En más de una ocasión hemos presentado análisis y estudios sobre qué es una botnet, cómo actúa y las capacidades que puede tener. En esta oportunidad, compartimos con ustedes una muy interesante investigación que se presentó la semana pasada en Black Hat USA 2014, de la mano de Rob Ragan y Oscar Salazar en su charla “CloudBots: Harvesting Crypto Coins like a Botnet Farmer”, en la que se dio respuesta a una interesante pregunta: ¿se puede crear una botnet en la nube?
Los investigadores plantearon la viabilidad de que cibercriminales utilicen servicios gratuitos en la nube para la generación de bitcoins, una moneda criptográfica cuya generación necesita de grandes cantidades de procesamiento. La presentación hizo hincapié en servicios gratuitos y diferentes técnicas que permiten el abuso de dichos servicios, a través de la generación de cuentas falsas.
¿Puede alguien crear miles de cuentas en servicios gratuitos?
Sí. La nube ofrece una gran capacidad de procesamiento, pero, ¿qué es realmente la “nube”? En pocas palabras, se trata de la tercerización de hardware y recursos en los cuales un usuario paga una suma de dinero por la que recibe a cambio una capacidad de procesamiento y disponibilidad de los servicios.
Según el tipo de servicio que contrate, deberá abonar diferentes sumas de dinero; sin embargo, existen servicios gratuitos donde lo único que se necesita para crear una cuenta es una dirección de correo. Entre los procesos de validación más utilizados por los servicios en la nube los investigadores detallaron:
- Verificación del correo electrónico
- Captchas
- Validación con Tarjetas de Crédito
- Número de Teléfono
De los cuatro métodos descriptos anteriormente, el primero es el más utilizado por los servicios gratuitos, sin embargo, muchas empresas que ofrecen esta posibilidad no validan ni siquiera las direcciones de correo. El riesgo de no validar las cuentas de correo, o cualquiera de los otros métodos, hace que para los cibercriminales sea muy sencillo crear miles de cuentas de correo y automatizar los procesos de registración.
¿Y minar Bitcoins en la nube?
Como parte de la investigación, una vez que se automatizó la creación de las cuentas, sólo queda resolver la problemática de cómo minar bitcoins. Para esta parte, la creación de scripts de automatización y ciertos frameworks como Fabric, basado en Python, fueron la llave para solucionar este inconveniente y poner miles de cuentas a generar LiteCoins.
Débiles procesos de verificación y automatización, un cóctel para cibercriminales
La combinación de la falta de procesos de verificación y validación de cuentas en conjunto con herramientas que permiten la instalación y configuración de sistemas de manera automática pueden abrir las puertas a los cibercriminales. Ragan y Salazar demostraron cómo este tipo de acciones podrían llevar al abuso de los términos y condiciones de estos servicios basados en la implementación de correctos procesos de validación.
El resultado de que atacantes abusen de este tipo de servicios les permite generar dinero sin ningún tipo de inversión, ya sea que lo utilicen para generar LiteCoins, para propagar amenazas informáticas o montar un panel de control.
Hacia el final de la charla, y como reflexión del estudio, los investigadores plantearon de qué manera podríamos afrontar este tipo de abusos y evitarlos, sin señalar culpables. El ofrecimiento de servicios gratuitos es útil y provechoso ya sea para personas que están comenzando un negocio, entusiastas de la tecnología o aficionados. Sin embargo, esto no deja de lado que la seguridad y la implementación de procesos de validación sean necesarios para evitar estas situaciones.
Incluso los servicios gratuitos deberían tener definido un correcto proceso de validación de cuentas ya sea mediante la validación de correos electrónicos o captchas. En determinadas ocasiones el apoyo del management es más que necesario para garantizar un servicio eficiente y seguro. En esta oportunidad se demostró que es viable para los cibercriminales crear una botnet en la nube para la generación de LiteCoins. ¿Qué crees que se podría hacer para detenerlos?