211service.com
El equipo de Microsoft rastrea a los usuarios maliciosos
El anonimato en Internet puede ser tanto una bendición como una maldición. Si bien la capacidad de esconderse detrás de proxies anónimos y las direcciones de protocolo de Internet (IP) que cambian rápidamente ha permitido hablar con mayor libertad en países con regímenes represivos, las mismas tecnologías permiten a los ciberdelincuentes ocultar sus pistas y pasar códigos maliciosos y spam para comunicaciones legítimas.
En un artículo que se presentará la próxima semana en SIGCOMM 2009 en Barcelona, España, tres investigadores del centro de investigación de Microsoft en Mountain View, CA, demuestran una manera de eliminar el escudo del anonimato de estos misteriosos atacantes. Con una nueva herramienta de software, los tres informáticos pudieron identificar las máquinas responsables de la actividad maliciosa, incluso cuando la dirección IP del host cambiaba con frecuencia.
A lo que realmente estamos tratando de llegar es al host responsable de un ataque, dijo Yinglian Xie , miembro del equipo de Microsoft. No intentamos rastrear esos identificadores, sino asociarlos con un host en particular.
El sistema prototipo, denominado HostTracker, podría resultar en mejores defensas contra ataques en línea y campañas de spam. Las empresas de seguridad podrían, por ejemplo, tener una mejor idea de qué hosts de Internet deberían bloquearse para que no envíen tráfico a sus clientes, y los ciberdelincuentes tendrían más dificultades para camuflar sus actividades como tráfico legítimo.
Xie y sus colegas, Fang Yu y Martin Abadi, analizaron los datos de un mes (330 gigabytes) recopilados de un gran proveedor de servicios de correo electrónico, en un intento de determinar qué usuarios eran responsables de enviar spam. Para rastrear los orígenes de múltiples brotes de spam, los científicos estudiaron registros que incluyen más de 550 millones de ID de usuario, 220 millones de direcciones IP y una marca de tiempo para eventos como enviar un mensaje o iniciar sesión en una cuenta.
Rastrear el origen de los mensajes, una tarea clave para rastrear el spam y otros tipos de ataques de Internet, involucró la reconstrucción de las relaciones entre los ID de cuenta y los hosts desde los cuales los usuarios se conectaban al servicio de correo electrónico. Para hacer esto, los investigadores agruparon todas las ID a las que se accedió desde diferentes hosts durante un cierto período de tiempo. El software HostTracker luego revisó estos datos para resolver cualquier conflicto. Por ejemplo, a veces más de un usuario parecía originarse en la misma dirección IP o un solo usuario tenía varias direcciones de identificación durante períodos de tiempo superpuestos.
HostTracker resuelve los conflictos haciendo referencias cruzadas de los datos para identificar los servidores proxy, lo que permite que varios hosts aparezcan como una única dirección IP y para determinar cuándo un invitado estaba usando un host legítimo. El hecho de que podamos rastrear el tráfico malicioso hasta el proxy en sí es una mejora porque podemos identificar el origen exacto, dice Xie.
Los investigadores también crearon una forma de incluir automáticamente en la lista negra el tráfico de una dirección IP en particular, una vez que el sistema HostTracker ha determinado que el host en esa dirección está comprometido. Al utilizar este método en la simulación, los investigadores pudieron bloquear el tráfico malicioso con una tasa de error del cinco por ciento; en otras palabras, 5 de cada 100 direcciones IP clasificadas como maliciosas eran realmente legítimas. El uso de información adicional para identificar el buen comportamiento de los usuarios redujo la tasa de falsos positivos a menos del uno por ciento.
Los resultados sugieren que HostTracker sería una buena manera de refinar la forma actual de defensa contra ataques distribuidos de denegación de servicio y campañas de spam, dice Gunter Ollmann, vicepresidente de investigación y desarrollo de Damballa , una empresa que ayuda a las empresas a encontrar y eliminar hosts comprometidos en una red informática.
El uso de esta técnica ayudará a encontrar botnets que tengan una alta frecuencia de tráfico, como campañas de spam, ataques DDoS y tal vez ataques de clic, dice Ollmann. Otros ataques, como el robo de contraseñas y los troyanos bancarios, en los que el ataque está más centrado en el host, este tipo de técnica no sería tan eficaz.
Xie reconoce que, si bien la técnica es útil para crear listas de hosts para rastrear, puede ser menos útil para las agencias de aplicación de la ley que intentan identificar a los atacantes detrás de los delitos en línea. La responsabilidad de la que estamos hablando no es la responsabilidad judicial, dice. Queremos separar las dos nociones. La responsabilidad de la que estamos hablando es la capacidad de identificar a los anfitriones.