Eugenio de la Torre Domingo <edelator@greenpeace.

org>

DNS Botnet Cyberwar

Akencito <ea4fvw@gmail.com> 5 de julio de 2010 09:28
Para: edelator@greenpeace.org

Enviado por Akencito a través de Google Reader:

DNS Botnet Cyberwar

vía Security By Default de noreply@blogger.com (Contribuciones) el 4/07/10

Definición extraída de la Wikipedia (http://en.wikipedia.org/wiki/Botnet)

Botnet : es un término que hace referencia a un conjunto de robots informáticos o bots, que se ejecutan de manera
autónoma y automática. El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma
remota y normalmente lo hace a través del IRC: Las nuevas versiones de estas botnets se están enfocando hacia
entornos de control mediante HTTP, con lo que el control de estas máquinas será mucho más simple. Sus fines
normalmente son poco éticos.

De esta sencilla definición podemos extraer el funcionamiento básico de una botnet y comenzamos con una visión más
amplia del problema.

Sus comienzos aproximadamente sobre 1990 no fueron por motivos económicos, más bien fueron una forma de control
sobre servidores hackeados y que permitían de una forma sencilla usarlos para ataques distribuidos, pasarelas para
nuevos ataques, etc. Fue entonces cuando las mafias cibernéticas encontraron en ellas un nuevo modelo de negocio,
que continua siendo el medio más frecuente empleado para realizar actos fraudulentos en internet.

Para ello desarrollaron una metodología basada en la infección de Malware para poder disponer de los recursos de los
equipos que infectaban. Como medio de control mas frecuente en sus orígenes era crear un canal de comunicación
mediante servidores de IRC (Internet Relay Chat) libres. Más tarde comenzarían a usar otros canales de comunicación
basados en HTTP (Hypertext Transfer Protocol) como por ejemplo Twitter (Para más información puede leer el
siguiente enlace :http://asert.arbornetworks.com/2009/08/twitter-based-botnet-command-channel/).

Una vez se consigue infectar con Malware y estos comienzan a acceder al canal de control, quedan en estado de
zombie a la espera de nuevas órdenes por parte del Bot Master, que frecuentemente suele ser una persona que ha
pagado por disponer de acceso a dicha Botnet para realizar ataques distribuidos DDoS (distributed denial-of-service
attack), envío de SPAM (correo basura) o distribuir aún más malware con otro tipo de fines como Phishing (estafas).

Como solución ciertas empresas ofrecen un nuevo servicio de seguridad que intenta prevenir al usuario mediante el uso
de uno de los protocolos más antiguos de internet, el protocolo de DNS (servidor de nombres, RFC 1034/1035 de
1987).

El cliente solicita una resolución de nombre para domain.com en un servidor de DNS público y este devuelve el
resultado al cliente 64.85.73.119. Para añadir una capa de seguridad estas empresas ponen a disposición del cliente
un servidor de DNS público que funciona de la misma forma que en el protocolo estándar, solo que se encargara de

comparar con una Blacklist si el dominio que intentamos resolver badsite.com se encuentra en su base de datos de
dominios con Malware y procederá a falsear la resolución del nombre hacía una IP diferente, en este caso 127.0.0.1.
Este tipo de modificación se conoce como DNS Hijacking. De esta forma nos aseguraríamos de que el cliente no es
capaz de llegar hasta el destino.

1. Cache de DNS y menor latencia: La experiencia de navegación será más rápida ya que el mismo servidor
dispondrá de la mayoría de nombres frecuentes solicitados por otros usuarios cacheados. La mayoría de estos
disponen de un cluster Geolocalizado, mejorando los tiempos de respuesta en cada petición.
2. Control parental de contenidos: La Blacklist puede contener sitios con contenido pornográfico, violento, etc.
3. Filtro Anti-SPAM: es posible conocer sin necesidad de un filtro de correo externo si el origen es una fuente de
SPAM activa. Este ha sido el medio más frecuente de uso para los RBL (Real-time Blackhole List), DNSBL
(DNS Blacklists), DRBL (Distributed Realtime Block List), DNSWL (DNS Whitelist), RHSBL (Right Hand Side
Blacklist) o URIBL (Uniform Resource Identifier Blacklist). Frecuentemente usados por SPAMHAUS
(http://www.spamhaus.org) , SpamCop (http://www.spamcop.net).
4. Filtro Adsense: Continuando con el filtro antiSPAM, esto podemos llevarlo a otros protocolos como HTTP
donde filtrar contenido de publicidad es áun más sencillo que disponer de un Proxy HTTP con una Blacklist.
5. Disponer de una dirección DNS fácil de recordar.
6. Corrección ortográfica y autocompletado: si la resolución del dominio falla intenta determinar si existen
 errores ortográficos, devolviendo los datos del dominio bien redactado.

Recordemos que él propósito de internet es crear una red descentralizada e independiente, o al menos así debería ser.
Pero qué pasa cuando los mayores proveedores de servicios a nivel mundial ofrecen servicios de DNS público con
todas las características anteriores, pudiendo tomar como ejemplo OpenDNS.

Las últimas estadísticas de uso publicadas en su propio Blog (http://blog.opendns.com) nos muestran varios datos a
tener en cuenta.

Como podemos ver en el gráfico, resolvieron 20 billones de peticiones DNS en 24h, doblando el número anunciado de
10 billones en Abril del mismo año. Más de 25,000 escuelas de Estados Unidos usan OpenDNS, y muchas empresas
están migrando hacia sus servicios.

