Botnets: el lado oscuro del cloud computing

Transcripción

1 Botnets: el lado oscuro del cloud computing De Angelo Comazzetto, Senior Product Manager Las botnets representan una amenaza seria para su red, su empresa, sus socios y sus clientes. Las botnets compiten con la potencia de las plataformas de cloud computing más potentes actualmente. Estas clouds oscuras, controladas por ciberdelincuentes, están diseñadas para infectar su red de forma silenciosa. Si no se detectan, las botnets hacen uso de su red para cumplir intereses comerciales maliciosos. Este documento presenta diversas formas en las que puede protegerse de los riesgos de la infección mediante botnets utilizando puertas de enlace de seguridad que ofrecen completas funciones de Unified Threat Management (UTM).

2 No todas las clouds tienen fines positivos En qué consiste el cloud computing? Se trata de un gran número de ordenadores o procesadores, memoria, espacio de almacenamiento, aplicaciones y otros recursos informáticos conectados a la web. Estos recursos conectados a la web, disponibles de forma simultánea para millones de clientes, pueden encontrarse en cualquier rincón del mundo. La tecnología de cloud ofrece numerosas ventajas a las empresas, siendo algunas de ellas menores gastos de capital y operativos en lo que respecta a la adquisición y el mantenimiento del hardware y el software. Por otra parte, los ciberdelincuentes controlan algunas de las plataformas de cloud computing más temibles de nuestros tiempos. Estas redes de cloud computing oscuras, diseñadas para conseguir beneficios económicos, y conocidas como botnets, pueden tener en funcionamiento millones de ordenadores infectados, que reciben el nombre de bots y difunden software malintencionado. Si no se detectan, las botnets pueden robar potencia informática suficiente para que su red deje de funcionar y su empresa no pueda continuar con sus actividades. Es necesario que supervise de forma continua esta peligrosa amenaza. Por su arquitectura única, una botnet podría seguir funcionando a una velocidad vertiginosa, incluso si se destruyen algunos o la mayoría de sus bots. Si no cuenta con funciones de detección preventiva en su red estará continuamente expuesto al riesgo de infección. Objetivos tentadores Los potentes ordenadores actuales y las altas velocidades de conexión a Internet son el entorno perfecto para que los ciberdelitos proliferen. Los ciberdelincuentes y las botnets que controlan buscan en su ordenador vulnerabilidades de la seguridad para capturar estos abundantes recursos y utilizarlos para su propio beneficio. Las botnets actúan en la sombra para infectar los ordenadores con un virus, sin que puedan percibirse daños inmediatos o aparentes. El atacante silencioso convierte su ordenador en un bot o esclavo zombi, que recibe órdenes de un maestro central desconocido. Una vez se hayan infringido las medidas de seguridad, el virus informático intentará infectar y copiarse a sí mismo de forma silenciosa también en otros equipos, para así ampliar el ámbito y la potencia de la botnet. A Sophos Whitepaper Diciembre

3 La potencia en cifras Los centros de datos de cloud computing modernos optimizan el rendimiento y, al mismo tiempo, minimizan los fallos. Por su parte, las botnets operan a enorme escala y utilizando la fuerza bruta. Una botnet controla millones de procesadores informáticos, incontables gigabytes de capacidad de almacenamiento y memoria, y ancho de banda combinado suficiente como para bloquear conexiones a Internet comerciales de varios gigabits. Las botnets cuentan con una ventaja importante sobre las redes de cloud legítimas: pueden crecer a una velocidad alarmante, aprovechándose de las vulnerabilidades que crean los fallos de seguridad. Se detecta una nueva amenaza Web cada 4,5 segundos. Sophos Labs, publicado en el informe de amenazas de seguridad del primer semestre de 2011 Cómo se propagan las botnets Las botnets no tienen como objetivo ni infectan a una empresa concreta. En lugar de ello, las botnets se propagan de forma sistemática utilizando una lista de direcciones IP, o analizando de forma dinámica las máquinas y el espacio de red que tienen a su alrededor en busca de vulnerabilidades concretas. Por ejemplo, un programa bot podría encontrar el ordenador de una empresa que puede infectar utilizando una vulnerabilidad de Windows que no ha sido cubierta. Después prosigue con su recorrido, analizando toda la red mientras sondea otros equipos en busca de vulnerabilidades. Al mismo tiempo, el equipo que acaba de infectarse pasa a ser un bot funcional. El bot podría infectar otros equipos de la red, entre los cuales podrían encontrarse ordenadores de otras empresas o incluso de clientes. Y así el ciclo continúa. En este ejemplo, ninguna de las empresas afectadas era objetivo concreto. La botnet se propaga cada vez que encuentra una vulnerabilidad. Gastar dinero en desarrollar amplias investigaciones que tengan como objeto identificar las personas implicadas en la infracción supondría un desperdicio tanto de tiempo como de dinero. Quién se beneficia de las botnets Las botnets se propagan con el fin de otorgar a los propietarios de las mismas con enormes cantidades de potencia de cloud computing, que pueden utilizar para desarrollar ciberdelitos que les reportan importantes beneficios. Los propietarios de la botnet podrían alquilarla a empresas delictivas. Por ejemplo, generadores de spam podrían utilizar la botnet para enviar millones de mensajes de spam. Empresas sin escrúpulos podrían utilizar la botnet para tirar el sitio web de una empresa de la competencia mediante un devastador ataque DoS. Las botnets también pueden acceder a información cifrada, probando billones de claves binarias, utilizando la fuerza bruta para descifrar una obra protegida o una base de datos cifrada robada. A Sophos Whitepaper Diciembre

