WP-zombies Sun_web.FH11

Transcripción

timefor
yourbusiness
Cómo evitar tener
ordenadores zombies
en su empresa.
www.pandasecurity.com
CÓMO EVITAR TENER ORDENADORES ZOMBIES EN SU EMPRESA
INDICE
1. Introducción
2. Redes de bots
3. Los datos hablan por sí solos...
4. Prevención contra los botnet
5. Un final ¿feliz?
Pág. 1
Pág. 2
1. Introducción
U
na mañana cualquiera llega a su
empresa. Tras el primer café de la
mañana, enciende el ordenador y
chequea los e-mails pendientes. Sólo ha
recibido una cuarta parte de lo que
habitualmente tiene que gestionar, pero no
le preocupa ¡hoy será un día tranquilo
en el que por fin podrá sacar todo el
trabajo prioridad B que ha ido aparcando
durante la semana!
Durante la reunión con su financiero, le
comenta que tampoco ha recibido
muchos e-mails, pero no le da mayor
importancia.
A media mañana, reunión con el Director
de Ventas. Este le expresa su preocupación,
ya que no están entrando los pedidos de
clientes que estaban esperando. Y claro, así
no se puede llegar a la cuota de ventas
Tras un rato manejando las excusas,
interrumpe el informático: algo pasa con
las comunicaciones en la empresa.
Vaya, lo que faltaba, y casi final de mes.
Tras una mirada fulminante, le ordena que
lo arregle inmediatamente.
Tras un portazo y una carrera por el
pasillo, el informático lleva a cabo todas
sus rutinas de comprobación, pero no
encuentra nada. Piensa que será algo
transitorio, y pasa a otra cosa hasta que
empieza a sonar su teléfono y usuarios
nada amigables empiezan a explicarle que
el problema ya no es que no reciben emails, sino que tampoco pueden enviar.
Tras una simple comprobación, el
informático ve cómo el tráfico de red es
exagerado, sobre todo para no poder
enviar ni recibir Ha perdido toda la
conectividad.
Finalmente, llama a su proveedor de
servicios de Internet. Después de 10
minutos de explicación, el operario le dice
que le han cortado las comunicaciones
porque han detectado que está enviando
spam. Y que lo puede desbloquear, pero
el sistema volverá a bloquearlo de forma
automática, y que la solución es buscar el
problema.
Frenéticamente, comienza a analizar los
PCs, a comprobar los sistemas operativos,
a chequear con Marketing que no han
cometido algún error enviando una
campaña Nada, no es capaz de dar con
ello.
Finalmente, se lanza a la búsqueda de
información en Internet, y es allí donde
averigua que el problema puede venir de
que sus pcs pueden estar infectados por
bots. En Internet recomiendan hacer una
auditoría de seguridad, que hace con una
aplicación gratuita, Malware Radar, y el
informe que le da le confirma que,
efectivamente, su red está plagada de
bots y tiene unos cuantos PCs zombies.
Contrata los servicios de profesionales que
le limpian la red y, a los dos días, todo
vuelve a la normalidad. ¡El jefe está
contento! Menos mal...
Siete días después, el jefe recibe una
citación judicial para personarse a declarar
en una denuncia por distribución ilegal de
troyanos desde su empresa... troyanos que
han hecho parar la actividad a 20
empresas con un coste de 50.000,00
Y suena el teléfono: su secretaria le
anuncia que le llama una periodista de El
Mundo para entrevistarle por no sé qué
relacionado con Troya
El jefe sonríe por no llorar.
Esta situación, aparentemente novelesca,
realmente es una historia real (bueno, algo
de ficción tiene, nos teníamos que permitir
alguna licencia literaria para darle más
efecto). Sucede continuamente, y cada vez
más. Y lo peor, pasa ante nosotros sin que
nos demos cuenta.
Pág. 3
Las cibermafias buscan dinero. Para
conseguir dinero en Internet de forma
fraudulenta, y al igual que los cacos
tradicionales se ocultan con un
pasamontañas, se esconden realizando
sus fechorías desde ordenadores que no
son los suyos. ¿De quién son esos
ordenadores que utilizan de forma
indiscriminada?
De empresarios que piensan que el
problema con el correo electrónico es una
excusa comercial.
En este paper le proporcionaremos pistas
sobre cómo funciona el negocio de los
bots y de los ordenadores zombies, y le
daremos algunos consejos para evitar
engrosar este gran ejército, cada vez más
utilizado.
Pág. 4
2. Redes de bots
B
ot es el diminutivo de la palabra
Robot. Son pequeños programas
que se introducen en el ordenador,
con la intención de tomar el control
remoto del equipo del usuario sin su
conocimiento ni consentimiento.
¿Cómo nos infectamos? A través de la
navegación web, con un correo
electrónico infectado, por programas
descargados a través de redes P2P... En
definitiva, de múltiples maneras.
En realidad, estos programas lo único que
hacen es seguir instrucciones de su
creador. Se quedan esperando hasta que
les llega una orden y se ponen en
funcionamiento.
Las redes de bots o Botnet son grupos de
ordenadores infectados por bots y
controlados remotamente por el
propietario de los bots. Este propietario da
instrucciones que pueden incluir: la propia
actualización del bot, la descarga de una
nueva amenaza, mostrar publicidad al
usuario, el envío de spam o el lanzar
ataques de denegación de servicio, entre
otras. Un ejemplo es el célebre
Conficker, que permite recibir órdenes de
sus creadores para realizar diferentes
acciones.
Generalmente, al ordenador infectado se
le denomina zombie. Algunas redes
pueden llegar a tener decenas de miles de
ordenadores zombies bajo control remoto.
Es habitual que dichas redes, controladas
por el llamado pastor, tengan un modelo
de negocio que les permite ganar dinero
con ellas. Este es el caso del alquiler de
estas redes para enviar spam, distribuir
phishing, etc. Por ello cobran dinero, y
usando ordenadores que no son suyos,
borran el rastro que pueda dejar su
actividad maliciosa.
Muchos de estos programas funcionan
sobre IRC (Internet Relay Chat) y, de
hecho, hay comunidades botnet en las
redes IRC donde los hackers se ayudan
entre sí, o intentan hacerse con la red de
zombies de otro hacker.
Envío de spam, uso más común de
las redes de bots
El spam sigue siendo un gran problema
incluso hoy en día, donde está
considerado en muchos sitios como un
delito. Es una experiencia frustrante abrir
el email y encontrarnos con docenas de
correos basura que no aportan nada. ¿De
dónde viene todo ese spam? Según
nuestro laboratorio de investigación
PandaLabs, se estima que más del 90% de
todo ese correo basura viene de redes con
ordenadores zombie.
Si el spam viniera de una sola fuente
centralizada, sería relativamente fácil
seguir el rastro hasta su origen y solicitar al
proveedor de servicios de Internet
correspondiente para que realizara la
desconexión a Internet del origen y
solucionarlo. Además, detener al malo
sería relativamente fácil.
Para evitar que esto ocurra, los
ciberdeliencuentes utilizan las redes de
bots. El ordenador zombie se convierte en
un proxy, lo cual significa que el hacker
está a un salto de distancia del origen de
los emails de spam. Un hacker con una
botnet grande puede enviar millones de
mensajes todos los días.
Pág. 5
Ataques de denegación de servicio
Algunas veces un hacker utiliza una red de
ordenadores zombie para sabotear un sitio
Web específico o un servidor de Internet.
La idea es bastante sencilla: un hacker le
dice a todos los ordenadores que
componen su botnet que contacten a un
servidor específico o a un sitio Web de
forma continuada. Este repentino
aumento de tráfico puede hacer que la
Web o servidor se sobrecargue,
impidiendo su funcionamiento correcto
para usuarios legítimos. Algunas veces
este tráfico provocado es suficiente para
tirar abajo el sitio de forma definitiva. Esto
se llama un ataque de denegación de
servicio, también llamados ataques DDoS.
Algunos botnet usan ordenadores limpios
como parte de estos ataques. Así es como
funciona: el hacker inicia el comando para
empezar el ataque desde su ejército de
zombies. Cada ordenador dentro del
ejército envía una petición de conexión a
un ordenador inocente llamado reflector.
Desde la perspectiva de los reflectores,
parece que el sistema de la víctima ha sido
