Un equipo de Microsoft le sigue la pista a usuarios maliciosos

Los investigadores también crearon una forma para bloquear automáticamente el tráfico de una dirección de IP en particular, una vez que el sistema HostTracker determina que el anfitrión en dicha dirección está siendo utilizado para fines maliciosos. Al utilizar este método durante las simulaciones, los investigadores fueron capaces de bloquear tráfico malicioso con una cuota de error de 5 por ciento—en otras palabras, 5 de cada 100 trozos de información legítima fueron identificados como potencialmente maliciosos. Si se utiliza información adicional para identificar los buenos comportamientos de los usuarios se logra reducir los falsos positivos a menos de un uno por ciento.

Los resultados sugieren que HostTracker podría ser una buena forma de mejorar la forma utilizada en la actualidad contra los ataque de tipo ‘denegación de servicio’ o las campañas de spam, afirma Gunter Ollmann, vicepresidente de investigación y desarrollo en Damballa, una firma que ayuda a las compañías a eliminar a los anfitriones comprometidos dentro de las redes informáticas.

“El uso de esta técnica nos permitirá encontrar botnets que tengan una alta frecuencia de tráfico, tales como las campañas de spam, los ataques DDoS, y quizá los ataques tipo ‘hacer clic en vínculo’,” afirma Ollmann. “En otros ataques, como el robo de claves o los troyanos de banca, en los que el ataque está más centralizado en el anfitrión—este tipo de técnica no sería tan efectiva.”

Xie reconoce que aunque la técnica es útil para crear listas de anfitriones sobre los que crear un seguimiento, puede que sea menos útil para las agencias del orden público que deseen identificar a los atacantes que se esconden tras el crimen por inte et. “El tipo de responsabilidad de la que estamos hablando no es del tipo que llega a los tribunales,” afirma. “Hay que separar los dos conceptos. La responsabilidad de la que estamos hablando hace referencia a la identificación de los anfitriones.”