CazabotnetsUn grupo de investigadores del Georgia Institute of Technology ha publicado un interesante análisis del comportamiento de las redes de bots (botnets) y un prototipo para localizarlas… y erradicarlas…

El prototipo que proponen, bajo el nombre de BotSniffer, permitiría lograr resultados sin siquiera conocer patrones, o las direcciones IP de quienes comandan la red, simplemente haría todo su trabajo gracias al análisis de tráfico.

BotSniffer, por lo tanto, se encargaría de capturar datos del propio tráfico de la red (comandos enviados, protocolos utilizados) para luego analizar estadísticamente con algunos algoritmos, a fines de detectar las redes de bots.

De momento, han creado un plug-in para Snort (software de seguridad informática), y con ello han evaluado varias redes reales, consiguiendo unos excelentes resultados, con pocos falsos positivos.

Dado que es muy complicado hacer una detección rápida por sobre el tráfico (más que nada porque algunas redes de bots se comunican de forma cifrada, o bien usan protocolos populares como IRC, HTTP, etc), los investigadores han determinado que dada la naturaleza del conjunto de partes en una botnet, estas pueden ser diferenciadas gracias a su sincronización (entre varias máquinas, inclusive)… lo que no se ve durante usos normales de los protocolos antes mencionados.

Este tipo de redes de Bots, es particularmente peligrosa porque permite realizar ataques a gran escala, como sucedió hace unos días atrás con algunos sitios y servidores hispanos. Por otro lado, el hecho de que sean difíciles de detectar en forma local (ya que ahora, en forma remota, se podrá detectar gracias a BotSniffer), los ha convertido en una verdadera amenaza, debido a que cada día suman más máquinas esclavas… y por ende, aumentan aun más su poder.

En todo caso, esperemos que BotSniffer se convierta en el cazabotnets por excelencia… y que, al menos, minimice la amenaza lo más posibles, a fines de evitar futuros problemas en Internet.

Fuente: Network World