Lo más seguro es que todos aún recordemos el ataque DDoS que tuvo lugar hace dos semanas contra DynDNS y que consiguió dejar sin servicio a medio Internet, incluidas grandes plataformas como Twitter y WhatsApp. Este ataque se llevó a cabo a través de Mirai, una botnet formada por millones de dispositivos zombie del Internet de las Cosas desprotegidos e infectados por este malware y controlados por piratas informáticos.
Es prácticamente imposible que los usuarios sean conscientes de que sus dispositivos están infectados y, por lo tanto, también es prácticamente imposible acabar con esta botnet. Sin embargo, un ingeniero experto en seguridad ha encontrado la forma de acabar con la botnet Mirai, aunque esto supone la creación y distribución de un nuevo malware igual que hacen los piratas informáticos.
A grandes rasgos, este ingeniero ha creado un “malware bueno” que utiliza las mismas técnicas de distribución que Mirai pero que, una vez infecta un dispositivo IoT y hacerlo formar parte de una botnet, cambia sus credenciales por defecto por otros aleatorios para, posteriormente, eliminarse del dispositivo sin dejar rastro. De esta manera, Mirai, y otros gusanos similares, no podrán conectarse a los dispositivos ni tomar el control de los mismos a través de los credenciales por defecto.
Este “malware bueno” ha sido denominado como “anti-worm worm (o nematode)” y, aunque fue publicado en GitHub, actualmente no se encuentra disponible por motivos desconocidos.
Debido a que la mayoría de los dispositivos del Internet de las Cosas no tienen un sistema de actualizaciones como tal, es muy complicado lanzar y distribuir una actualización que, además de acabar con el fallo de seguridad, elimine el gusano del dispositivo infectado. Por ello, a día de hoy, el concepto de este ingeniero experto en seguridad es la opción menos mala para intentar acabar con esta peligrosa botnet.
¿Son los “virus buenos” una mala idea aunque se usen para acabar con Mirai y otras botnets?
Este ingeniero es consciente de que, aunque es una forma de acabar con Mirai, también estamos rozando una línea que no se debería traspasar, y es que, aunque las intenciones sean buenos, no estamos haciendo otra cosa que crear un malware, igual que hacen los piratas informáticos, para cambiar una configuración de dispositivos que no son nuestros igual que hace el malware malo.
De todas formas, este concepto se encuentra con un gran número de dificultades, tanto éticas como legales. Además, aunque estemos creando y liberando un malware totalmente autónomo (cosa aún más preocupante, la verdad), estamos abriendo la puerta a que otros piratas informáticos se hagan con él y lo modifiquen para hacerlo aún más peligroso y dotarle, por ejemplo, de un módulo de control remoto.
Sin duda, los virus son virus, y no hay virus buenos aunque las intenciones con las que se han creado no sean malas. La única forma de asegurarse de proteger los dispositivos del Internet de las Cosas es que los fabricantes tengan la obligación de configurar credenciales aleatorios por defecto de manera que, aunque queden abiertos otros vectores de ataque, al menos sea más complicado explotar este preocupante fallo de seguridad.
Fuente: https://www.redeszone.net
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad