ISP Informe exitoso en la lucha contra PC infectadas con malware

Las computadoras infectadas con software malicioso siguen siendo un gran dolor de cabeza para los ISP, pero dos compañías han diseñado sistemas que han hecho que el problema sea mucho más manejable.

Cuando una PC se infecta con software malicioso, a menudo se usa para enviar correo no deseado. Hace que el ISP se vea mal y también absorbe el ancho de banda, haciendo que las redes estén más congestionadas.

True Internet, uno de los ISP más grandes de Tailandia, ha sido afectado por un número cada vez mayor de computadoras infectadas con malware en su red. El tráfico de spam y malware fue tan severo que sus clientes, la mayoría de los cuales todavía están en conexiones de acceso telefónico, se quejaban de lentas velocidades, dijo Tanapon Chadavasu, jefe de operaciones de red de True Internet.

[Más información: cómo para eliminar el malware de su PC con Windows]

El problema también le costaba dinero a la compañía, ya que el ancho de banda es caro en el área y se necesitaba más hardware para mantener la red en funcionamiento, dijo Chadavasu el miércoles en una conferencia. Reunión del Grupo de trabajo sobre abuso en Amsterdam.

Equipo verdadero instalado en Internet de una empresa de Nueva Zelanda llamada Esphion que identifica un comportamiento anómalo en la red. Los dispositivos pasivos identifican patrones de ataque, como ataques de denegación de servicio o gusanos de día cero.

Si los sensores de Esphion detectan algo, como una gran cantidad de correo no deseado, se envía una alerta a un controlador, que luego puede automáticamente Poner en cuarentena al suscriptor, dijo Chadavasu.

Si un suscriptor se conecta a Internet, se lo redirige a una página que le notifica que su computadora puede estar infectada. True Internet tiene una asociación con el proveedor de seguridad Trend Micro para escanear las computadoras de los suscriptores.

"Una vez que hayan limpiado la computadora … les permitiremos regresar a la 'Red', dijo Chadavasu.

La verdadera Internet solía Sólo puso en cuarentena a un cliente después de que se detectaron dos incidentes malos, pero cambió su política en agosto pasado para ponerla en cuarentena después de un incidente, dijo Chadavasu. El spam en su red disminuyó drásticamente y la seguridad de Internet de los clientes mejoró.

Cerca del 70 por ciento de las PC que han sido puestas en cuarentena una o dos veces nunca vuelven a ponerse en cuarentena, dijo Chadavasu, lo que apunta a una mayor conciencia de seguridad entre los consumidores.

"Creemos que es muy efectivo", dijo Chadavasu.

NetCologne, un ISP y proveedor de cable y teléfono en Alemania, ha adoptado un enfoque similar para automatizar la forma en que trata a los suscriptores infectados con malware.

NetCologne también se bloquea los suscriptores que parecen estar involucrados en algún tipo de abuso y les da la oportunidad de descargar parches de seguridad de Microsoft o incluso comprar software de seguridad, dijo Dietmar Braun, ingeniero de sistemas y desarrollador de la compañía. Una vez que los usuarios han limpiado su sistema y aplicado parches, pueden desbloquear automáticamente su acceso.

Para identificar las PC que pueden estar infectadas con malware, NetCologne estableció un honeypot. Las computadoras infectadas a menudo intentan atacar otras computadoras en la misma red, por lo que el honeypot es un objetivo fácil que permite la identificación del suscriptor, dijo Braun.

La rutina de desconexión se maneja a través de una aplicación creada por NetCologne llamada PHREAK o Programa para Final de reacción inducida por Honeypot en muerte automatizada. Crea un informe de abuso, o un ticket, y luego procede a desconectar al usuario y dirigirlo al software de seguridad.

Esto se usa en concierto con ANANAS, que significa Sistema Automático de Notificación de Abuso de Red. ANANAS responderá a las quejas por abuso de otras entidades automáticamente en la mayoría de los casos, dijo Braun. Cierra el círculo con aquellas entidades que han notado que el abuso proviene de la red de NetCologne.

"Nuestra administración de abuso puede resolver la mayoría de los tickets en un tiempo muy rápido", dijo Braun.

En general, el enfoque de NetCologne ha sido tan exitoso que la compañía solo emplea a una persona durante aproximadamente 20 horas a la semana manejando problemas de abuso para unos 500,000 suscriptores, dijo Braun.