¿Sabe cómo utilizar los medios informáticos en forma segura? (4ta. parte)

ict06datasecurity.gif

En este artículo vamos a revisar: los rootkits, backdoors y botnets.

ROOTKIT
Es un término que originalmente se deriva de los sistemas tipo UNIX (pueden ser UNIX, Linux, AIX, etc.) que viene de la unión de “root” y “kit”. En este tipo de sistemas, “root” es el superusuario o el administrador con todos los accesos permitidos en un sistema informático, “kit” se refiere en cambio a un conjunto de herramientas: “rootkit” se le decía entonces a pequeñas utilidades y herramientas que permitían acceso como administrador (“root”) de sistemas tipo Unix.

Actualmente este término ha evolucionado como un conjunto de herramientas que se utilizan para conseguir acceso ilícito en cualquier sistema. En la práctica, una vez que se instala en su sistema, el “rootkit” realiza las modificaciones necesarias para realizar sus tareas programadas sin que se detecte su presencia, tratando de encubrir los procesos que ejecutan acciones maliciosas en el sistema. Por citar un ejemplo, si existe en el sistema una puerta trasera (“backdoor”) que realice tareas de espionaje, el rootkit puede ocultar los puertos abiertos que delaten su comunicación.

Los rootkits no son virus informáticos, ya que no pueden propagarse por sí solos. Si existe uno de ellos en un sistema, es porque fue introducido de forma intencionada en el mismo. Las funciones y características que tengan dependerán del sistema atacado y las intenciones que tenga su creador.

rootkitvid.jpg¿Cómo puede protegerse de los rootkits?. Lo mejor es utilizar software de seguridad que posea nuevas tecnologías de detección de amenazas por comportamiento, que se basen en una investigación inteligente y automática de la situación de un proceso en el sistema que protege y no en patrones previamente aprendidos. Como vigilan los procesos y evalúan su peligrosidad, este tipo de aplicaciones pueden bloquear al rootkit antes que se implemente en el sistema. Uno de los mejores ejemplos de este tipo de tecnología para la detección de “rootkits” es la denominada “ThreatSense” que implementan los productos de ESET, como NOD32 Antivirus o Eset Smart Security.

Otras herramientas, como BlackLight de F-Secure, el RootkitRevealer o el AVG Anti-Rootkit Free de Grisoft detectan los rootkits actuales pero comparando las funcionalidades del sistema operativo original con las que se han detectado. El problema radica cuando algún “rootkit” añade estos programas a la lista de los que no debe esconderse, eliminando las diferencias entre los dos listados, evitando así que los encuentre el detector.

En todo caso, en el sitio Antirootkit.com encontrarán un listado de aplicaciones de este tipo, tanto para Linux como para Windows.

hacker_dark.jpgBACKDOORS
Este tipo de programas son diseñados para abrir una “puerta trasera” (backdoor en inglés) en algún sistema, lo que permite a su creador accederlo y hacer lo que desee con él. También se los conocen como “accesos ocultos de programador”. Uno de sus objetivos es lograr infectar una gran cantidad de computadoras de las que puedan disponer, hasta el punto de poder formar las denominadas “botnets” o “redes zombies”.

Tal como los mencionó con los rootkits y los exploits, los backdoors no son virus ni pueden autopropagarse. Realmente, una “puerta trasera” en informática es una secuencia especial dentro del código de programación con la que el programador puede acceder o escapar de un programa o aplicación en casos emergentes o de contingencia en algún problema. El peligro radica en que pueden ser descubiertas por programadores de virus, troyanos y otro tipo de malware, para acceder al sistema de manera ilegal y aprovecharse de ellos.

Para protegerse de este tipo de malware, es recomendable mantener actualizado el sistema operativo, además de tener instalado un software antivirus y antimalware efectivo contra el software malicioso que pueda aprovecharse estas falencias.

botnet.gifBOTNETS
Proveniente del término robot, se denomina bot al programa informático que realiza generalmente tareas repetitivas y automáticas que simulan al ser humano, el cual utilizan aplicaciones y sistemas heterogéneos como canales de Chat, scripts de instalación, programas de administración remota, juegos en línea y otras aplicaciones para automatizar sus procesos. El inconveniente se presenta cuando se utiliza este principio con fines ilícitos. Su origen, se presume, fue cuando los cyberdelincuentes actuales no tenían ya suficiente con los servidores vulnerables secuestrados y descubiertos a diario, los mismos que no permitían ya alcanzar sus objetivos, como lograr distribuir más correos a más usuarios y poder maximizar sus ganancias. La solución la encontraron en el poder de cómputo distribuido, en el cual instalaban un cliente en el equipo del usuario que funciona como nexo con el cyberdelincuente.

