¿Qué pueden hacer los ISPs para luchar contra las Botnets?

Posted on by

En repetidas ocasiones hemos hablado sobre el riesgo potencial que suponen las redes de botnets, cuales son las botnets más buscadas e incluso como sincronizar una botnet desde Twitter.


Los
usuarios, cuyas máquinas han sido infectadas, se exponen a grandes
riesgos como son: la pérdida de información personal, un posible fraude
mediante phishing, la generación de spam, e incluso pueden llegar a ser
partícipes de una red de ordenadores zombies utilizados para realizar
ataques DDoS.

Desde SANS ISC nos presentan un borrador realizado por IETF
con las recomendaciones que debería seguir un ISP para detectar
aquellos usuarios que han sido infectados por bots maliciosos y un plan
de actuación para mitigar los daños. De esta forma se reduciría de
forma considerable la actuación de estas botnets en Internet y de forma
particular en las redes del ISP.

Los ISPs deberían realizar las
siguientes tareas: detectar los bots, notificarlo a sus usuarios y
ayudar en la medida de lo posible a su eliminación.

Detección de bots

El
ISP debe identificar aquellos usuarios que han sido infectados por un
bot, utilizando los métodos y las herramientas sin que atenten contra
la privacidad de los usuarios, además estos métodos deben ser
transparentes al usuario, sin bloquear tráfico.

Estos métodos
incluirán: el análisis del tráfico de la red para determinadas
aplicaciones (tráfico enviado al servidor de correo), datos de otros
ISPs y organizaciones (informes con listas de IPs que han enviado
spam), de forma que puedan corroborar la información y eliminar falsos
positivos al identificar las máquinas afectadas.

Se deberá
clasificar el bot para determinar su naturaleza y estimar la gravedad
de la amenaza (bot de spam, bot de key-logging, bot de distribución de
ficheros, etc.)

Nos proponen varios métodos para la detección de bots en los ISPs:

  1. Dependiendo
    de la legalidad permitida en cada región los ISPs deberían escanear el
    rango de IPs para detectar los hosts que no están parcheados y que
    corren el riesgo de ser infectados. Deben tener en cuenta que
    determinados métodos de escaneo de puertos pueden ser detectados por un
    firewall o IDS y enviarle una alerta al usuario.
  2. Deben
    estar con contacto con otras organizaciones e ISPs para compartir
    información sobre IPs que pueden albergar bots, DNSs que controlan
    botnets,etc.
  3. Los ISPs deberán usar herramientas de
    monitorización para identificar las anomalías de la red que indiquen
    ataques de botnets o comunicaciones de los bots. Por ejemplo, el ISP
    debe ser capaz de identificar los hosts analizando el tráfico destinado
    a una dirección IP relacionada con el control de botnets.
  4. Podrán
    usar técnicas basadas en DNS para realizar la detección. Por ejemplo,
    disponiendo de una lista de dominios de malware podríamos clasificar el
    tipo de bot.
  5. Suscripción a servicios que hacen uso de las
    capacidades de las honeynet y obtener en tiempo real información de
    listas de máquinas infectadas.

Notificación a los usuarios

Una
vez detectada la infección, se deberá informar al usuario del problema
eligiendo el método más apropiado según su gravedad. Ya sea vía e-mail,
llamada telefónica, correo ordinario, mensajería IM, SMS, etc. El
método o los métodos elegidos deben asegurar la recepción de la
notificación por parte del destinatario.

Remediar el problema

Se
deberán proporcionar las herramientas y la ayuda necesaria para que los
usuarios infectados con bots, puedan limpiar sus equipos por si mismos.
Para ello se podría crear una web con contenidos de seguridad que
explique de forma clara (enfocado a usuarios no técnicos) por qué el
usuario ha sido notificado, indicando los bots que existen y los
riesgos a los que estamos expuestos, además de los pasos que deben
seguir para remediarlo.

Inicialmente los usuarios deberán hacer
un estudio para ver que ordenadores están infectados, ya que pueden
disponer de varias máquinas con NAT que compartan una misma IP pública.
Añadiendo a esto más complicación si el equipo infectado se tratase de
una consola, equipo multimedia o un appliance.

Nos proponen unas recomendaciones mínimas que deben incluirse en la guía para ayudar a los usuarios a eliminar la infección:

  1. Hacer back-up de forma regular y almacenarla en dispositivos externos.
  2. Tener actualizados los parches del SO, el antivirus.
  3. Explicar a los usuarios como configurar de forma automática las actualizaciones del SO, antivirus y navegadores.
  4. Se debe incluir una opción que permita contactar con el servicio técnico si no pudieran solucionarlo por ellos mismos.
  5. Se deben identificar as máquinas que han sido infectadas.
  6. Se debe indicar que acciones deben realizar para remediar el problema.
  7. Se
    indicará como ponerse en contacto con la ley, si el incidente fuera
    grave y deseen notificarlo, en estos casos no se deberán eliminar las
    evidencias y el ordenador pasaría a formar parte de la escena del
    crimen.

En los últimos días hemos oído hablar sobre los comandos de redes zombies difundidos mediante de Google Groups, incluso desde S21sec tuvieron ocasión de hablar con el vampiro.
Las botnets son un grave problema para la privacidad de los usuarios,
¿deberían los IPSs aportar ciertas medidas para intentar limitar el
alcance de estas botnets?.

Autor: Laura García
Fuente: Security By Default

Relacionado: Un estándar ofrece las mejores prácticas para que los ISP luchen contra las redes zombies

Read the rest here:
¿Qué pueden hacer los ISPs para luchar contra las Botnets? |

Leave a Reply

Your email address will not be published. Required fields are marked *

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>