Esto lo descubrí al informarme acerca de los métodos de control para redes de bots. La teoría que conocía hasta ahora implicaba construir diversos escalones de control para que el control se distribuyera en abanico, eliminando así la necesidad de comunicar la pc atacante en forma directa con cada uno de las computadoras infectadas bajo su control. De esta forma, de 1 atacante que se conecta a 4 computadoras y da la orden pasamos a esas 4 computadoras dando la orden a 16 computadoras (4 cada una) de esas 16 pasamos a 64, de esas 64 a 256, de 256 a 1024. Fijense que es un método en cascada que minimiza la cantidad de conexiones reales, pero que elimina mucho del feedback, y además puede provocar intentos registrables de conectar a una máquina ya limpia.
Por supuesto que esto no quedó así, siguió mejorando. Lo primero que hicieron fue conectar las redes a clientes de mensajería, como ICQ. De esta forma las máquinas se conectan a la red ICQ e informan que están conectadas mediante su simple acto de presencia. Esto corrige, además, el problema de rastrear clientes infectados con IP dinámica, ya que no se precisa conocer la IP para realizar el control, se envía el mensaje de control mediante la red de mensajería.
Por supuesto que esto tenía una grave limitación: la cantidad de contactos directos en una conversación única es pequeña, en el rango de las decenas, con lo que había que seguir usando el sistema de cascada. Para paliar esto se pasó a utilizar las viejas redes IRC, redes de chat que soportan inmensas cantidades de usuarios. Nuevamente son los infectados quienes se conectan al canal de chat e informan así de su presencia. Pero aunque ahora estamos en el rango de los centenares de usuarios en un mismo canal, para grandes redes de bots sigue siendo necesario el sistema de cascada.
La noticia que disparó este artículo, sin embargo, fue la que me maravilló, por lo simple e ingeniosa que fue la solución. Han descubierto una red de bots controlada mediante Twiter. Ahora tenemos un sistema de contacto social, en el que montones de computadoras controladas usan cuentas distintas amigadas con la cuenta controladora. Estamos en rango de los millares, donde un simple mensaje puede provocar montones de mensajes de respuesta, y acciones coordinadas de montones de computadoras infectadas, simplemente mediante el uso de las redes sociales. Es tecnologicamente brillante e ingenioso, soluciona muchos de los problemas de los métodos anteriores, a costa de introducir una leve demora en la actualización de los comandos, propia de la red de Twiter.
Esto, por supuesto, puede ser usado para comprobar como se comporta nuestra PC, revisar las conexiones mediante algún programa preparado para tal fin (la mayor parte de los firewalls puede hacerlo, por ejemplo) y ver, de esta forma, si se conecta sin que lo hayamos indicado a alguna de estas redes. Es un método más para verificar que las PCs con Windows que usamos no posean este tipo de infecciones.
No hay comentarios:
Publicar un comentario