Los bots de este tipo son propagados a través de Internet usando troyanos y gusanos como transporte, que infectan al equipo del usuario haciéndolo interactuar en las redes de este tipo creadas sin que se entere el usuario de lo que ha sucedido. De esta forma, el equipo infectado termina convirtiéndose en un zombi o robot, que realiza tareas mecánicamente privado de su voluntad y la de su usuario.

Una vez lograda una gran cantidad de sistemas infectados, se forman amplias redes que “trabajan” para su creador. Cabe indicar 3 aspectos en este punto:

  • Las nuevas “redes zombies” se benefician en este caso del principio de “computación distribuida”, el cual hace referencia al poder y mayor capacidad de proceso que tienen miles de sistemas trabajando juntos que el procesamiento de cualquier sistema aislado.
  • El creador del programa o de la “botnet”  puede pertenecer a una red delincuencial que arma sus ataques y que ponen a los equipos infectados a trabajar en su beneficio.
  • El grupo “dueño de la red zombie” puede alquilársela a otros para realizar acciones ilegales.

El conjunto de equipos (usuarios) infectados trabajando en red recibe el nombre de botnet.

Como se mencionó anteriormente, el objetivo de las redes zombies pueden ser la distribución de SPAM, realización de ataques DDoS (Denegación de Servicio Distribuido), etc.

¿Cómo evitar ser parte de una red zombie?. Nuevamente hay que mencionar que es recomendable la utilización de software antivirus y antimalware actualizado, sumado a ello la activación en el sistema de un firewall o cortafuegos, que no es más que un elemento utilizado en redes de computadoras para controlar las comunicaciones, permitiéndolas o prohibiéndolas. Además, como actualmente en los sistemas Windows es muy sencillo para los usuarios descargar programas desde Internet, aunque no sepan exactamente qué es lo que hace, hay que evitar hacerlo a no ser que se confíe en su proveedor. Por mencionar un ejemplo: en lugar de pagar una licencia por la versión oficial u original del software, se descarga otra versión alternativa (no oficial o modificada) que promete las mismas funciones. O lo “parchan” con un crack (programa que modifica permanente o temporalmente a otro, para eliminar sus limitaciones de prueba o evaluación), el cual podría contener un bot. Una vez ejecutado, puede buscar la red local, discos duros e intentar propagarse usando vulnerabilidades conocidas de Windows, etc.

En nuestra cultura la piratería informática está muy arraigada y es muy difícil cambiarla. Pero en temas de seguridad informática, es recomendable tratar de utilizar siempre software legal (si es comercial) o aplicaciones gratuitas que tengan las misma o similares funcionabilidades. Pero, NUNCA  deberá de utilizar software “crackeado” o “parchado” en las aplicaciones que protejan la seguridad de su sistema, como antivirus o cortafuegos, pues pueden modificarse sutílmente para que no detecten algún malware en particular, como backdoors, gusanos o troyanos que puedan crear los mismos programadores del parche o “crack” para crear botnets o distribuir malware.

Algunos síntomas que pueden revelar si un sistema puede estar infectado y formando parte de una de estas “redes zombies” son: conexión de red lenta, ejecución de procesos y servicios sospechosos, etc. Si esto llegará a suceder, se recomienda eliminar el software dañino por medio de un Antivirus o software especializado.


REFERENCIAS:
Plataforma Educativa de ESET Latinoamérica.
“Guía básica de utilización de medios Informáticos en forma segura”. ESET, LLC y Eset, spol. s.r.o.. 2006-2007.
BAQUÍA KNOWLEDGE CENTER, S.L. “Todo sobre los rootkits”. Fernando De La Cuadra. Diciembre 12 de 2005.
Wikipedia, la enciclopedia libre. “Rootkit”. Wikimedia Foundation, Inc. Febrero 4 de 2008.
Wikipedia, la enciclopedia libre. “Botnet”. Wikimedia Foundation, Inc. Febrero 4 de 2008.
Eset NOD32 Antivirus Software. “Botnets, redes organizadas para el crimen”. Cristian Borghello. 2008.

Dejanos tu Comentario

Nombre: (Requerido)

E-Mail: (Requerido)

Sitio WEB:

Comentario: