|
Lenguajes
|
|
|
Idioma preferido:   |
|
|
|
|
Investigadores se infiltran y 'contaminan' la red de bots Storm
|
|
elhacko
24 Abr, 2008
|
|
Las redes sofisticadas de peer-to-peer (P2P) como la botnet Storm que no tienen una arquitectura de mando centralizado de control han frustrado a los investigadores muchas veces porque son difíciles de desmantelar. Pero un grupo de investigadores europeos ha presentado una manera de interrumpir estas sigilosas botnets al "contaminarlas".
Los investigadores, de la Universidad de Mannheim y el Instituto Eurecom, recientemente se infiltraron en Storm para probar un método de analizar y perturbar botnets de P2P. La técnica es un derivado de la técnica tradicional de seguimiento de las botnet, pero con un diferencia: no sólo implica la captura del bot en su forma binaria e infiltrarse en las redes P2P, sino que también explota las debilidades en el protocolo P2P que implementa la botnet para inyectar contenido "contaminado" en la botnet e interrumpir la comunicación entre los robots, y también permite estudiarlos más de cerca. Los investigadores han probado su método de contaminación con Storm - y funcionó. Ellos presentaron su investigación de este mes en el simposio Usenix.
"Nuestras mediciones demuestran que nuestra estrategia puede ser utilizada como una forma de desactivar la comunicación dentro de la botnet Storm en gran medida," escribieron los investigadores en su documento. "Como efecto secundario, somos capaces de calcular el tamaño de la botnet Storm, lo cual en sí mismo es una tarea difícil ... Nuestras mediciones son mucho más precisas que las mediciones anteriores. "
Sus estadísticas de Storm: los investigadores rastrearon Storm cada 30 minutos a partir de Diciembre del año pasado hasta Febrero de este año, y vieron entre 5000 y 40.000 máquinas en línea a la vez. No es de extrañar que las fiestas de Navidad y Año Nuevo representaron un gran salto en los números. Y los EE.UU. tiene la mayoría de los robots Storm, con un 23 por ciento, según los investigadores, quienes dijeron que detectaron bots en 200 países.
Los investigadores también probaron otro método de mitigación de P2P llamado un "ataque eclipse", que básicamente tiene por objeto separar un segmento de la red P2P del cuerpo principal, atrayéndolos a sus falsos bots, pero no funcionó.
El ataque contaminación, mientras tanto, "sobreescribe" la clave de la red P2P, un identificador que utiliza para enviar información de comandos a los bots. Los investigadores notaron que Storm genera claves para encontrar otros robots. "Como los robots continúan publicando su contenido, esta es una carrera entre el grupo que hace los intentos de mitigación y las máquinas infectadas", escribieron los investigadores. "Nuestros experimentos muestran que la contaminación de todos los hashes que hemos identificado que pertenecen a Storm, podemos interrumpir la comunicación."
José Nazario, un investigador de seguridad que trabaja para Arbor Networks y que ha estudiado a Storm, dice que la técnica de contaminación no es un concepto nuevo, pero los investigadores pueden estar entre los primeros "que exponen dicha metodología públicamente", dice. "Este ha sido un tema de exploración tabú, porque la gente no quiere armar lío con las PC de otra gente mediante la inyección de comandos", dice.
En pocas palabras: el tipo de comunicación utilizado por Storm y otras botnets de P2P, llamada "publicar/subscribir", es vulnerable a este tipo de explotación.
No es de extrañar que llegar a los operadores de la "Tormenta" no es tan simple. La arquitectura de dos niveles de Storm, - nivel "uno" son las redes P2P Overnet y Storm en sí mismo, y el nivel "dos", las computadores más escondidas que envían los comandos reales - lo hizo difícil. "En el futuro, nos proponemos analizar en detalle las computadoras del segundo nivel y tratar de encontrar formas de identificar a los operadores de la Tormenta Worm", dijeron los investigadores.
¿Crees que lo lograrán? Escribe tu comentario...
|
|
|
 |
|
Comentarios