Español | English
rss facebook linkedin Twitter

Conficker WANTED


En el lejano Oeste se recompensaba económicamente por la captura, vivo o muerto, de fieros pistoleros y sus secuaces; pero los tiempos han cambiado, y la figura de cazarrecompensas también se ha tenido que ir amoldando estos tiempos a usar más el teclado y menos el revólver.

Hace tiempo existió una larga discusión sobre si era ético o no comprar vulnerabilidades (iDefense, TippingPoint, ...), pero ahora ya estamos hablando de una sustanciosa recompensa económica para el tenga información que sirva para detener y llevar a la cárcel al creador del Conficker ("Microsoft offers $250,000 reward for Conficker arrest and conviction.")

Además, se anuncia también una colaboración entre diferentes empresas para 'contener' los destrozos de Conficker, básicamente registrando todos los dominios que puede usar el gusano para que nunca se pueda poner un panel de control (C&C) y controlar las millones de máquinas. Esta técnica se ha venido usando desde hace tiempo con el mismo objetivo con resultados muy dispares, puesto que al igual que S21sec puede registrar algunos de esos dominios, lo puede hacer cualquier otro, controlando todas esos millones de máquinas para beneficio propio (tan sólo hace falta conocer el algoritmo de generación de dominios).

Cada vez más código malicioso utiliza la técnica de dominios generados para evitar depender de uno o varios puntos de C&C que estuvieran predefinidos en el código (fácilmente bloqueables y/o fáciles de cerrar, además de ser la pista principal para ver quién está detrás). Es mucho más fácil e inteligente, dejar que el gusano esté infectando millones de máquinas, y cuando yo desee, registro un dominio (que por supuesto apunte a una máquina comprometida y controlada) y manejo a mi antojo mi legión de infectados.

Este método por supuesto que nos puede llegar a dar unos datos muy importantes en el transcurso de una investigación o análisis, pero tampoco está clara la legalidad o no del mismo. Es decir, cualquiera puede registrar un dominio, pero si al registrar ese dominio de repente empiezas a recibir millones de datos robados (no es el caso de Conficker, pero sí de otros), o simplemente, con publicar un simple PHP con unas órdenes específicas puedes 'ejecutar' acciones (como por ejemplo limpiar) en esos millones de máquinas, por lo menos nos tenemos que plantear si es legal o no hacerlo (hablamos de legalidad, no de ética). 

Es también uno de los casos que comentamos hace tiempo sobre la falta de médidas para que un órgano totalmente neutro en Internet pueda realizar cualquier tipo de acción para evitar estos incidentes (y proteger a los usuarios). Ahora mismo no hay ningún actor responsable de poder tomar estas medidas (¿ICANN?, ¿Verisign?, ¿Microsoft?¿Quién?¿los registradores de los TLDs afectados?¿los ISP?) Realmente resulta sorprendente, que con todo lo que ocurre en Internet, no se tomen las medidas oportunas. ¿Tanto nos cuesta darnos cuenta? O nos tomamos en serio la Seguridad en Internet o sí que seguirá siendo el lejano Oeste.

David Barroso
S21sec e-crime

(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login