el que ha requerido los paquetes de
información. Estos reflectores envían
información al sistema de la víctima, y
eventualmente el sistema comienza a
sufrir. Finalmente cae al no poder
gestionar tantas peticiones y respuestas de
todas estas máquinas a la vez.
Desde la perspectiva de la víctima, parece
que han sido los reflectores los que han
atacado el sistema. Desde la perspectiva
de los reflectores, parece que el sistema de
la víctima ha sido el que ha requerido los
paquetes de información. Los ordenadores
zombie se mantienen ocultos, y por
supuesto el hacker se mantiene en el
anonimato.
La lista de víctimas de estos ataques DDoS
son innumerables, y no se libran de ellos ni
siquiera las grandes compañías que
operan en Internet. Microsoft sufrió un
ataque de este tipo desde ejemplares de
malware como Blaster o Mydoom. Otras
compañías asentadas en la red como
Amazon, eBay, CNN o Yahoo también lo
han sufrido. Algunos de estos ataques
tienen ya su propia definición:
Ping de la muerte - Los bots crean
paquetes de datos de gran tamaño y
los envían a la víctima.
Mailbomb Los bot envían una masiva
cantidad de emails que hacen caer a los
servidores de correo.
Ataque Smurf Los bot envían mensajes
con paquetes ICMP a los reflectores, que
reenvían dichos paquetes a la víctima.
Teardrop Los bot envían partes de un
paquete ilegítimo y el sistema de la
víctima intenta recomponer las partes
en un solo paquete. Como resultado, el
sistema cae.
Pág. 6
Fraude en PPC o pago por click
Otra forma de usar este tipo de redes con
ordenadores controlados por una o varias
personas es el click fraud o fraude en los
clics. Click fraud se refiere a configurar
adecuadamente un botnet para hacer clic
repetidamente en un enlace específico. En
ocasiones, estos clics pueden ir dirigidos a
publicidad que el propio hacker tiene en
una de sus Web. Algunos métodos de
publicidad usualmente pagan una
cantidad de dinero por el número de clics
que un anuncio tenga, y por ello el hacker
obtiene una cantidad de dinero con visitas
falsas haciendo clics fraudulentos.
Una de las cosas que más asusta de estas
redes de ordenadores zombies es que
podemos acabar siendo víctimas de un
robo de identidad o participar sin saberlo
en un ataque a una página Web. Es
importante protegernos contra estas
posibles amenazas y descubrir también si
otros ordenadores tienen la seguridad
comprometida.
Pág. 7
3. Los datos hablan por sí solos
D
e acuerdo a los datos de PandaLabs,
cada día se crean cerca de 400.000
nuevos PCs zombies (es decir,
ordenadores infectados que esperan
órdenes). Su período de vida es corto, por
lo que gran parte de la actividad de los
hackers se concentra en la captación de
nuevos adeptos para su ejército.
Esta cifra va en crecimiento. Cada día se
crea más malware (en PandaLabs se reciben
más de 37.000 nuevos ejemplares diarios),
y dicho malware hay que distribuirlo.
De acuerdo al informe trimestral
elaborado por Commtouch, el 17,5 del
tráfico mundial originado por zombies
viene de ordenadores infectados y
alojados por el siguiente ranking de ISPs:
1 telesp.net.br
2 veloxzon.com.br
3 ttnet.net.tr
4 tpnet.pl
5 airtelbroadband.in
6 brasiltelecom.net.br
7 asianet.co.th
8 ukrtel.net
9 telecomitalia.it
10 verizon.net
Pág. 8
¿Cómo puede perjudicar a su
empresa?
El tener ordenadores infectados en su
empresa puede causarle daños cuantiosos
tanto al empresario como a sus clientes y
proveedores.
Algunas de las consecuencias son:
Problemas en la red interna y en las
comunicaciones de la compañía.
Pago excesivo por tráfico de red (en el
caso de modelos de pago por consumo).
Pérdida de reputación corporativa, en el
caso de que con el remitente de la
empresa se envíe spam de compra de
Viagra o un troyano que detecta el
ordenador del cliente o proveedor.
Riesgo de multas que pueden ir desde
simples sanciones administrativas hasta
penas de cárcel, dependiendo de para
qué se haya usado la red de bots.
Percepción de imagen negativa, que
