Esteu aquí

"Botnets", el costat fosc d'Internet

Reprodueixo integrament un article molt interessant de Merce Molist a l'edició electrònica del diari El País.

 
Un xarxa de cibercriminals s'ha infiltrat en l'últim any en ordinadors de més de 100.000 persones i 2.400 empreses de 196 països - Els delinqüents es fan remotament amb la informació que corre per aquestes computadores, espien, bombardegen i envien milions de correu escombraries.

Febrer ha estat un mes prolífic per a les botnets (robots de la Xarxa), les xarxes d'ordinadors zombis. Han passat bruscament de 4.000 a 6.000 en tot el món, segons la Fundació Shadowserver, seguint una tendència a l'alça que fa anys que dura. Les xarxes de botnets s'empren per a rendibles negocis bruts, inclòs el recent atac i espionatge contra empreses, descobert la setmana passada per Net Witness, amb més de 74.000 ordinadors sota el seu control, 1.400 d'ells a Espanya.

Una botnet es crea infectant ordinadors sense que els seus propietaris ho sàpiguen. Cada màquina reclutada pel virus es posa en contacte sigil•losament amb el criminal a l'espera de les seves ordres. I així és com els investigadors han descobert una forma d'espiar aquestes xarxes: fent-se passar per ordinadors infectats que accedeixen a elles. Si hi ha sort, fins i tot aconsegueixen parlar amb qui les controlen.

Així vam conèixer a Moudi i Arz, dos genis del costat fosc de la Xarxa. Ens citen per a parlar per Messenger, però abans hem de trucar a un nombre de telèfon internacional i respondre algunes preguntes que els demostraran la nostra identitat. Després de la trucada, més confiats, expliquen que tenen 21 anys i viuen a Líban. Es van conèixer en un remot xat i un dia Arz va proposar a Moudi treballar junts. Arz i Moudi es dediquen a les botnets i al cibercrim. Ells ho diuen diversió. "Tinc sota control estable milers d'ordinadors, però la majoria ni els faig servir; els vaig assaltar per a demostrar el meu poder", explica Arz, qui al llarg de la xerrada negarà cobrar per això. "La policia no pot fer-me res si no ho faig per diners i, a més, no tenen ni idea del que tinc".

Són molt pocs els operadors de botnets empresonats. Amaguen les seves localitzacions reals saltant a través d'ordinadors compromesos, de manera que l'adreça que apareix en els registres és la d'aquestes màquines i no la seva. També són experts a ocultar, dintre dels ordinadors, els programes que els permeten controlar-los, cridats bots.

És un món cada dia més complex, on actuen des de grans organitzacions mafioses fins a petits grups de tècnics com el que formen Arz i Moudi, un amic romanès i "l'aprenent". La funció d'aquests tècnics és crear els virus i infectar les pàgines que al seu torn infectaran als seus visitants; crear els programes per a muntar i gestionar les botnets, i administrar-les.

Sous de 100.000 a l'any

Els tècnics poden treballar en una organització o anar per lliure. En aquest cas, venen o lloguen les seves botnets a empreses que desitgen enviar correu escombraries, bombardejar o espiar a altres empreses, o robar dades bancàries. "Un botmaster que es dediqui a enviar spam guanya entre 50.000 i 100.000 dòlars a l'any", assegura Bernardo Quintero, de Hispasec.

També poden vendre o llogar els seus paquets de webs infectades o programes per a crear botnets a uns altres que vulguin construir la seva. El preu d'un bot (programa per a controlar els ordinadors d'una botnet) en el mercat negre és d'uns 1.000 dòlars si és indetectable per als antivirus, i més de 3.000 per als veritablement sofisticats.

Hi ha best-sellers, com ZEUS, que permeten crear una botnet personalitzada: "Un grup ho va desenvolupar, ho va vendre i en l'actualitat pot haver centenars o milers de botnets que ho usen", explica Quintero. ZEUS es va donar a conèixer al 2007 i actualment hi ha variants d'aquest, com el troià Kneber, amb el qual es va crear la botnet de 74.000 ordinadors esclaus que va identificar Net Witness.

El problema, diu David Barroso, d'S21sec, és que en aquest mercat "existeix una confiança zero entre venedor i comprador. Sempre hi ha la por que el programa tingui una porta del darrere i s'aprofitin del teu treball". Per això, les grans organitzacions prefereixen tenir tècnics propis que creen els seus programes.

L'originalitat en aquest camp no surt d'aquí, sinó dels grups petits com el de Arz i Moudi, als quals Quintero qualifica d'elit perquè "desenvolupen des de zero tota la botnet, des dels binaris i protocols fins als panells de control. Són els qui realment innoven, i entre ells els n'hi ha de molt bons".

