REDES ZOMBI

Qu son las redes zombi? En trminos informticos, un programa zombi dentro de un equipo de cmputo, es aquel que se controla de forma remota y comnmente se instala en los equipos sin el consentimiento del usuario, adems, en la mayora de las ocasiones, se utiliza para propsitos maliciosos. Cuando este programa se instala, proporciona al intruso un control absoluto del equipo, que ahora se encuentra en estado zombi. Las redes zombi son un conjunto de equipos en Internet, comnmente llamadas botnets, que se encuentran prisioneras e infectadas por programas tales como caballos de Troya, spyware o gusanos de propsito especfico, que afectan a equipos de cmputo desprotegidos o no actualizados en sus sistemas de seguridad. Estas redes zombi son usadas, por lo general, para enviar correo no solicitado o, de forma sincronizada, transmitir ataques de negacin de servicio distribuido a travs de la red, provocando saturacin, redes lentas y, en consecuencia, un impacto operacional y econmico a cualquier organizacin. Los equipos de cmputo sin proteccin antivirus, o algn programa anti-spyware, son los equipos favoritos para almacenar este tipo de programas; desafortunadamente, esa tendencia ha evolucionado en los ltimos meses, ya que inclusive, equipos protegidos con algn antivirus pero que no contaban con las recientes definiciones de virus, gusanos y cdigos maliciosos, se han vuelto blancos fciles para expandir e instalar programas zombi dentro de los equipos.

Para qu se usan los equipos zombi? Cuando un equipo de cmputo es comprometido a travs de la instalacin de un programa zombi, ste puede ser blanco fcil para que los intrusos depositen y utilicen el equipo y recursos para diversos fines, entre los que sobresalen:

Generar ataques de negacin de servicio distribuido. Es un ataque a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legtimos. Normalmente provoca la prdida de la conectividad de la red por el consumo del ancho de banda de la red de la vctima o sobrecarga de los recursos computacionales del sistema de la vctima.

Ataques al y desde el servidor IRC para chatear. Descarga de software pirata. Inclusin de material pornogrfico. Software de intercambio a travs de redes P2P (Peer-to-Peer), principalmente intercambio de archivos con formato mp3 y mpeg.

Envo de spam. Esta es una de las modalidades ms simples y difundidas de explotacin de las redes-zombi. Los expertos estiman que al presente ms del 80% de las cartas spam se envan desde redes-zombi. No son precisamente los dueos de la red-zombi los que envan el spam desde sus redes sino que se las alquilan a los spamers por una mdica suma.

Otro valor agregado que ofrecen las redes-zombi es la posibilidad de recolectar en las mquinas infectadas direcciones de correo electrnico para venderlas a los spamers o para que los propios dueos de las redes-zombi enven spam. De esta manera la creciente red-zombi permite recibir nuevas y nuevas direcciones.

Tipos de redes-zombi La clasificacin de redes-zombi es bastante simple, est basada en la arquitectura de redes-zombi y protocolos usados en la direccin de programas zombi. Clasificacin de redes-zombi segn su arquitectura Hasta ahora se conocan apenas dos tipos de arquitectura de redes-zombi. 1. Redes-zombi con un centro nico. En las redes-zombi con esta arquitectura, todos los ordenadores zombi se conectan con un solo centro de direccin o C&C (Command & Control Centre, centro de direccin y control). El C&C espera la conexin de nuevos programas zombi, los registra en su base, cuida su estado y les da rdenes, que son elegidas por el dueo de la red-zombi de la lista de posibles instrucciones para programas zombi (bots). Todos los ordenadores zombi se ven unos a otros en el C&C y para dirigir la red zombi centralizada, el dueo de la red necesita el acceso al centro de control y direccin.

Topologa centralizada (C&C)

Las redes-zombi de control centralizado son el tipo de red-zombi ms difundido. Estas redes-zombi son ms fciles de crear, controlar y reaccionan ms rpido a las rdenes. Adems luchar con las redes-zombi de control centralizado es tambin ms fcil, para neutralizar esta red-zombi es suficiente cerrar el C&C.

2. Redes-zombi descentralizadas o P2P-redes-zombi. (Del ingls peer-to-peer, que significa conexin del tipo punto-punto). En caso de una red-zombi descentralizada, los zombis no se conectan con el centro de control, sino con algunas mquinas infectadas de la red-zombi. Las rdenes se transmiten de un programa zombi a otro: cada zombi tiene una lista de direcciones de algunos vecinos y al recibir la orden de uno de ellos, transmite esta orden a los dems, difundiendo as la orden ms all. En este caso para dirigir toda la red-zombi basta que el malhechor tenga acceso por lo menos a un ordenador que es parte de la redzombi.

