Un equipo de Microsoft le sigue la pista a usuarios maliciosos

|

El anonimato en internet puede ser tanto una bendición como una maldición. Aunque la capacidad para enconderse detrás de proxys anónimos y direcciones de protocolo de internet (IP) de cambio rápido ha permitido una mayor libertad de expresión en naciones con regímenes opresivos, las mismas tecnologías permiten a los cibercriminales esconder sus ataques e introducir código malicioso y spam dentro de las comunicaciones legítimas.

En un estudio que se presentará la semana próxima en SIGCOMM 2009 en Barcelona, tres investigadores del centro de investigación de Microsoft en Mountain View, California, demostrarán una forma de eliminar el escudo de anonimato de este tipo de atacantes en la sombra.


Mediante el uso de una nueva herramienta de software, los tres científicos informáticos fueron capaces de identificar las máquinas reponsables de la actividad maliciosa, incluso cuando la dirección IP del anfitrión cambiaba rápidamente.

“Estamos intentando llegar hasta el anfitrión responsable del ataque,” afirma Yinglian Xie, miembro del equipo de Microsoft. “No estamos intentando seguir la pista a esos identificadores sino asociarlos con un anfitrión particular.”

El sistema prototipo, denominado HostTracker, podría resultar una mejor defensa contra los ataques online y las campañas de spam. Las firmas de seguridad podrían, por ejemplo, construir una imagen más concreta de que anfitriones de internet deberían ser bloqueados para que no pudieran enviar tráfico a sus clientes, y los cibercriminales lo tendrían más difícil para camuflar sus actividades como si fueran parte de un tipo de tráfico legítimo.

Xie y sus colegas, Fang Yu y Martin Abadi, analizaron datos pertenecientes a todo un mes—330 gigabytes—recogidos a partir de un gran proveedor de correo electrónico, en un intento por determinar qué usuarios eran responsables del envío del spam. Para hacer un seguimiento de los orígenes de los múltiples brotes de spam, los científicos estudiaron una serie de historiales entre los que se encontraban más de 550 millones de identificadores de usuario, 220 millones de direcciones IP, y un sello con la hora de, por ejemplo, el envío de un mensaje o la entrada en una cuenta.

Hacer un seguimiento del origen de los mensajes—una tarea principal para hacer un seguimiento del spam y otros tipos de ataques por internet—requiere una reconstrucción de las relaciones entre los identificadores de cuenta y los anfitriones desde los que los usuarios se conectan al servicio de correo electrónico. Para llevar a cabo esta tarea, los investigadores agruparon todos los identificadores a los que se accedieron desde los distintos anfitriones a lo largo de un determinado periodo de tiempo. Después, el software HostTracker, analizó estos datos y trató de resolver cualquier tipo de conflicto. Por ejemplo, a veces parecía que de la misma dirección de IP se originaba más de un usuario, o que un usuario individual poseía múltiples direcciones IP a través de periodos de tiempo que se superponían unos encima de otros.

HostTracker soluciona estos conflictos mediante referencias cruzadas de los datos para así identificar a los servidores proxy, que permiten que varios anfitriones aparezcan como una sola señal de IP, y para determinar en qué ocasiones un invitado está utilizando un anfitrión legítimo. “El hecho de ser capaces de hacer un seguimiento del tráfico malicioso hasta el proxy mismamente supone toda una mejora, puesto que somos capaces de identificar el origen exacto,” afirma Xie.

Fuente: Technology Review

ARTICULOS ANTERIORES:

 

©2010 Genera tu Ingreso | Diseño de Luis Santos *Cel.: (809) 517-1725 * Para:Genera tu Ingreso *San Fco. de Macorís, Rep. Dom.