4 Este tipo de actividad no solo ofrece altos beneficios económicos, sino que además promueve el desarrollo de botnets con todavía más capacidades. Los diseñadores de la botnet también aumentan la sofisticación de sus programas de bot mediante el análisis de la respuesta del sector de la seguridad a sus anteriores esfuerzos. Las consecuencias La infección mediante botnet tiene consecuencias tanto inmediatas como, potencialmente a largo plazo. El fallo de la red es la más devastadora de las posibles consecuencias. Afecta significativamente a las operaciones de TI, a las ventas, a la gestión de cuentas del cliente, a la productividad del empleado y a otros ámbitos. En el entorno actual, todos los departamentos y canales que generan beneficios económicos se ven afectados por los fallos de la red. El coste que puede tener la pérdida de actividad empresarial puede ser espectacular. Sin embargo, probablemente la mayor carga recaiga sobre el equipo de TI. Responsables permanentes del estado de la red de la empresa y de sus usuarios, los administradores de TI a veces se ven obligados a dejar a un lado el resto de prioridades estratégicas para restaurar el rendimiento de la red y hacer frente a la infección de una botnet, que en ocasiones se repite. Los ciberdelitos suponen un coste de 338 mil millones de dólares para la economía global; es un negocio más lucrativo que el de la droga. ZDNet Además, a veces algunas de las consecuencias a largo plazo más peligrosas pueden afectar a la reputación pública de una empresa, a su ventaja sobre la competencia y a su viabilidad. Como las botnets están diseñados para realizar actividades empresariales ilegales, todas las empresas que presenten ordenadores infectados en la senda de destrucción de la botnet pueden tendrán su fiabilidad en zona de riesgo. Costes legales, juicios, mala imagen pública y mucho más pueden ser el resultado de esta práctica ilegal, incluso si la empresa responde con un No lo sabíamos. Además, tanto clientes como socios y otras partes interesadas podrían verse afectadas por su socio empresarial de confianza. Si se comprueba que una empresa ha sido responsable de infracciones de seguridad, podría atribuirse a ella la responsabilidad derivada del hecho de que sus ordenadores se hayan utilizado como parte de la botnet para hackear sitios web, interrumpir las comunicaciones mediante ataques de DOS, compartir archivos ilegales o atacar equipos con scripts de hackers. La mejor defensa posible Tal y como hemos hablado, las botnets representan una seria amenaza para las empresas, atacando al azar equipos o nodos vulnerables sin que pueda seguirse su rastro hasta llegar a un operador. A Sophos Whitepaper Diciembre

5 Sin embargo, sí que puede protegerse de los ataques utilizando las soluciones adecuadas y sencillas prácticas recomendadas. Le recomendamos que, para proteger su empresa de las amenazas de las botnets, haga lo siguiente: Ì Ì Asegúrese de que los sistemas operativos y los programas tengan los últimos parches y las últimas actualizaciones. Ì Ì Utilice una solución de puerta de enlace eficaz para evitar que los bots accedan a sus equipos. Ì Ì Pruebe los perímetros de sus estaciones de trabajo y servidores. Ì Ì Si es víctima de una infección, evite gastar dinero en investigar las causas que han dado lugar al ataque. En lugar de ello, invierta en mejorar la protección de sus recursos para evitar la siguiente ronda de asaltos. Con la protección correcta podrá evitar de una forma sencilla y rentable los problemas de intrusión de bots. Los sistemas Astaro Security Gateway cuentan con sistemas de detección de intrusos que detectan y detienen los programas de bots. Lo único que tendrá que hacer es enumerar el tipo de ordenadores y recursos que emplea. Esta solución evita los ataques en tiempo real. Además, identificará las infecciones existentes para que puedan limpiarse y erradicarse. Podemos proteger su red de ataques y amenazas, permitiéndole que realice su actividad empresarial con confianza. Lea más esp.sophos.com/network Spain Sales: Tel: seusales@sophos.com Boston (EE.UU.) Oxford (Reino Unido) Copyright Sophos Ltd. Todos los derechos reservados. Todas las marcas registradas pertenecen a sus respectivos propietarios. Sophos Whitepaper 12.11v1.dES