Botnets

Ya me había referido un poco al tema de botnets hablando de origenes del spam, de como un porcentaje grande de todo el spam que circula en internet tiene ese origen.

Cuan grave es ese problema? me influye a mi? que dimensiones tiene? Hay un montón de preguntas que se me ocurren al respecto, asi que curiosee un poco en internet buscando mas información.

La primer referencia obvia es su página en Wikipedia, donde puede encontrarse no solo una definición formal (no soy bueno cortando y pegando cuando el enlace dice mucho mas de lo que yo puedo), sino explicación de mecanismos usados y algunas recomendaciones de seguridad. Y en la versión en inglés hay aun mas.

En esencia, una botnets es una red de, bien, robots, maquinas que siguen las ordenes de un "botmaster", probablemente sin el conocimiento de su propietario, para diversas actividades. Esas actividades pueden ser enviar spam, hacer ataques de denegación de servicio, expandir la red buscando nuevas victimas, capturar información en la maquina (claves, tarjetas de credito, lo que sea suficientemente sensible y aprovechable por terceros), usarla para cosas que requieren uso extensivo de cpu, p/ej crackear passwords, captchas, etc, hostear contenido tal vez ilegal, y mucho mas.

La mayoria de las botnets (al menos, todas las grandes) hoy dia estan corriendo bajo Windows. Diversas vulnerabilidades, formas de hacer las cosas, y ser una monocultura facilitan bastante el trabajo de introducirse en ellas, amen que es la plataforma que tiene mas equipos en la red, por lejos. Eso no convierte en imposible que se desarrollen botnets para otras arquitecturas y sistemas operativos, aun usando Linux o Mac OS X la principal razon por la cual mi maquina es segura o no respecto a este tipo de cosas es mi propia forma de manejar mi pc, si decido correr binarios desde fuera (no se en Mac, pero en Linux la cultura de ejecucion de programas complica bastante esto) o instalar programas que vengan de fuentes no totalmente confiables. Es algo por lo cual preocuparse, tal vez no sentirse paranoico y correr gritando en circulos (al menos para mi que estoy bajo Linux), pero si para ser conciente de lo que uno instala y ejecuta en su PC, y de estar al dia en actualizaciones de seguridad. Pero son mis decisiones las que hacen la mayor diferencia, la ingenieria social probablemente sea, hoy dia, el principal vector de entrada de este tipo de cosas.

Sobre la gravedad y las dimensiones del problema no estoy muy seguro. Ya tenia las estadisticas de Marshal sobre spam generado por botnets y cuales son esas botnets, pero no tengo números de PC infectados ahi. Han habido reportes de tamaños estimados o descubiertos de algunas botnets, que no se cuan totales eran (p/ej 500.000 equipos infectados por Kraken en abril, en septiembre del 2007 se decia que Storm tenia entre 100.000 y 50 millones de maquinas infectadas, se pueden ver graficos de actividad recientes de estas botnets en el sitio de Damballa). Hasta llegue a encontrar declaraciones del año pasado que afirmaban que llegaban a ser sobre un 10% de los PCs conectados a internet. No se si llegara a tanto, pero es bastante probable que de todas formas estemos hablando de varios millones de maquinas.

Como es que se ha llegado a numeros tan grandes? Supongo que las 3 corrientes principales son ingenieria social (supongo que tengo que hablar al respecto en algún momento), vulnerabilidades pasivas (p/ej, un reciente estudio del SANS da un promedio de 4 minutos desde que una maquina windows sin firewall se conecta directamente a internet para que este infectada de algo, uno simplemente se conecta a internet y ya puede "quedar dentro"), y vulnerabilidades activas (vulnerabilidades en aplicaciones que acceden a internet, p/ej internet explorer, flash, javascript, ActiveX, una epoca el riesgo era al entrar a paginas "peligrosas", pero con ataques a servidores de confianza ese tipo de ataques se pueden encontrar tambien en sitios de gobierno, empresas y otros que se supone que son de confiar). Una gran cantidad de equipos, una gran cantidad de gente, y una no tan grande conciencia de temas de seguridad (y probablemente, inseguridad intrinseca de la plataforma mas utilizada) pueden ayudar bastante en transformar en masivo algo que podrian haber sido tal vez casos aislados.