido.

Anónimo dijo...

@Anonimo que escribio: "Si ese muchacho es el director técnico de PandaLabs, entonces PandaLabs no es muy técnico."

Si lo dices por ser muchacho(joven),parece que piensas que se debe tener barba y canas o un perfil especifico para tener conocimiento técnico. Pues te comento que en el mundo de la informática hay adolescentes con un nivel técnico superior al promedio y que trabajan para importantes empresas a nivel mundial.

dalvarez_s dijo...

se ha echo corta la entrevistaaaa!!