En la prctica la construccin de una red-zombi descentralizada no es muy cmoda, puesto que es necesario dar a cada ordenador infectado la lista de aquellos programas zombis (bots) con los que se relacionar en la red-zombi. Lo ms sencillo es enviar el programa zombi (bot) a un servidor centralizado, donde recibir la lista de los programas zombi vecinos y despus hacer que acte a travs de P2P. Esta topologa mixta tambin corresponde al tipo P2P, a pesar de que en cierto momento se use C&C. Luchar con las redes-zombi descentralizadas es ms complejo porque en la red-zombi activa no existe un centro de control.

Clasificacin de redes-zombi segn el uso de protocolos de red Para transmitir al programa zombi la orden del dueo de la red-zombi, es necesario como mnimo instalar una conexin de red entre el ordenador-zombi y el ordenador que emite las rdenes. Todas las interacciones de red estn basadas en los protocolos de red que determinan las reglas de comunicacin de los ordenadores dentro de la red, por eso existe una clasificacin de redes-zombi basada en el uso de protocolos de comunicacin. Segn el tipo de protocolos de red las redes-zombi se dividen en las siguientes clases: 1. Las de orientacin IRC. Esta es una de las primeras redes-zombi, donde el control de zombis se realizaba usando IRC (Internet Relay Chat ,es decir, charla interactiva internet). Cada ordenador infectado se conectaba con el servidor IRC indicado en el cuerpo programa-zombi, entraba en un canal determinado y esperaba las rdenes de su dueo. 2. Las de orientacin IM. No es un tipo de red-zombi muy popular. Se diferencia de los de orientacin IRC solamente en que para la transmisin de datos se usan canales IM (Instant Messaging) es decir, canales de servicio de mensajera instantneacomo: AOL, MSN, ICQ y otros. La poca popularidad de estas redeszombi se debe a las dificultades que aparecen al crear una cuenta separada de servicio IM para cada programa zombi (bot). El caso es que los programas zombi tienen que salir a Internet y estar constantemente en lnea. En vista de que la mayora de los servicios IM no permiten entrar en el sistema desde diferentes ordenadores usando una misma cuenta, cada programa zombi debe tener su propio nmero de servicio IM. Adems los dueos de servicios de mensajera instantnea impiden de diferentes formas cualquier registro automtico de cuentas. Como resultado los dueos de las redes-zombi de orientacin IM estn muy limitados en cuanto a nmero de cuentas registradas se refiere, y por consiguiente en el nmero de zombis que estn presentes en la red. Claro que los zombis pueden usar una misma cuenta, estar online una vez cada cierto tiempo, enviar los datos al nmero del dueo y durante un corto tiempo esperar la respuesta, pero todo esto es

bastante problemtico. Este tipo de red tiene una reaccin muy lenta a las instrucciones. 3. Las de orientacin Web. Esta es una rama relativamente nueva de redes-zombi controladas a travs de WWW. El zombi se conecta con determinado servidor web, recibe de ste las instrucciones y enva los datos como respuesta. Este tipo de redes-zombi son populares porque son relativamente fciles de elaborar, ya que existe una gran cantidad de servidores web en Internet y porque son simples de controlar a travs del una interfaz web. 4. Otros. Adems de los mencionados existen otros tipos de redes-zombi, que se comunican en base a su propio protocolo, basndose solamente en la estructura de datos o stack TCP/IP: usan solo protocolos generales TCP, ICMP, UDP.

