¿Blackhole for Bad Bots? ¿Es que hay bots buenos? Esta vez hare un pequeño repaso a este tema gracias a que este plugin ha hecho su trabajo. Sera mi primer acercamiento a los HoneyPot.
Introducción
No estaba seguro de que este plugin funcionara pues nunca dio señales de hacerlo, pero eso cambio hace unos meses, cuando el trafico de mi blog aumentó por también mi aumento en mi tasa de publicación (y aunque he publicado bastantes cosas, el trafico solo aumento en cosas antiguas muy especificas) así que finalmente recibí un mensaje de correo electrónico de este estilo:
Hola! Este aviso por correo electrónico te lo ha enviado tu sitio WordPress.Interlan @ interlan.ec. Hola, estás utilizando un plugin llamado Blackhole contra robots maliciosos. Este correo electrónico te indica que el plugin está funcionando bien, haciendo su trabajo de bloquear robots maliciosos. Debajo encontrarás detalles acerca del robot malicioso al que se le ha denegado el acceso.Si en algún momento quieres desactivar estos correos electrónicos, visita los ajustes del plugin.
2024/02/19 @ 02:26:15 pm
URI de la petición:/?blackhole=df89137c00
Dirección IP:185.220.100.255
Nombre de servidor:tor-exit-4.zbau.f3netze.de
Agente de usuario:Opera/9.80 (Windows NT 6.0; MRA 6.0 (build 5831)) Presto/2.12.388 Version/12.17
Consulta whois:
Aplazado a un servidor WHOIS específico:whois.ripe.net…
ARIN WHOIS data and services are subject to the Terms of Use
available at: https://www.arin.net/resources/registry/whois/tou/
If you see inaccuracies in the results, please report at
https://www.arin.net/resources/registry/whois/inaccuracy_reporting/
Copyright 1997-2024, American Registry for Internet Numbers, Ltd.
He estado publicando últimamente artículos sobre seguridad informática como ataques de DDoS extraño que finalmente termine bloqueando o mi experiencia con virus de wordpress que tratan de infectar discretamente al usuario (ya me encontré un sitio infectado que me gustaría compartir solo por los loles en otro articulo), así que decidí repasar un poco sobre el funcionamiento de este plugin.
Blackhole for Bad Bots
Según su propio sitio:
Los bots maliciosos son lo peor de lo peor. Hacen todo tipo de cosas feas y consumen recursos del servidor. El plugin Blackhole te ayuda a detener a los bots maliciosos y ahorrar recursos preciosos para tus visitante legítimos.
Jeff Starr
El mismo texto se encuentra en la pagina de plugins de WordPress y fue así como lo conocí. Su mensaje sencillo y directo me convenció, aunque con el tiempo aprendí que los bots a los que se refiere, no son los que mas joden.
Voy a pausar un momento para aclarar unas cosas. Probablemente hayas oído sobre los bots, pero el termino es muy general, por lo que se mezclan muchos conceptos.
Sobre los Bots
Un bot es en resumidas cuentas, un programa que automatiza la tarea. Deriva de la palabra «Robot» que según la RAE es una máquina o ingenio electrónico programable que es capaz de manipular objetos y realizar diversas operaciones. Por supuesto, al ser solo una pieza de software, no califica para ser un robot, así que tan solo se quedaron con el bot de la palabra.
Ahora bien, hace poco hable de un bot. El Escriba del Muro es un software que busca automatizar una tarea repetitiva por medio de la API de Telegram, utilizando una interfaz de usuario basada en Chat (si, también tengo ganas de escribir sobre las interfaces de usuario y la variante de CLI que usamos en los bots de Telegram) por lo que es un bot, pero los bots tienen clasificaciones segun las tareas y el medio que se utilizan. En este caso, hablamos de un chatbot.
El internet solo es una inmensa red de computadoras conectadas entre si. Nadie conoce a nadie y solo si se conoce la identidad del interlocutor, es posible llegar a el gracias al sistema de ruteo que existe. Así que a menos que conozcamos el camino exacto para llegar a la wikipedia, si ni siquiera sabemos que existe, jamás llegaríamos allí. Es entonces donde entra nuestro bot mas conocido de la web; el Googlebot.
googlebot es un webspider, un bot que aprovechando la predictibilidad de las direcciones IP, va consultando secuencialmente si el equipo conectado a ese nodo, ofrece servicios web. En caso de que sea así, se aprovecha de la característica de HTTP para rastrear URL y examinar el sitio para crear un índice. Es así como nace y crece la monstruosa base de datos que nos permite llegar a una web que queramos desde la primera pagina de los resultados de Google.