En el siguiente ejemplo se realiza una resolución de DNS hacia servidores públicos que ofrecen los servicios
anteriormente mencionados.

Sería el momento de pensar si esto es o no una buena idea y si es necesario frenarlo. Estamos delegando un gran
control de internetmultinacionales con sus propios intereses. Se ha demostrado que muchos de ellos hacen hijacking
DNS para devolver falsos resultados y redireccionar a sitios controlados por ellos, ya sea para mostrar publicidad
personalizada hacia el dominio que se estaba resolviendo, generar estadísticas que pueden ofrecer a terceras
empresas, etc.

Por el momento muchas de ellas ofrecen un servicio de forma desinteresada y totalmente pública, pero ¿de verdad
pensamos que es eso así?. Recordemos la gráfica anterior aplicada a cualquier dispositivo que pueda conectarse a
internet:
Ahora pensemos de nuevo en las capacidades de control que estas empresas pueden tener sobre todos estos clientes.
Y como se ha desarrollado la mayor botnet jamas creada con una lógica aplastante.

No es necesario encontrar vulnerabilidades para crear bots: Es frecuente ver bots que han sido lanzados
mediante infecciones.
No es necesario desarrollar Malware/Software de gestión, ni actualizarlo: Todo esta ya desarrollado, solo
hay que saber aprovechar el protocolo para gestionar el bot. No hace falta actualizarlo ya que las resoluciones
son dinámicas y un cambio en el servidor de DNS es casi inmediato.
Cualquier sistema operativo soporta resolución de DNS : GNU/Linux, MS Windows, Mac OSX, Android,
iOS, Bada, *Nix, VxWorks, etc.
Cualquier dispositivo puede valer como un Bot: Tanto un teléfono móvil con conexión a internet, video-
consolas, etc.
Se pueden realizar los mismos tipos de ataques*
Menores evidencias frente a un análisis forense: Deben existir capturas de tráfico, no existe Malware
funcionando en el sistema y los cambios en el DNS son dinámicos y no quedan registrados. Solo la cache local
podría dejar una prueba del mismo pero normalmente esta expira en periodos de tiempo muy cortos.
La “infección” es pura ingeniería social/marketing: Ofrece un servicio de DNS Blackhole, Cache y una
DNS fácil de recordar.
La gran mayoría de Firewalls permiten tráfico DNS: En casi cualquier organización se permite trafico
externo para resolución de nombres.
Capacidades de ataques basados en Geolocalización: Conociendo la dirección IP del origen puedes
destinar un tipo de ataque específico hacia la misma. Phishing personalizado, DDoS con menores latencias
dentro del mismo País.
*Ejemplos de ataques :

1. DDoS: Es posible engañar a los clientes para que reenvíen todo el tráfico generado hacia direcciones IP
víctimas. Qué pasaría si cambiamos el registro que apunta a *.google.com hacía la direcciones IP de servicios
críticos.
2. Phishing: Al igual que un ataque de envenenamiento de cache, no sería necesario ya que el mismo cliente
confía en el DNS. Se conseguirían cuentas de acceso, números de tarjetas de crédito, usuarios y claves de
acceso a sitios críticos.
3. Misinformation: Se crearían recursos falsos para mantener desinformado al usuario o crear confusión entre la
población.
4. Espionaje: Tanto en intercambio de correos electrónicos como en conversaciones en mensajería instantánea o
VoIP.

Existen referencias hacia diferentes botnets patrióticas, los gobiernos están comenzando con sus propias armas para la
defensa y ataque en una futura cyberguerra. Prueba de ello son los siguientes enlaces :

http://seclists.org/fulldisclosure/2010/Jun/346.

http://translate.google.es/translate?js=y&prev=_t&hl=es&ie=UTF-8&layout=1&eotf=1&u=
http%3A%2F%2Fwww.publico.es%2F323921%2Fataque&sl=es&tl=en

No hay que pensar demasiado para saber que estas empresas tienen sedes bajo los principales Países del Mundo, y
que estos recursos no dejan de estar disponibles para un estado que se encuentra en conflicto. Al final los intereses de
un país sobrepasan el razonamiento humano y se emplean todo tipo de armas para neutralizar al enemigo. ¿Y si es el
enemigo el que te habré sus puertas?, ¿Es hora de que cada estado comience a crear su propio proyecto Golden
Shield? (http://en.wikipedia.org/wiki/Golden_Shield_Project).

También conocido como “El Gran Firewall de China”, es un proyecto de vigilancia/censura

y operado por el Ministerio de Seguridad Pública (MSP) división del gobierno de China. El proyecto se inició en 1998 y
comenzó sus operaciones en noviembre de 2003.

Tal vez este “Firewall de China” sea más que un simple control/censura sobre los ciudadanos y estén preparados para
una inminente cyberguerra.

Con una inexistente legislación que controle todos estos recursos de una forma global y abierta en un país en conflicto
o a expensas de crear su propio arsenal electrónico, no dejaremos de ser más que peones engañados por el marketing.
Si solo basamos dichos controles en la “confianza” a grandes empresas, olvidaremos que “Estar preparado para la
guerra es uno de los medios más eficaces para conservar la paz” George Washington.

Reverse Skills.
http://twitter.com/reverseskills

Cosas que puedes hacer desde aquí:

Subscribirte a Security By Default con Google Reader
Empezar a utilizar Google Reader para mantenerte al día fácilmente de todos tus sitios favoritos