rdenes o instrucciones para los programas zombi (bots) Las rdenes que cumplen los programas zombi son variadas, pero como regla estn en la lista que damos a continuacin. La denominacin de estas rdenes puede ser diferente en las variedades de programas zombi que existen, pero el sentido de las rdenes sigue siendo el mismo. Update: cargar y ejecutar el archivo en ejecucin indicado o el mdulo del servidor indicado. Esta orden es la bsica, ya que es la que se cumple en primer lugar. Adems, en caso de que el dueo de la red-zombi quiera instalar una versin nueva del programa zombi (bot), esta orden permite renovar el archivo zombi ejecutablesiguiendo la orden de su dueo. Esta misma orden permite infectar el ordenador con otros programas perjudiciales (virus, gusanos), as como tambin permite instalar otros programas zombi en el ordenador. Con la ayuda de esta orden se pueden instalar programas troyanos al mismo tiempo en todos los ordenadores, estos troyanos buscan todas las contraseas que hayan sido introducidas alguna vez en el ordenador y guardadas en su memoria, y luego las envan al servidor en Internet. Flood: empezar el proceso de creacin de un flujo de peticiones falsas dirigidas a un servidor indicado de Internet con el fin de que el servidor deje de funcionar o de sobrecargar el canal de internet del segmento indicado de la Red global. La creacin de este tipo de flujos puede provocar serios desajustes en el servidor que imposibilitarn el acceso a los simples usuarios. Este tipo de ataquecon el empleo de redes-zombi se llama ataque DDoS. Los tipos de falsas peticiones dirigidas a la red son muchos as que nos los describiremos y nos limitaremos a tener una idea general de ellos. Spam: cargar el modelo de mensaje-spam y empezar a enviar spam a las direcciones indicadas (cada zombi tiene su porcin de direcciones). Proxy: usar el ordenador indicado como servidor-proxy. A menudo esta funcin no es en una funcin separada, sino que est incluida en la funcin del programa zombi (bot). Esta es una de las funciones que permite usar cualquier ordenador de la red-zombi como

servidor-proxy con el fin de ocultar la direccin verdadera del malhechor que dirige la redzombi. Existen tambin otras funciones, sin embargo no estn dentro de las ms populares y por eso estn solo en algunos programas zombi. Estas rdenes suplementarias permiten obtener copias de las pantallas del usuario (captura de pantallas), vigilar las teclas que se pulsan en el teclado, pedir archivos con protocolo de red de comunicacin del usuario (se usa para robar cuentas y datos confidenciales), reenviar el archivo indicado desde el ordenador del usuario, solicitar los nmeros de serie del software, obtener informacin detallada sobre el sistema del usuario y su entorno, solicitar la lista de ordenadores que forman parte de la red-zombi, etc.

Conclusiones En los ltimos aos, el delito ciberntico ha crecido y se ha diversificado, al emplear nuevas tcnicas de intrusin. Las redes zombi son un ejemplo claro de esta diversificacin, desafortunadamente siempre impactan en los usuarios finales que pagan costos altos por no mantener actualizados sus equipos de cmputo y con la instalacin apropiada, ni con la administracin peridica de su antivirus. Internet evoluciona constantemente, y en la mayora de las ocasiones, luchamos en vano en ambientes de seguridad, dado que la filosofa original bajo la cual fue creada Internet, dista mucho de lo que es actualmente. Es difcil perseguir y castigar este tipo de delitos, ya que diariamente son intercambiados en computadoras, tarjetas de crdito, accesos, cuentas de banco, etc. Para perseguir y castigar este tipo de problemas, se requiere de una gran coordinacin entre equipos y expertos de seguridad; aunado a esto, sobresale la carencia de leyes que ayuden a combatirle, pero mientras no nos decidamos a combatirlos realmente en cada pas, considerando trabajo de equipo de abogados y expertos en seguridad, para as entender el dao y hacer propuestas e iniciativas de leyes, los delitos seguirn manifestndose en mltiples formas, se sofisticarn, y el usuario final siempre estar pagando un costo alto en muchas de las ocasiones no est ni siquiera enterado; y a su vez, se seguirn originando graves problemas que pueden tener un impacto econmico, con repercusiones en lo social.

Recomendaciones para protegerse de las redes zombi Estas son algunas recomendaciones para evitar o intentar proteger tu pc de ser parte de una red zombi:

Mantener un programa antivirus actualizado. Obtener la definicion de virus, gusanos y cdigos maliciosos del antivirus. Instalar programas anti-spyware. Mantener actualizado el sistema operativo, el navegador y otros programas que ayuden a proteger la pc.

Crear diferentes cuentas de usuario, y asignar a ciertos usuarios privilegios limitados para navegar. Con ello se evita que los nios abran la puerta, mediante sus hbitos de navegacin, al software maligno.

No abrir mensajes de origen dudoso o desconocido. No visitar sitios para adultos, sobre todo aquellos con contenido gratuito. No participar en cadenas de correo Instalar o activar un firewall: (es recomendable tener solo uno activo a la vez).

BIBLIOGRAFIA

http://www.enterate.unam.mx/Articulos/2005/enero/zombi.htm

http://www.imh.es/dokumentazio-irekia/manuales/seguridad-basica-en internet/introduccion/seguridad-en-internet

http://www.viruslist.com/sp/analysis?pubid=207270986