Para atrapar a un cibercriminal, únete a él

Hemos creado lo que pensamos que sería lo más cercano a una botnet natural", afirma Pierre-Marc Bureau, investigador de la firma de seguridad informática ESET, que forma parte del proyecto liderado por un equipo de la Ecole Polytechnique de Montreal, con colaboradores en la Universidad de Nancy, Francia, y la Universidad de Carlton, en Canadá. "Según nuestros conocimientos, este es el primer experimento que se lleva a cabo con este grado de realismo", asegura.

Más de 3.000 copias de Windows XP se instalaron en un clúster de 98 servidores en la Ecole Polytechnique. En cada sistema virtual se instaló un software que se vinculaba a los demás como si fuera un ordenador individual conectado a Internet o a una red local. Todos los sistemas también fueron infectados con el gusano Waledac, un software que, en la actualidad, se conoce bien y ha sido ampliamente vencido pero que, al inicio de 2010 y según Microsoft, controlaba cientos de miles de ordenadores y enviaba 1.500 millones de mensajes de spam al día.

El equipo simula la estructura de control necesaria para hacerse cargo de una botnet Waledac, en la que un servidor central de mando y control envía órdenes a un puñado de robots que posteriormente extienden esas instrucciones a otras máquinas.

En los últimos años, los investigadores han desarrollado técnicas para espiar en directo las comunicaciones de las botnets, e incluso para inyectar mensajes en estas comunicaciones. No obstante, la construcción de una botnet completa en un entorno experimental permite mucha más libertad, señala Bureau. "Al experimentar con una botnet en directo, podríamos provocar una mala reacción de su dueño que dañase a las máquinas infectadas", explica, y además "potencialmente se tiene el control de las máquinas de usuarios inocentes, lo cual representa problemas éticos y jurídicos".

Tener su propia botnet también dio a los investigadores el lujo de ser capaces de observarla por dentro y por fuera durante su funcionamiento normal, o mientras era atacada por alguien que intentase desactivar la red. También les permitió ejecutar múltiples ensayos que arrojaron resultados estadísticamente significativos.

Según Bureau, supuso un cierto desafío convencer al dueño de un clúster de alrededor de 1 millón de dólares de que la instalación de malware en el sistema era una buena idea.

"Con el fin de que se nos permitiese ejecutar este experimento, tuvimos que tomar serias precauciones para asegurarnos de que no había fugas", explica Bureau. Sin duda, muchos otros ordenadores en la universidad de acogida ejecutaban versiones de Windows muy similares a los utilizados en el experimento. El clúster se desconectó físicamente de la red más amplia, y todo tenía que cargarse con DVDs en lugar de conectándose a otro ordenador, aunque fuera por un breve periodo de tiempo.

Uno de los resultados de los experimentos aclaró uno los retos de dirigir una botnet, afirma Bureau. Los expertos se habían dado cuenta de que el cifrado utilizado para proteger los mensajes entre los robots individuales y el servidor de comando y control era débil y asumieron que sus diseñadores eran malos escritores de código. De hecho, probablemente era una decisión de diseño intencional, asegura Bureau. "Nuestro servidor de comando y control rápidamente se vio abrumado por la carga de la criptografía. Entendimos que habían tomado ciertas decisiones, debidas a las fuertes demandas de una botnet de gran tamaño".

El equipo también trató un "ataque Sybil", que consiste en añadir robots falsos a la red para influir en su comportamiento. Los experimentos mostraron que este método era capaz de hacer que la botnet dejase de enviar spam por completo.

Thorsten Holz, que dirige una investigación sobre botnets y malware en la Universidad de Ruhr en Bochum, Alemania, está de acuerdo en que una botnet en cautividad es una herramienta de investigación útil. "Es un ambiente controlado donde no puedes hacer nada", afirma.

Holz fue parte de un equipo que inyectó mensajes en la red de control del gusano Storm, un predecesor generalizado de Waledac, para estudiar su comportamiento. La interpretación de los resultados se vio complicada por el hecho de que los grupos de Georgia Tech y la Universidad de California en Santa Bárbara, estaban haciendo lo mismo. "Todos veíamos aparecer mensajes inyectados por los otros grupos de investigación", señala Holz. "Se convirtió en un patio de recreo para las estrategias de inyección, y complicó los resultados".

Una botnet en cautividad nunca será exactamente igual a una en la naturaleza, afirma Holz. "El inconveniente es que no se puede emular todo", asegura. Una botnet Waledac típica contendría de 50.000 a 100.000 ordenadores infectados, frente a los 3.000 del experimento. El comportamiento de una botnet real también se forma por los patrones de tráfico en Internet de otras fuentes, algo no capturado por la simulación.

Bureau explica que espera ver y hacer más experimentos de este tipo-por ejemplo, para revelar el funcionamiento de malware menos conocido. "Por primera vez hemos demostrado que es posible, y espero que los recursos informáticos estén disponibles para seguir adelante".