Español | English
rss facebook linkedin Twitter

BBC y su botnet: la caja de Pandora

No se puede comentar mucho más de lo escrito durante estos días sobre el experimento de la BBC en usar una botnet en vivo para demostrar de dónde viene el SPAM. De hecho, Larry Seltzer lo resume bastante bien en su artículo en Eweek.

Como si fuera un programa de cámara oculta extrema, reporteros de la BBC junto a una empresa del país mostraron a sus telespectadores lo fácil que es tener una botnet y que consecuencias se pueden tener en lo relativo al envío de SPAM. Hasta aquí perfecto, puesto que el problema de las botnets (The Silent Threat) es algo de lo que hay que concienciar antes de que sea demasiado tarde.



El problema es cuando las máquinas usadas en la botnet, son máquinas de personas totalmente ajenas al experimento, y en la mayoría de los casos, que ignoran lo que están haciendo sus máquinas (bueno, ¡realmente cambiaron el fondo de pantalla de forma educada para avisarles del tema!!). Es decir, que es delito que una persona tenga una botnet para enviar SPAM, pero no es delito que la BBC lo haga. ¿No está la BBC situando un peligroso precedente para que otras personas se puedan escudar en el 'es que es para hacer el bien'? Mal también para la empresa de seguridad que le ayudó, puesto que sabía desde el primer momento que mucha gente iba a estar en contra, no sólo por ser ilegal, sino por ser poco ético.

Mucho más fácil hubiera sido si en vez de usar una botnet real, hubiera hecho una botnet con todos los ordenadores de sus empleados (en el trabajo y en casa), donde los empleados hubieran aceptado voluntariamente que se usaran sus máquinas para este programa de televisión, ¡pero nunca usando máquinas ajenas!

Es el mismo argumento que siempre se ha usado cuando alguna persona hacía una intrusión en una máquina por curiosidad, o por poner un FTP de Warez o por algo parecido, pero sin hacer daño real a la máquina. El afectado (comprometido) siempre puede decir que es verdad que los daños que ha realizado a su máquina es cero, pero para estar seguro de ello se ha tenido que gastar X dinero contratando a una empresa especializada que pudiera comprobar los pasos del atacante (o simplemente reinstalando la máquina y todos sus datos). Si yo hubiera formado parte del experimento de la BBC, ¿cómo puedo estar seguro de que no me ha dejado nada instalado, no me ha robado información o no me va a denunciar mi ISP por enviar SPAM? Al final el que juega con fuego se quema.

David Barroso
S21sec e-crime

6 comentarios:

Anónimo dijo...

Muy interesante reflexión, ¿Y cuando los reporteros forman parte de un grupo de inmigrantes que pasan la frontera, o existen reporteros empotrados en unidades militares que realizan acciones ilegales en países extranjeros?, supongo que eso también viola las leyes, creo que se trata de una cuestión de credibilidad del reportaje y concienciación del publico. Existe la posibilidad de que se haya educado en seguridad informática mas que no se cuantas paginas sobre el tema en no se cuanto tiempo.
Ademas, es un problema que existe, ¿utilizar recursos limitados en perseguir a alguien que lo hace con fines informativos es la mejor manera de acabar con el problema?
Mi opinión es que dejemos de disparar al mensajero, y de generar una polémica estéril, que solo va a servir para sacar la atención del verdadero problema, la criminalización de la red, La accion represiva a nivel legislativo y la falta de reflejos para reaccionar, ¿tendrá que ver el provecho que le sacan algunos gobiernos y empresarios al [miles de comillas]hackeo ético[/miles de comillas]?

Iñaki dijo...

No quisiera echar más leña ni eximir responsabilidades, pero se da una circunstancia curiosa. Mi prima (aunque no sea mi prima tampoco importará mucho) tiene un coche por el que se preocupa, me refiero a que no lo aparca en cualquier lado, si es una zona que le asusta prefiere no dejarlo, tampoco se lo deja a desconocidos, ni mete a cualquiera en el coche. Esta misma prima, es la que se despreocupa por su portatil, la que presupone que si no es el sistema operativo quién debe protegerla es que falla, la que cree que si no tiene un antivirus no está a salvo (aunque no lo pague, y ni siquiera lo actualice). Es curioso como cuando se trata del coche, a pesar de que éste ya de por si trae mecanismos de protección como alarma, cierres, etc.. siempre mira por si se ha dejado una ventana bajada, o por si el pestillo no se ha bajado, pero nunca mirará si el antivirus está actualizado, o lo que es peor, aunque no lo esté tampoco le importa.. y donde digo antivirus digo certificado, digo "any".

Quizá no habría estado de más hacer dos equipos con todos los bots de la bcc, los azules y los rojos, y ponerlos a atacarse entre ellos, a ver si la gente se conciencia, en lugar de ponerles un "HOIGAN" en el fondo de escritorio :)

S21sec e-crime dijo...

Anónimo,
tu comentario me parece muy acertado, y de hecho estoy de acuerdo en que es necesario sacar a la palestra el problema de la criminalización de la red (y de hecho en este blog o en el informe de 2008 que hemos publicado queda patente), pero muchas veces se puede conseguir el efecto contrario si las formas no son las adecuadas, que en mi opinión, este es el caso.

www.segu-info.com.ar dijo...

Hola David

En Segu-Info tb estuvimos discutiendo el tema y ante todo estoy de acuerdo contigo y con que el proceder de la BBC fue impropio (por no decir delito) pero me lleva a plantear 2 preguntas ¿esas personas infectadas no estaban peor antes q ahora que saben q estan infectadas? y la otra es ¿no deberia importar el motivo y la intención en un delito de este tipo?
La discusion está en http://www.segu-info.com.ar/foro/?q=bbc

Cristian

Gowen dijo...

Ya estoy viendo lo siguiente, un reportaje sobre seguridad fisica en entidades bancarias. Espero que despues de atracar la sucursal devuelvan el dinero. Y que no haya heridos, claro

Anónimo dijo...

Interesante articulo que explica claramente que es una botnet.

http://www.techmez.com/2009/07/24/que-es-una-botnet-o-red-zombie/


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login