El anonimato en internet puede ser tanto una bendición como una maldición. Aunque la capacidad para enconderse detrás de proxys anónimos y direcciones de protocolo de internet (IP) de cambio rápido ha permitido una mayor libertad de expresión en naciones con regímenes opresivos, las mismas tecnologías permiten a los cibercriminales esconder sus ataques e introducir código malicioso y spam dentro de las comunicaciones legítimas.

En un estudio que se presentará la semana próxima en SIGCOMM 2009 en Barcelona, tres investigadores del centro de investigación de Microsoft en Mountain View, California, demostrarán una forma de eliminar el escudo de anonimato de este tipo de atacantes en la sombra. Mediante el uso de una nueva herramienta de software, los tres científicos informáticos fueron capaces de identificar las máquinas reponsables de la actividad maliciosa, incluso cuando la dirección IP del anfitrión cambiaba rápidamente.

“Estamos intentando llegar hasta el anfitrión responsable del ataque,” afirma Yinglian Xie, miembro del equipo de Microsoft. “No estamos intentando seguir la pista a esos identificadores sino asociarlos con un anfitrión particular.”

El sistema prototipo, denominado HostTracker, podría resultar una mejor defensa contra los ataques online y las campañas de spam. Las firmas de seguridad podrían, por ejemplo, construir una imagen más concreta de que anfitriones de internet deberían ser bloqueados para que no pudieran enviar tráfico a sus clientes, y los cibercriminales lo tendrían más difícil para camuflar sus actividades como si fueran parte de un tipo de tráfico legítimo.

Xie y sus colegas, Fang Yu y Martin Abadi, analizaron datos pertenecientes a todo un mes—330 gigabytes—recogidos a partir de un gran proveedor de correo electrónico, en un intento por determinar qué usuarios eran responsables del envío del spam. Para hacer un seguimiento de los orígenes de los múltiples brotes de spam, los científicos estudiaron una serie de historiales entre los que se encontraban más de 550 millones de identificadores de usuario, 220 millones de direcciones IP, y un sello con la hora de, por ejemplo, el envío de un mensaje o la entrada en una cuenta.

Hacer un seguimiento del origen de los mensajes—una tarea principal para hacer un seguimiento del spam y otros tipos de ataques por internet—requiere una reconstrucción de las relaciones entre los identificadores de cuenta y los anfitriones desde los que los usuarios se conectan al servicio de correo electrónico. Para llevar a cabo esta tarea, los investigadores agruparon todos los identificadores a los que se accedieron desde los distintos anfitriones a lo largo de un determinado periodo de tiempo. Después, el software HostTracker, analizó estos datos y trató de resolver cualquier tipo de conflicto. Por ejemplo, a veces parecía que de la misma dirección de IP se originaba más de un usuario, o que un usuario individual poseía múltiples direcciones IP a través de periodos de tiempo que se superponían unos encima de otros.

HostTracker soluciona estos conflictos mediante referencias cruzadas de los datos para así identificar a los servidores proxy, que permiten que varios anfitriones aparezcan como una sola señal de IP, y para determinar en qué ocasiones un invitado está utilizando un anfitrión legítimo. “El hecho de ser capaces de hacer un seguimiento del tráfico malicioso hasta el proxy mismamente supone toda una mejora, puesto que somos capaces de identificar el origen exacto,” afirma Xie.

Los investigadores también crearon una forma para bloquear automáticamente el tráfico de una dirección de IP en particular, una vez que el sistema HostTracker determina que el anfitrión en dicha dirección está siendo utilizado para fines maliciosos. Al utilizar este método durante las simulaciones, los investigadores fueron capaces de bloquear tráfico malicioso con una cuota de error de 5 por ciento—en otras palabras, 5 de cada 100 trozos de información legítima fueron identificados como potencialmente maliciosos. Si se utiliza información adicional para identificar los buenos comportamientos de los usuarios se logra reducir los falsos positivos a menos de un uno por ciento.

Los resultados sugieren que HostTracker podría ser una buena forma de mejorar la forma utilizada en la actualidad contra los ataque de tipo ‘denegación de servicio’ o las campañas de spam, afirma Gunter Ollmann, vicepresidente de investigación y desarrollo en Damballa, una firma que ayuda a las compañías a eliminar a los anfitriones comprometidos dentro de las redes informáticas.

“El uso de esta técnica nos permitirá encontrar botnets que tengan una alta frecuencia de tráfico, tales como las campañas de spam, los ataques DDoS, y quizá los ataques tipo ‘hacer clic en vínculo’,” afirma Ollmann. “En otros ataques, como el robo de claves o los troyanos de banca, en los que el ataque está más centralizado en el anfitrión—este tipo de técnica no sería tan efectiva.”

Xie reconoce que aunque la técnica es útil para crear listas de anfitriones sobre los que crear un seguimiento, puede que sea menos útil para las agencias del orden público que deseen identificar a los atacantes que se esconden tras el crimen por internet. “El tipo de responsabilidad de la que estamos hablando no es del tipo que llega a los tribunales,” afirma. “Hay que separar los dos conceptos. La responsabilidad de la que estamos hablando hace referencia a la identificación de los anfitriones.”