viernes, 9 de mayo de 2008

Conoce a tu enemigo, aspecto de las botnets

Recordando la famosa frase de Sun Tzu "Si eres ignorante de tu enemigo y de ti mismo, puedes estar seguro de ser derrotado en cada batalla. Si eres ignorante de tu enemigo pero te conoces a ti mismo, tus oportunidades de ganar o perder son las mismas. Conoce a tu enemigo y conócete a ti mismo; en cien batallas, nunca saldrás derrotado." hoy aparece referenciado via FayerWayer una primera imagen de los grafos que construyen las redes botnets que se construyen con equipos zombies.

Tal como explica la Wikipedia, "Botnet" es un término que hace referencia a una colección de software robots, o bots, que se ejecutan de manera autónoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores). El artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC. Sus fines normalmente son poco éticos.

El experto en seguridad informática David Voreland mapeó computadores infectados y los que los controlan para poder visualizar la topología de estas redes de computadores zombies infectados que terminan siendo usados para ataques DDoS, spamear y robo de identidad.

El artículo aparece publicado en la revista CSO online y presenta mediante una aplicación flash un grafo navegable al estilo Google Maps que permite recorrer el gráfico por zonas y ir subiendo y bajando en la profundidad de la imagen.

Una vez que la amenaza tiene rostro quizás se abren ahora nuevas estrategias para mitigarlas ya basadas en teorías de grafos. Siempre he pensado que la seguridad informática es un campo al que aplicar teoría de redes sociales tratando de identificar los nodos que puedan hacer caer la botnet. Uno de los libros más conocidos entorno a las teorías de redes es "Linked: How Everything Is Connected to Everything Else" de Albert-László Barabási publicado en 2002 con ISBN 0-452-28439-2.

Tal como aparece en Wikipedia,
"Barabási ha descubierto que los sitios web que forman la red (de la WWW) tienen ciertas propiedades matemáticas. Las condiciones para que se den estas propiedades son tres. La primera es que la red se debe de estar expandiendo, creciendo. La precondición de crecimiento es muy importante, ya que la idea de emergencia la acompaña. La red está en constante evolución y adaptación. Esta condición es considerablemente apreciable en la World Wide Web. La segunda es la condición de enlazamiento preferencial, es decir, los nodos (sitios web) preferirán enlazarse a conectores (sitios web que poseen las mayores conexiones). La tercera condición es lo que se llama idoneidad competitiva, lo que en términos de red significa su tasa de atracción".


Bien utilizadas, estas teorías pueden proporcionar herramientas importantes a la seguridad de la información si consideramos un sistema como un grafo (en concreto un arbol) como suelo pintar en mis presentaciones como ya expliqué en este post.
 
;