puede incluso saltar a los medios.
Y todo ello, que es lo peor, sin haber
cometido un solo delito de manera
consciente
Lo mejor es prevenir
Pág. 9
4. Prevención contra las botnet
N
o quieres que tu red se convierta
en una botnet, por lo que
¿cómo lo prevenimos? Una de las
cosas más importantes a recordar es que
la prevención es un proceso continuado:
no se puede hacer el esfuerzo un día y
esperar estar protegido para siempre.
Hay determinadas buenas prácticas que
hay que tener en cuenta:
Tener un buen software antimalware
instalado y actualizado, protegiendo
todos los puntos de la red.
Si el antimalware no incluye firewall, es
recomendable instalar uno, tanto en
los puestos como en los servidores.
Ten una adecuada política de
establecimiento y mantenimiento de
contraseñas (no pongas el nombre de
la empresa, por ejemplo).
De vez en cuando, realiza auditorías de
seguridad en profundidad.
Protege también el perímetro de la red,
para asegurarte que los empleados no
se infectan al navegar por la web.
Aplica todos los parches de seguridad
que publican los diferentes fabricantes
de software utilizados en la empresa
(Microsoft, Adobe, etc.).
Mantente al día de las noticias sobre
nuevas vías de infección y nuevos
trucos.
Pág. 10
5. Un final ¿feliz?
E
l jefe solventó el lío. Al final se
demostró que era inocente, que no
había sido consciente de lo que
había pasado De ésta, se libró.
El informático durmió mal durante varios
días, pensando que iba a perder su
trabajo. Finalmente, continuaba
teniéndolo, pero con la condición de
acometer diligentemente todas las
medidas de prevención necesarias para
que no volviera a pasar.
El director de ventas no cobró su comisión
ese mes vale que no había correo, pero
el teléfono funcionaba para haber cogido
los pedidos, y el equipo comercial no lo
hizo
Y la secretaria se hizo amiga de la
periodista de El Mundo le fascinó su
pregunta sobre Troya
Sobre Panda Security
Fundada en 1990, Panda Security es la empresa líder a nivel mundial en soluciones de
seguridad basadas en la nube. La compañía cuenta con productos traducidos a más de 23
idiomas y millones de usuarios en 195 países de todo el mundo. Panda Security fue la
primera empresa de seguridad informática en aprovechar el potencial del Cloud Computing
con su tecnología de Inteligencia Colectiva. Este innovador modelo de seguridad puede
analizar y clasificar de forma automática miles de nuevas muestras de malware al día,
proporcionando a los clientes corporativos y a los usuarios domésticos la protección más
eficaz contra las amenazas de Internet con mínimo impacto sobre el rendimiento del PC.
Panda Security cuenta con 56 oficinas repartidas por todo el mundo y oficinas centrales en
Estados Unidos (California) y Europa (España). Para más información, visite:
http://www.pandasecurity.com
Sobre Sun Microsystems, Inc.
Sun Microsystems desarrolla las tecnologías que potencian el mercado global. Guiados por
una visión singular la red es el ordenador (The Network is The Computer)- Sun dirige la
participación a través de la innovación compartida, el desarrollo de comunidades y el
liderazgo del movimiento Open Source. Sun está presente en más de 100 países y en
Internet, en la página www.sun.es.
PANDA SECURITY
Delegación Bilbao
Gran Vía Don Diego López de Haro, 4
48001. Bilbao. ESPAÑA
Tlf: 94 425 11 00 - Fax: 94 434 35 65
Delegación Barcelona
Alcalde Barnils 64-68, Bloque C - 3ª planta. Puerta 1
08172 Sant Cugat del Vallès. Barcelona. ESPAÑA
Tlf: 93 208 73 00 - Fax: 93 458 59 00
Delegación Madrid
Ronda de Poniente, 17
28760. Tres Cantos. Madrid. ESPAÑA
Tlf: 91 806 37 00 - Fax: 91 804 35 29
Delegación Valencia
Doctor Zamenhof, 20 Bajo
46008. Valencia. ESPAÑA
Tlf: 96 382 49 53 - Fax: 96 385 93 80
902 24 36 54
© Panda Security 2010. Todos los derechos reservados. 0110-WP-ZOMS-1

WP-zombies Sun_web.FH11

Transcripción

Documentos relacionados

¿Qué ventajas tiene una licencia autónoma para varios puestos?

TRABAJO 1. Consultar acerca de las redes sociales Facebook