Denken Über El weblog de Mariano Amartino donde escribo sobre tecnología, estrategias y cosas de internet.

Hace 3 años

Rustock y Waledac: como Microsoft decapitó dos botnets

Skull_skulls Hace un año Microsoft decapitaba una de las botnets más grandes del mundo en esa época, Waledac con casi 1 millón de PCs infectadas era uno de los más grandes distribuidores de spam y malware y hace una semana lograron dejar sin operación a Rustock otra de las más grandes botnets del mundo.

Y necesité leer demasiado de un tema que me parece fascinante porque en cierto sentido Microsoft con su Operación b107 o la de Waledac, hicieron algo que es similar a una decapitación más que a una batalla, no destruyeron la amenaza en si, ni “desinfectaron” las PCs/Mac infectadas a lo largo del mundo sino que cortaron la comunicación con los únicos habilitados para dar órdenes…. y repito, no atraparon ni a los generales (bot masters) ni masacraron soldados (los zombies) con lo que es imposible pensar que la batalla está terminada.

Si uno mira con detalle como se eliminaron estas amenazas ve un acercamiento de varias capas, usando demandas legales por violación de copyright, infracciones a su marca y similares; lograron que se pueda tomar acceso a las direcciones IP que tenían permiso para enviar las órdenes (analizando el tráfico de la red con honeypots a PCs zombies), equipos internos sumados a investigadores de universidades entraron en proveedores de colocation (que no saben que hay en las máquinas a las que le dan infraestructura) y retiraron los equipos que tenían a su vez, el software de control con la firma digital que los zombies buscaban hacer coincidir con las direcciones IP para saber que el bot-master (persona que corre la botnet) era el que estaba efectivamente diciendole que hacer (sea ser un rely de spam, de popups, de malware, etc.).

Y en cierto sentido kudos a MSFT por buscar un nuevo enfoque que en vez de buscar a las personas atrás de esto o a los que tienen (¿tenemos?) las máquinas infectadas empiezan primero por hacerlos inefectivos entendiendo como funciona la mente en el mercado negro de la seguridad…. solo les haría falta “blindar” PCs pero hey, ni esa estrategia va a ser efectiva cuando la gente (mi madre por ejemplo) vive descargando desde Powerpoints hasta Toolbars y etc.

En Wikipedia: Rustock Botnet

sin comentarios por ahora