05 julio 2010

DNS Botnet Cyberwar

Definición extraída de la Wikipedia (http://en.wikipedia.org/wiki/Botnet)

Botnet : es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC: Las nuevas versiones de estas botnets se están enfocando hacia entornos de control mediante HTTP, con lo que el control de estas máquinas será mucho más simple. Sus fines normalmente son poco éticos.

De esta sencilla definición podemos extraer el funcionamiento básico de una botnet y comenzamos con una visión más amplia del problema.


Sus comienzos aproximadamente sobre 1990 no fueron por motivos económicos, más bien fueron una forma de control sobre servidores hackeados y que permitían de una forma sencilla usarlos para ataques distribuidos, pasarelas para nuevos ataques, etc. Fue entonces cuando las mafias cibernéticas encontraron en ellas un nuevo modelo de negocio, que continua siendo el medio más frecuente empleado para realizar actos fraudulentos en internet.

Para ello desarrollaron una metodología basada en la infección de Malware para poder disponer de los recursos de los equipos que infectaban. Como medio de control mas frecuente en sus orígenes era crear un canal de comunicación mediante servidores de IRC (Internet Relay Chat) libres. Más tarde comenzarían a usar otros canales de comunicación basados en HTTP (Hypertext Transfer Protocol) como por ejemplo Twitter (Para más información puede leer el siguiente enlace :http://asert.arbornetworks.com/2009/08/twitter-based-botnet-command-channel/).

Una vez se consigue infectar con Malware y estos comienzan a acceder al canal de control, quedan en estado de zombie a la espera de nuevas órdenes por parte del Bot Master, que frecuentemente suele ser una persona que ha pagado por disponer de acceso a dicha Botnet para realizar ataques distribuidos DDoS (distributed denial-of-service attack), envío de SPAM (correo basura) o distribuir aún más malware con otro tipo de fines como Phishing (estafas).

Como solución ciertas empresas ofrecen un nuevo servicio de seguridad que intenta prevenir al usuario mediante el uso de uno de los protocolos más antiguos de internet, el protocolo de DNS (servidor de nombres, RFC 1034/1035 de 1987).


El cliente solicita una resolución de nombre para domain.com en un servidor de DNS público y este devuelve el resultado al cliente 64.85.73.119. Para añadir una capa de seguridad estas empresas ponen a disposición del cliente un servidor de DNS público que funciona de la misma forma que en el protocolo estándar, solo que se encargara de


comparar con una Blacklist si el dominio que intentamos resolver badsite.com se encuentra en su base de datos de dominios con Malware y procederá a falsear la resolución del nombre hacía una IP diferente, en este caso 127.0.0.1. Este tipo de modificación se conoce como DNS Hijacking. De esta forma nos aseguraríamos de que el cliente no es capaz de llegar hasta el destino.

  1. Cache de DNS y menor latencia: La experiencia de navegación será más rápida ya que el mismo servidor dispondrá de la mayoría de nombres frecuentes solicitados por otros usuarios cacheados. La mayoría de estos disponen de un cluster Geolocalizado, mejorando los tiempos de respuesta en cada petición.
  2. Control parental de contenidos: La Blacklist puede contener sitios con contenido pornográfico, violento, etc.
  3. Filtro Anti-SPAM: es posible conocer sin necesidad de un filtro de correo externo si el origen es una fuente de SPAM activa. Este ha sido el medio más frecuente de uso para los RBL (Real-time Blackhole List), DNSBL (DNS Blacklists), DRBL (Distributed Realtime Block List), DNSWL (DNS Whitelist), RHSBL (Right Hand Side Blacklist) o URIBL (Uniform Resource Identifier Blacklist). Frecuentemente usados por SPAMHAUS (http://www.spamhaus.org) , SpamCop (http://www.spamcop.net).
  4. Filtro Adsense: Continuando con el filtro antiSPAM, esto podemos llevarlo a otros protocolos como HTTP donde filtrar contenido de publicidad es áun más sencillo que disponer de un Proxy HTTP con una Blacklist.
  5. Disponer de una dirección DNS fácil de recordar.
  6. Corrección ortográfica y autocompletado: si la resolución del dominio falla intenta determinar si existen errores ortográficos, devolviendo los datos del dominio bien redactado.

Recordemos que él propósito de internet es crear una red descentralizada e independiente, o al menos así debería ser. Pero qué pasa cuando los mayores proveedores de servicios a nivel mundial ofrecen servicios de DNS público con todas las características anteriores, pudiendo tomar como ejemplo OpenDNS.

Las últimas estadísticas de uso publicadas en su propio Blog (http://blog.opendns.com) nos muestran varios datos a tener en cuenta.




Como podemos ver en el gráfico, resolvieron 20 billones de peticiones DNS en 24h, doblando el número anunciado de 10 billones en Abril del mismo año. Más de 25,000 escuelas de Estados Unidos usan OpenDNS, y muchas empresas están migrando hacia sus servicios.

En el siguiente ejemplo se realiza una resolución de DNS hacia servidores públicos que ofrecen los servicios anteriormente mencionados.



Sería el momento de pensar si esto es o no una buena idea y si es necesario frenarlo. Estamos delegando un gran control de internetmultinacionales con sus propios intereses. Se ha demostrado que muchos de ellos hacen hijacking DNS para devolver falsos resultados y redireccionar a sitios controlados por ellos, ya sea para mostrar publicidad personalizada hacia el dominio que se estaba resolviendo, generar estadísticas que pueden ofrecer a terceras empresas, etc.


Por el momento muchas de ellas ofrecen un servicio de forma desinteresada y totalmente pública, pero ¿de verdad pensamos que es eso así?. Recordemos la gráfica anterior aplicada a cualquier dispositivo que pueda conectarse a internet:



Ahora pensemos de nuevo en las capacidades de control que estas empresas pueden tener sobre todos estos clientes. Y como se ha desarrollado la mayor botnet jamas creada con una lógica aplastante.

  • No es necesario encontrar vulnerabilidades para crear bots: Es frecuente ver bots que han sido lanzados mediante infecciones.
  • No es necesario desarrollar Malware/Software de gestión, ni actualizarlo: Todo esta ya desarrollado, solo hay que saber aprovechar el protocolo para gestionar el bot. No hace falta actualizarlo ya que las resoluciones son dinámicas y un cambio en el servidor de DNS es casi inmediato.
  • Cualquier sistema operativo soporta resolución de DNS: GNU/Linux, MS Windows, Mac OSX, Android, iOS, Bada, *Nix, VxWorks, etc.
  • Cualquier dispositivo puede valer como un Bot: Tanto un teléfono móvil con conexión a internet, video-consolas, etc.
  • Se pueden realizar los mismos tipos de ataques*
  • Menores evidencias frente a un análisis forense: Deben existir capturas de tráfico, no existe Malware funcionando en el sistema y los cambios en el DNS son dinámicos y no quedan registrados. Solo la cache local podría dejar una prueba del mismo pero normalmente esta expira en periodos de tiempo muy cortos.
  • La “infección” es pura ingeniería social/marketing: Ofrece un servicio de DNS Blackhole, Cache y una DNS fácil de recordar.
  • La gran mayoría de Firewalls permiten tráfico DNS: En casi cualquier organización se permite trafico externo para resolución de nombres.
  • Capacidades de ataques basados en Geolocalización: Conociendo la dirección IP del origen puedes destinar un tipo de ataque específico hacia la misma. Phishing personalizado, DDoS con menores latencias dentro del mismo País.




*Ejemplos de ataques :

  1. DDoS: Es posible engañar a los clientes para que reenvíen todo el tráfico generado hacia direcciones IP víctimas. Qué pasaría si cambiamos el registro que apunta a *.google.com hacía la direcciones IP de servicios críticos.
  2. Phishing: Al igual que un ataque de envenenamiento de cache, no sería necesario ya que el mismo cliente confía en el DNS. Se conseguirían cuentas de acceso, números de tarjetas de crédito, usuarios y claves de acceso a sitios críticos.
  3. Misinformation: Se crearían recursos falsos para mantener desinformado al usuario o crear confusión entre la población.
  4. Espionaje: Tanto en intercambio de correos electrónicos como en conversaciones en mensajería instantánea o VoIP.

Existen referencias hacia diferentes botnets patrióticas, los gobiernos están comenzando con sus propias armas para la defensa y ataque en una futura cyberguerra. Prueba de ello son los siguientes enlaces :

http://seclists.org/fulldisclosure/2010/Jun/346.

http://translate.google.es/translate?js=y&prev=_t&hl=es&ie=UTF-8&layout=1&eotf=1&u=http%3A%2F%2Fwww.publico.es%2F323921%2Fataque&sl=es&tl=en

No hay que pensar demasiado para saber que estas empresas tienen sedes bajo los principales Países del Mundo, y que estos recursos no dejan de estar disponibles para un estado que se encuentra en conflicto. Al final los intereses de un país sobrepasan el razonamiento humano y se emplean todo tipo de armas para neutralizar al enemigo. ¿Y si es el enemigo el que te habré sus puertas?, ¿Es hora de que cada estado comience a crear su propio proyecto Golden Shield? (http://en.wikipedia.org/wiki/Golden_Shield_Project).


También conocido como “El Gran Firewall de China”, es un proyecto de vigilancia/censura
y operado por el Ministerio de Seguridad Pública (MSP) división del gobierno de China. El proyecto se inició en 1998 y comenzó sus operaciones en noviembre de 2003.

Tal vez este “Firewall de China” sea más que un simple control/censura sobre los ciudadanos y estén preparados para una inminente cyberguerra.

Con una inexistente legislación que controle todos estos recursos de una forma global y abierta en un país en conflicto o a expensas de crear su propio arsenal electrónico, no dejaremos de ser más que peones engañados por el marketing. Si solo basamos dichos controles en la “confianza” a grandes empresas, olvidaremos que “Estar preparado para la guerra es uno de los medios más eficaces para conservar la paz” George Washington.


Reverse Skills.
http://twitter.com/reverseskills

2 comments :

Anónimo dijo...

"Como podemos ver en el gráfico, resolvieron 20 billones de peticiones DNS en 24h, doblando el número anunciado de 10 billones en Abril del mismo año. Más de 25,000 escuelas de Estados Unidos usan OpenDNS, y muchas empresas están migrando hacia sus servicios. "

Típica errata en la que confundimos miles de millones con billions (anglosajones).

Rigolox dijo...

Gracias por el artículo.

La verdad es que puede tener sentido, pero volvemos a lo de siempre, qué hacemos entonces? Utilizamos los dns de las telecos? Estos nos dan muchas menos prestaciones y velocidad.

La única forma de estar seguros que no nos engañan es utilizar nuestros propios DNS, pero no creo que merezca la pena.

NaCl u2