Preguntale al Experto: Vitaly Kamluk habla sobre DDoS y Botnets

Vitaly Kamluk tiene más de 10 años de experiencia en materia de seguridad IT y ahora se desempeña como Investigador Principal de Seguridad de Kaspersky Lab. Se especializa en ingeniería

Vitaly Kamluk tiene más de 10 años de experiencia en materia de seguridad IT y ahora se desempeña como Investigador Principal de Seguridad de Kaspersky Lab. Se especializa en ingeniería a la inversa de software malicioso y en informática forense, y se dedica a investigar delitos cibernéticos. Actualmente, vive en Singapur y trabaja con la INTERPOL como miembro de Digital Forensics Lab, haciendo análisis de malware y dando apoyo a las investigaciones sobre crímenes cibernéticos.

https://instagram.com/p/1xKFAOv0I5/

Invitamos a nuestros lectores a hacerle preguntas a Vitaly. Como mencionamos en la nota anterior, había tantas que decidimos hacer sesiones de preguntas y respuestas en varias partes. Hoy, nuestro experto responderá a las que están relacionadas con DDoS y Botnets.

¿Cuántas botnets afectaron a más de 50.000 computadoras en el mundo?

Menos de 20, pero es pura especulación, ya que por lo general descubrimos el tamaño real de una botnet luego de su captura. Mientras los delincuentes buscan llevar a cabo la mayor cantidad de infecciones posibles, logran mantener el tamaño de la vulnerabilidad bajo cierto umbral con el objetivo de pasar desapercibidos.

¿Existen botnets sofisticadas que buscan crear ramificaciones para smartphones, PCs y Macs?

A veces sucede que una misma botnet infecta PCs y smartphones. Un buen ejemplo fue Zeus, que atacó ambos tipos de dispositivos. También hay botnets para Macs, pero de acuerdo con nuestra experiencia suelen ser independientes.

¿Cómo se detecta una botnet? ¿Por dónde comienzan? ¿Cuáles son las últimas tendencias?

Lo primero que hay que tener en cuenta es que es vital buscar procesos o archivos sospechosos en el disco. A continuación, analizarlo y localizar la lista de comando y control (C&C). Luego, conocer el protocolo y hacer actualizaciones periódicamente. Algunas tendencias recientes incluyen búsquedas de mecanismos de control confiables, como las basadas en Tor y comunicaciones P2P. Hay mucha información y whitepapers al respecto (coloca “Tor Botnet” en un buscador de Internet para saber más).

¿Qué hay que hacer para desactivar una botnet?

Arrestar a los dueños de la Botnet. Si le logra capturar también a los desarrolladores del software bot y sus distribuidores, mucho mejor. 

¿De qué región del mundo vienen las botnets? ¿Qué lenguaje de programación es usado para desarrollarlas? ¿Podemos estar seguros de que los sistemas nacionales están a salvo de las botnets? En casos imprevistos ¿existe alguna segunda línea de defensa en los casos de ciberataques no neutralizados?

Las botnets están en todas partes y su lenguaje de programación es una cuestión de elección personal. Si quieres asegurarte de que tus sistemas no forman parte de una botnet, debes llevar a cabo un escaneo de tu equipo con un software AV y, posteriormente, hurgar en las comunicaciones de red. Es vital asegurarte que no hay agentes extraños y conexiones inesperadas.

En cuanto a la segunda línea de defensa, y por desgracia, la actual arquitectura de los sistemas informáticos está hecha por diseño. Cada propietario de un sistema informático es responsable de ella. La neutralización de amenazas a la distancia es considerada una intrusión en la red, algo que -de llevarse a cabo- sería ilegal en la mayoría de los casos.

Después de todo, una vez hayas caído en las redes de una botnet no podrás confiar más en el sistema hasta que hagas una reinstalación del mismo y lo fortalezcas. Muchos de los propietarios no se preocupan por las infecciones informáticas hasta que empiezan a perder dinero.

¿Es importante para las botnets modernas ser controladas vía IRC? ¿Alcanza con arrebatarle el control de la botnet a su propietario para detenerla?

Los delincuentes pueden utilizar diferentes enfoques para controlar botnets. IRC es uno de los muchos protocolos de aplicación, con ventajas y desventajas. Para mí es un método obsoleto (en general, las botnets modernas se construyen utilizando HTTP).

Para eliminar una botnet es vital encontrar a su artífice y arrestarlo. Y es eso lo que exactamente hacemos, en colaboración con la Interpol. Los intentos por detener el accionar de malhechores para controlar botnets no ayudan por mucho tiempo, ya que ellos, en su mayoría, están bien armados y preparados.

¿Qué herramientas y métodos son lo más adecuados cuando se descubren intentos de ataques DDoS, considerando escenarios asociados al cliente y al proveedor de Internet, ISP (regional, nacional e incluso transnacional)? 

La herramienta más fuertes tanto para clientes como grandes ISPs es, sin duda, emplear filtros eficientes, pero para eso primero debes investigar las amenazas. Por eso es tan importante capturar el bot responsable del ataque DDoS y analizarlo con cuidado. La solución final sería tomar control del mecanismo de la botnet y neutralizarla desde el núcelo, pero ésa es otra historia.

¿Cómo es posible mitigar un ataque DDoS de amplificación?

Dispersando el blanco de ataque geográficamente e implementando múltiples capas de filtrado.

¿Cómo puedo saber si soy parte de una botnet o de una mina de Bitcoins?  

Comprueba si tu sistema tiene malware, dado que son los malwares los que realizan el minado de Bitcoins sin tu consentimiento, o que hacen que tu PC se vuelva parte de una botnet.

A continuación, algunas de las formas más eficaces para comprobar si existe malware:

1. Analiza tu sistema con una solución antivirus confiable, que te hará ahorrar un montón de tiempo, aunque en mi opinión no es lo único que debes llevar a cabo.

2. Revisa la lista de procesos para clientes sospechosos. Creo que los usuarios deberían conocer con muchísima profundidad los procesos que corren en sus sistemas.

3. Revisa la lista de programas que arrancan automáticamente con Windows. Existe una app gratuita para este fin llamada Sysinternals Autorun Tool.

4. Realiza un control avanzado que incluya conectar tu computadora a otra (con conexión a internet) y registra de todo el tráfico de red. Esto revelará cualquier actividad sospechosa, incluso si no es visible.

Publicaremos más respuestas en un par de días. ¡Manténganse al tanto!

 

 

Consejos