julio 3, 2014
¿Más allá del bien y del mal?
Hace algunos días, Microsoft anunció su incursión en el servicio de DNS dinámico No-IP, el resultado fue que se secuestraron 22 de sus dominios. El gigante de Redmond declaró que tenía unas razones muy válidas: No-IP contiene todo tipo de malware, deja espacio a los cibercriminales, es el epicentro de los ataques dirigidos, y además, No-IP nunca colabora con nadie para erradicar estos problemas.
Como pasa en la mayoría de los conflictos, cada uno echa la culpa al otro.
En particular, No-IP afirmó que hacen todo con las mejores intenciones y siempre están dispuestos a eliminar las fuentes de ciberataques, mientras que a los clientes no les gustan nada estas incursiones externas y les consideran un ataque ilegal a negocios legales. Ya que se pueden encontrar malware prácticamente en cualquier sitio, la interrupción de un servicio con una orden de un tribunal no es la solución adecuada.
¿Es legal desactivar un servicio porque se encuentra un #malware? ¿Y si se encuentran en cualquier página?Tweet
Mientras tanto, esta incursión dio bastantes resultados: se cerraron más de 4 millones de páginas web, entre maliciosas e inocuas, y esto afectó a 1,8 millones de usuarios. Microsoft está intentando separar lo bueno de lo malo y volver a activar las páginas legales; de todas formas, muchos usuarios siguen quejándose de molestas interrupciones de algunos servicios.
Identificar a los culpables es un trabajo inútil. Dejaré la investigación periodística a los… periodistas. les contaré sólo hechos, puros y duros, y les hablaré de números, así tal vez llegas tú a las conclusiones acerca de la legalidad y eticidad de las acciones de Microsoft…
1) Cerrar 22 dominios de No-IP afectó a más o menos el 25% de los ataques dirigidos de los que teníamos constancia en Kaspersky Lab. Se trata de miles de las operaciones de espionaje y cibercriminales de los últimos 3 años. Aproximadamente un cuarto de ellas tenían por lo menos un centro de Comando y Control (C&C) en No-IP; por ejemplo, los grupos de hackers Syrian Electronic Army y Gaza Team utilizaban exclusivamente No-IP, mientras Turla lo utilizaba en el 90% de sus operaciones;
2) Podemos confirmar que entre todos los proveedores de DNS dinámicos, No-IP fue el que menos estaba dispuesto a cooperar. En particular, ignoraron todos nuestros mails sobre la operación de sinkholing de una botnet;
3) Nuestro análisis sobe las piezas de malware actuales demuestra que a menudo los cibercriminales utilizan No-IP para sus centros de control de una botnet. Una simple búsqueda a través de VirusTotal confirma este hecho con unos datos muy impactantes: 4,5 millones de piezas de malware únicas se encontraron en No-IP;
4) De todas formas, las últimas cifras proporcionadas por nuestro servicio en la nube (KSN) muestran una situación un poco diferente. En esta tabla encontraréis los porcentajes de ciberataques de los principales servicios de DNS dinámicos:
Servicio | % de hosts maliciosos | Número de detecciones (en una semana) |
000webhost.com | 89.47% | 18,163 |
changeip.com | 39.47% | 89,742 |
dnsdynamic.org | 37.04% | 756 |
sitelutions.com | 36.84% | 199 |
no-ip.com | 27.50% | 29,382 |
dtdns.com | 17.65% | 14 |
dyn.com | 11.51% | 2321 |
smartdots.com | 0.00% | 0 |
oray.com | 0.00% | 0 |
dnserver.com | 0.00% | 0 |
Como se ve, No-IP no encabeza la lista así que no es el primero en número de ataques, pero sí que los porcentajes son muy altos en comparación con la mayoría de los servicios.
Algún dato más: el porcentaje de malware en los dominios .com llega a un 0,03%, mientras en la zona .ru es de un 0,39%. ¡En No-IP llegamos al 27,5%!
Hay que mirar el resto de los datos de una manera diferente: en una semana se detectaron alrededor de 30 mil dominios maliciosos en No-IP, mientras que en la misma semana para uno de los dominios más maliciosos de la zona .com se llegó a 429 mil detecciones, o sea 14 veces más que No-IP. Luego, el décimo dominio más infectado en la zona .ru generó 146 mil detecciones, ¡o sea casi lo mismo que los primeros 10 proveedores todos juntos de DNS dinámicos mencionados antes!
Resumiendo…
Por un lado, bloquear servicios populares utilizados por miles (o millones) de usuarios no es algo bueno. Por el otro, sí que está bien cerrar los sitios que albergan malware, es más, es una acción noble.
Cerrar los dominios de No-IP. ¿Está bien o está mal? Esta es la cuestión.Tweet
Pero las matemáticas hacen de abogado del diablo y demuestran que:
Desde el punto de vista cuantitativo, cerrar todos los dominios de No-IP no es más eficaz en la lucha contra los malware que cerrar el dominio con más piezas de malware en cada una de las zonas más populares, por ejemplo .com, .net o incluso .ru. Si se cerraran todos los proveedores de DNS dinámicos, Internet no llegaría a ser un lugar más “limpio”, o por lo menos no tanto como para notar la diferencia.
Entonces, la verdad que la situación es muy ambigua, con A mayúscula.
Cualquier persona honesta y con juicio puede decir que aquí nada es blanco o negro, no hay cosas exactas o equivocadas o, como dice Nietezche, es algo más allá del bien y del mal, ¿quién puede decidir?
Pues, reflexionando sobre este tema llegué a esta conclusión…
Hasta que el volumen de las acciones de los cibercriminales sea tan alto, es necesario utilizar este “poder” y cerrar de repente algunos servicios, ignorando cualquier noción de libertad en Internet y en los negocios. Así son las cosas, es una regla de la sociedad: si algo huele mal, tarde o temprano hay que limpiar y solucionar el problema.
La lista de los servicios bloqueados es bastante larga: Napster, KaZaA, Pirate Bay y otros más. Ahora añadimos No-IP a la lista.
¿Quién será el siguiente?
¿Bitcoin? La batalla ya ha empezado.