En el reporte Q4/2007 de la empresa de seguridad Finjan se informa (ver reporte en PDF) que los especialistas en manejar redes de computadoras zoombie, las llamadas botnets, estan comenzando a utilizar la web 2.0, es decir las redes sociales y blogs para controlar las computadoras infectadas.
Modelo actual
El modelo tradicional que usan los controladores de botnets es el que se muestra en la siguiente imagen
El controlador de una red de computadoras zoombies, infectadas por un troyano usa por ejemplo servidores web, servidores de universidades, empresas o instituciones publicas conectadas a Internet para enviar sus comandos usando protocolos como IRC, o HTTP.
Trojanos 2.0
Según el reporte de Finjan, ahora están apareciendo nuevas estructuras para controlar las redes de computadoras zoombies. Los troyanos 2.0 infectan las máquinas de los usuarios de manera tradicional, mediante la instalación de programas infectados, ejecución de adjuntos en los emails, o también mediante páginas web infectadas en iframes.
La nueva estructura de control de los trojanos 2.0 se muestra en la siguiente imagen:
1. El atacante envía los comandos mediante un servidor.
2. El servidor formatea los datos en una entrada (post) a un servicio gratuito de blogs, como por ejemplo blogger.com, wordpress.com en un blog poco frecuentado.
3. La entrada se propaga mediante un RSS feed hacia algún agregador publico de feeds al cual los troyanos tienen acceso.
4. Los troyanos en las computadoras infectadas revisan los RSS feeds en los agregadores publicos acordados, y en caso de que haya una nueva entrada, bajan los datos del feed, lo descargan, lo decodifican y comienzan a ejecutar los comandos del atacante.
5. Los datos recolectados por los troyanos 2.0 , como passwords, cuentas bancarias, etc. son enviados a blogs o servicios web 2.0 públicos como por ejemplo MySpace.com, etc. de donde el atacante los puede recolectar y luego borrar con facilidad.
Debido a que la comunicación generada entre los troyanos, el atacante y los depósitos de recolección de información son de tipo normal, es decir web 2.0 es muy difícil descubrir este tipo de estructuras de control. Los programas antivirus o Firewalls tampoco pueden bloquear este tipo de comunicación ya que estarían bloqueando el uso de servicios normales.
Según Finjan, hasta ahora solo se han encontrado 3 troyanos que usan este nuevo tipo de estructura de control, pero seguramente en los próximos meses aumentarán considerablemente.
Ahora, los proyectos web 2.0 tendrán que luchar contra un nuevo problema: El SPAM generado por los troyanos 2.0 …
Vía heise online