Hay Bad Bots
Hay muchas mas cosas involucradas en este proceso, pero ahora nos centraremos en los webspider. Este tipo de bot invierte cierta cantidad de energía en localizar los recursos de internet y crear un mapa, pero para eso, consulta al servidor sobre lo que tiene y el servidor invierte energía en responder.
Este bot nos da una relación de mutualismo, debido a que el necesita nuestro contenido para alimentar su buscador y nosotros necesitamos ser encontrados en ese buscador, así que el gasto de recursos es justo. Todos ganan. Pero no es el único bot que llega a nuestro servidor.
Cito del mismo texto del plugin Blackhole for Bad Bots:
Por defecto este plugin NO bloquea ninguno de los principales motores de búsqueda (agentes de usuario):
- AOL.com
- Baidu
- Bingbot/MSN
- DuckDuckGo
- Googlebot
- Teoma
- Yahoo!
- Yandex
Seguro te habrás dado cuenta de que en principio, tienes encima a ocho posibles bots atormentando a tu servidor con las mismas preguntas, pero como puedes ver, son llamados bots buenos. No es que sean buenos. Es que te conviene que te conozcan.
El funcionamiento de estos bots es sencillo y fácil de replicar, así que no todos los bots tienen buenas intenciones. Por ejemplo, el que jodia mi blog hace unos días buscaba vulnerabilidades para atacar y causar daño. Este plugin no podía haberlo detenido debido a que se especializa en webspiders.
Honeypot
Nuestro invitado de hoy se especializa en Webspiders es decir, en bots que revisan la web buscando contenido. Esta actividad es casi tan vieja como el internet, por lo que se han creado reglas de indexado. El conocido archivo Robots.txt, que indica a los webspiders que cosas se desean indexar y que otras cosas no. El funcionamiento del plugin se basa en la confianza de que si son buenos, respetaran nuestros deseos por escrito y si son malos, no. Adjunto texto del mismo creador:
En primer lugar, el plugin añade un enlace oculto de cebo en el pie de tus páginas. Tú añades una línea a tu archivo robots.txt que prohibe a todos los bots seguir el enlace oculto. Los bots que ignoren o desobedezcan tus reglas para robots, seguirán el enlace y caerán en la trampa. Una vez atrapados, se les denegará el acceso posterior a tu sitio WordPress.
Yo lo llamo la regla de «un aviso»: Los bots tienen una única oportunidad de obedecer la regla en el robots.txt de tu sitio. Si no la cumplen el resultado es que se les ignora completamente. Lo mejor es que Blackhole afecta sólo a los bots maliciosos: Un visitante humano nunca ve el enlace oculto y los bots buenos obedecen las reglas para bots a la primera. ¡Todos ganan! 😉
En esto consiste un sistema HoneyPot. Es decir, siembra un señuelo para que el atacante no llegue a los recursos valiosos y en este caso, para que no gaste los recursos del servidor.
Cuando un bot no respeta las reglas del archivo robots.txt, es porque esta buscando recursos ocultos para explotarlos de alguna manera, lo cual podría perjudicarnos. Si tenemos buena disciplina para mantener todo seguro, en realidad por ese lado no hay mucho que preocuparnos. WordPress es bastante seguro y si el servidor esta bien configurado y actualizado, lo que no queremos que se vea, no se va a ver.
Conclusiones
¿Qué opino entonces de este plugin? Que funciona por supuesto. Hace aquello para lo que esta programado, pero no es un remedio total para la seguridad del sitio. Me resulto interesante haber pasado por todo tipo de ataques y problemas de seguridad hasta que por fin dio señales de funcionamiento. Entonces entendí que algunas cosas llegan por la actividad que haya en el sitio, siendo que mientras mas popular se vuelve, mas claro queda que debe ser un objetivo.
No sabría si en una instalación mas activa funcionaria mejor o que tanto beneficio hay en usarlo, pero al menos en mi caso, no parece aportar demasiado, pero no lo desinstalaré. Es interesante notar este tipo de ataques y de otra forma me pasarían desapercibidos, especialmente si no me hicieran daño.
