211service.com
Seguimiento de centros de datos criminales
El contenido web malicioso es distribuido cada vez más por delincuentes profesionales que operan su propia infraestructura. Estos delincuentes dirigen empresas de alojamiento que se utilizan para alojar código dañino y emiten comandos para computadoras secuestradas. En una charla dada esta semana en Fuente Boston , en una conferencia sobre seguridad informática, un investigador describió las tácticas que utiliza una de estas empresas de alojamiento malicioso para evadir el cierre.
Si bien el spam y el malware puede parecer una oferta infinita en línea, las empresas de alojamiento malicioso juegan un papel vital en la propagación de estas plagas, dice Alex Lanstein, investigador senior de seguridad en FireEye , una empresa de seguridad con sede en Milpitas, CA. Por ejemplo, señala el cierre a finales de 2008 de la empresa de alojamiento malicioso McColo. Cuando esta empresa cesó sus operaciones, cesaron más de dos tercios del spam en Internet.
Sin embargo, otras empresas se han levantado para ocupar el lugar de McColo. En particular, Lanstein apunta a un grupo de computadoras comprometidas, o botnet, conocido como Grum, que en ciertos puntos pico el año pasado fue responsable del 26 por ciento del spam mundial. Lanstein dice que rastreó las operaciones de Grum hasta un bloque de direcciones de protocolo de Internet (IP) alojadas por una sola empresa en Ucrania llamada SteepHost.
Lanstein descubrió que las direcciones IP que comandaban a Grum estaban distribuidas en todas las direcciones administradas por SteepHost, lo que, según él, indica que la compañía está operando puramente como un centro de datos criminal.
Pero no es nada fácil acabar con una empresa de alojamiento maliciosa. Lanstein dice que se puso en contacto con las empresas que brindan servicios a SteepHost. Bloquearon algunas de las direcciones IP maliciosas utilizadas por la empresa, pero Lanstein señala que SteepHost respondió contratando una conexión de respaldo de un proveedor diferente. No querían que los cerraran, por lo que obtuvieron un mejor tránsito, dice. Es frustrante.
Incluso cuando se cierra una empresa de alojamiento malicioso, no hay nada que impida que otra se levante para reemplazarla. Los malos son realmente buenos para conseguir espacio IP, dice Lanstein.
El problema, dice, es que no existen mecanismos para quitarles las direcciones IP a los malos actores. Incluso los bloques de direcciones IP propiedad de McColo solo se devolvieron a la piscina hace un par de meses, ya que no podían ser confiscados mientras los propietarios siguieran pagando en su totalidad por su uso. Puedo imaginar por qué hay escasez de direcciones IP, dice Lanstein.
Las empresas de alojamiento malicioso también se protegen a veces escondiéndose detrás de otras empresas. A principios de este año, un proveedor de servicios de Internet ruso llamado Troyak se desconectó después de que quedó claro que estaba brindando servicio a varias empresas de alojamiento que brindaban soporte de comando y control a las redes de bots.
En Source Boston, HD Moore, director de seguridad de la empresa de seguridad informática con sede en Boston Rapid7 , pronunció un discurso de apertura en el que señaló lo abarrotado que se está volviendo el espacio de direcciones IP: el 91 por ciento del espacio de direcciones utilizable ya ha sido asignado.
Moore señaló que podría surgir un problema diferente como efecto secundario de los esfuerzos para resolver la escasez. El sucesor del sistema actual, conocido como IPv6, abriría una gran cantidad de direcciones IP disponibles. En ese escenario, dijo Moore, habría tanto espacio disponible que las empresas de alojamiento deshonestas podrían tomar grandes bloques de direcciones IP, lo que sería más difícil de rastrear.