L'expert en virus Ero Carrera afirma: "Hi ha molt bons enginyers en països on no hi ha indústria i el cibercrim és la seva forma de guanyar diners". Arz ho corrobora: "Aquí la vida no és tan simple, aquí Internet fa pudor, el Govern fa pudor, el treball fa pudor i a ningú li importa. Per sort tenim una cosa que ens agrada".

Les edats d'aquests joves tècnics solen estar entre els 16 i 25 anys, explica Barroso. Actuen des de tres punts geogràfics: Brasil-Mèxic, Xina i Europa de l'Est. Espanya és el camp d'acció d'aquests últims, encara que "també hi ha alguns botmasters espanyols", adverteix Quintero.

Les organitzacions els recluten en els xats o "en fòrums privats on ells mateixos venen els seus codis maliciosos", explica Barroso. Els clients, que busquen a algú que envií spam o bombardegi a la competència, usen la mateixa forma de contacte: "Una companyia que ho necessiti sabrà com trobar-te en el xat", explica Arz.

La xarxa de Pushdo

Para les empreses que no vulguin buscar a informàtics en foscs xats, hi ha també "comercials" que lloguen els seus serveis. Arz diu tenir amics dedicats a això, però que "treballen pel seu compte", assegura. El seu petit grup, diu, viu allunyat del costat més comercial.

"Algunes organitzacions després de les botnets són màfies que només volen diners", afirma Arz. Aquestes màfies solen manegar les xarxes més grans, amb desenes de milers d'ordinadors esclaus, com ara Pushdo, en actiu des de 2007 i responsable de l'enviament de gairebé 8.000 milions de correus escombraries al dia, segons Trend Micro, o la xarxa descoberta per Net Witness, que ha espiat a 2.400 empreses de tot el món.

Les grans organitzacions les porten gent de més edat, dedicada sobretot a la gestió i a les finances. La seva estructura bàsica està jerarquitzada: una o més persones escriuen els programes maliciosos, unes altres assalten i infecten les webs, unes altres controlen les botnets i, ja fora de l'àmbit tècnic, hi ha "comercials" i responsables de la gestió dels diners.

La creixent complexitat d'aquestes xarxes es centra sobretot en l'aspecte financer: "Hi ha persones que busquen i gestionen les mules (que transfereixen els diners robats als comptes dels criminals) i altres encarregades de vendre o llogar les dades, les màquines i webs infectades", enumera Barroso. Segueix Quintero: "Uns altres es dediquen a la venda o explotació física de números de targetes i al blanqueig dels diners".

Per a Arz, les botnets són un treball fàcil: "La Xarxa és insegura en un 98%, però la gent només té la culpa d'un 10%, la resta és perquè les empreses desenvolupen programes insegurs".

Tirar l'ham i esperar

Ingredients per a crear botnets: un virus, un kit de programes per a gestionar-los i un informàtic. El secret està en col•locar el virus en pàgines amb moltes visites: "Una vegada vam veure una botnet amb més de 11.000 pàgines compromeses. Cada usuari de Windows que les visitava amb un navegador desactualitzat quedava automàticament infectat. En dos dies vam aconseguir 90.000 afectats", diu Quintero.

El virus pot enviar-se per correu electrònic, encara que el més habitual és posar-los en les pàgines. Després és qüestió d'esperar que la gent piqui. Una vegada dins l'ordinador, el virus descarregarà un programa i ho instal•larà: és el bot, l'enllaç entre l'ordinador infectat i la net, la xarxa que permet el seu control remot. En una hora, afirma Arz, "es poden reclutar milers d'ordinadors".

El botmaster ho observa tot des del seu panell de Comandament i Control: veu en temps real els ordinadors que entren a la botnet, els qui surten perquè els seus amos els han desinfectat, estadístiques per origen geogràfic, sistemes operatius, contrasenyes i dades bancàries. A través del mateix panell, el botmaster envia ordres als ordinadors esclaus.

És una tasca que pot fer una sola persona des de la seva casa, amb un ordinador i una connexió normal. De vegades, un mateix tècnic controla dos o tres botnets alhora. "El treball dur és desenvolupar els programes; la gestió és més suportable", afirma Quintero. Encara així, és un treball full time: 15 hores diàries o més, segons Barroso. "Quan estan realitzant un atac massiu, li dediquen molt temps. Ara és un treball professional". El programa de Comandament i Control de la botnet pot tenir una interfície gràfica o ser una simple finestra de xat, en el cas dels més antics. La segona generació són els programes que funcionen per web, més difícils d'espiar i desactivar. Les màquines infectades es connecten amb el botmaster a través del protocol HTTP, que la majoria dels tallafocs deixen passar. La tercera generació usa el protocol P2P, sense nodes centralitzats i, per tant, gairebé impossible de clausurar.

Tags: