Curso de cyber seguridad, 2da parte. Ataque DDOS.

ddos

Luego de la introducción que hiciéramos en la primera entrega de esta serie, pasamos a entrar en mas detalles.

Un ataque DDoS es un intento de denegar el acceso de los usuarios legítimos a algunos o a todos sus recursos web. Se trata de la forma de ataque de Internet más directa y difundida que existe hoy en día.

Este atacante no intenta entrar en el sistema seleccionado, sino desbordarlo e imposibilitar la capacidad de dar respuesta al tráfico legítimo.

Se genera mediante la saturación de los puertos con flujo de información, haciendo que el servidor se sobrecargue y no pueda seguir prestando servicios.

Por eso se le denomina “denegación”, pues hace que el servidor no dé abasto a la cantidad de solicitudes. Esta técnica es usada por los llamados crackers para dejar fuera de servicio servidores objetivo.

Una ampliación del ataque DoS es el llamado ataque distribuido de denegación de servicio, también llamado ataque DDoS(de las siglas en inglés Distributed Denial of Service).

Este se lleva a cabo generando un gran flujo de información desde varios puntos de conexión. La forma más común de realizar un DDoS es a través de una botnet. Esta es la técnica de ciber ataque más usual y eficaz por su sencillez tecnológica.

Una analogía, (quizás no exacta pero al menos ilustrativa seria la siguiente): supongamos que alguien quiere crear un perjuicio a un supermercado. Digamos que el establecimiento tiene 200 metros cuadrados y 30 líneas telefónicas y de fax. Ahora supongamos que yo tengo a mi disposición cincuenta mil personas.

Lo único que tengo que hacer ahora, es mandar a toda esta gente, de forma tranquila y sin violencia alguna, al supermercado en cuestión, para que “entren” a pasear por él.

Ahora a un grupo numeroso los pongo a llamar constantemente a las líneas de teléfono y fax. Basta que cuando los atiendan preguntar “a qué hora abren” y listo.

Ninguna persona que legítimamente quisiera ir a comprar allí podrá hacerlo, ni siquiera acercarse o llamar.

Ahora bien, dado que no tengo tanta gente para hacer esto, voy a usar “robots”.

Parece difícil de lograr pero no en el mundo digital. Los robots o bots, son algo bastante fácil de crear y generar en cantidades importantes.

Esta analogía (aunque no rigurosa) explica lo que es un ataque con denegación de servicio.

Porqué la situación empeora día a día?

La escala y la sofisticación de los ataques DDoS están creciendo a niveles sin precedentes. De acuerdo con la revista eWeek, a principios del 2013 el tamaño promedio de los ataques más importantes DDoS se incrementó en siete veces desde el año anterior.

Existen tres razones principales que explican su creciente escala y éxito:

1 –

El software y las tácticas de piratería han cobrado mucha fuerza. Nuevas herramientas, como High Orbit Ion Cannon, pueden alcanzar hasta 256 direcciones de Internet simultáneamente, lo que da fuerza a los atacantes.

Por su parte, los ataques en sí ganan sofisticación. Una capa de aplicación DDoS puede agotar los recursos del blanco solo por medio de la explotación lógica de las debilidades en el software. Esto en vez del uso de un método tradicional más tosco de desborde del servidor con tráfico entrante proveniente de la red.

2 –

Los recursos de ataque son abundantes y de bajo costo. Un atacante DDoS usará con frecuencia una red bot (una red de computadoras infectadas con programas maliciosos que es posible controlar remotamente). De este modo puede inundar el objetivo con un aluvión de tráfico desde una variedad de ubicaciones.

En el pasado, los delincuentes informáticos tenían que construir sus propias redes bot, que requerían tiempo y recursos considerables. En la actualidad, es posible alquilarlas por poco dinero. Por ejemplo, servicios DDoS están disponibles al mejor postor por tan sólo USD 10 la hora o USD 150 por semana.

3 –

El hacktivismo posibilitó el acceso a los DDoS aun para quienes no son delincuentes informáticos.

Los grupos hacktivistas como Anonymous (delincuentes informáticos que realizan asaltos cibernéticos para promover una causa política o social) a menudo son individuos con habilidades técnicas. Ellos reclutan y supervisan un número mucho mayor de atacantes no calificados.

Para equiparlos, los programadores han creado un software sencillo pero poderoso, que permite a un gran grupo de usuarios de Internet desbordar al objetivo. El ataque se logra de manera exitosa con casi ningun conocimiento técnica previo.

En algunos casos, todo lo que el atacante precisa es navegar por una página web. La página puede alcanzar el objetivo con 200 pedidos por segundo, por tanto tiempo como el atacante mantenga el navegador abierto.

De este modo, los grupos como Anonymous ya no están restringidos por limitaciones técnicas, y para los hacktivistas realizar un ataque de gran envergadura se ha transformado más en un ejercicio sociológico que otra cosa.

Por ejemplo, cuán grande puede ser un grupo de personas reclutadas vía Internet para navegar una página específica y mantenerla abierta durante horas o días.

 

Porqué las defensas tradicionales no son adecuadas?

 

Es posible clasificar a las soluciones actuales más empleadas contra amenazas DDoS en dos. Dispositivos hardware in situ y servicios fuera del sitio ofrecidos por los operadores de empresas de telecomunicaciones y los ISP (proveedores de servicios de internet, por sus siglas en inglés). No obstante, ninguno es adecuado para proteger totalmente a una empresa de los ataques DDoS actuales.

Los dispositivos hardware in situ procesan los paquetes entrantes para filtrar y descartar el tráfico ilegítimo. Esta “gestión de banda ancha” presentará alguna resistencia, pero no será inmune a los ataques DDoS.

Aun cuando algunos los dispositivos pudieran incrementar su banda ancha efectiva, ésta tendrá un límite, que sería excedido por un ataque lo suficientemente importante. Por consiguiente, aun después de invertir en una plataforma de hardware de alto costo, cabe la posibilidad de que anulen nuestro sitio. Asimismo, un dispositivo in situ sólo aborda el último estado del problema.

Cuando ocurre un ataque DDoS de envergadura contra nuestro sitio, el tráfico fluye “río arriba” a través de nuestro proveedor de banda ancha, que debe defenderse contra el ataque. La solución más fácil suele consistir en hacer un ‘blackhole’ (descartar) todo el tráfico. Es evidente que sus dispositivos no harán un buen trabajo si el proveedor de servicio los quita de Internet.

Por último, las soluciones hardware puede constituir un desafío a la hora de su implementación. Requieren un equipo IT muy calificado, con operadores quienes, a su vez, precisan formación significativa con capacitaciones frecuentes que les permitan estar actualizados acerca de la evolución del entorno de estas amenazas.

 
banner580
 

Proveedores fuera del sitio tales como los operadores de las empresas de telecomunicaciones y los ISP evitan muchas de las desventajas de las soluciones de hardware in situ.

No obstante, existen dos debilidades principales.

En primer lugar, los operadores de las empresas de telecomunicaciones y los ISP venden banda ancha.

En general, sus empleados no son especialistas en DDoS.

De hecho, para un ISP tal calificación representaría un costo antes que una ganancia. Por otro lado, los ataques DDoS modernos son mucho más difíciles de diagnosticar.

Un atacante DDoS calificado empleará técnicas para enmascararse como tráfico legítimo.

Si bien es posible darse cuenta que un ataque DDoS masivo esté en progreso, quizás un ISP no sea de ayuda y no pueda distinguir el tráfico basura de los visitantes legítimos.

Por ejemplo, el ataque Slowloris (que debe su nombre a la herramienta de software escrita por el investigador en seguridad Robert Hansen) envía pedidos parciales HTTP GET a un servidor web.

Los añade lenta y periódicamente, pero no los completa. Con el tiempo, todas las conexiones disponibles están ocupadas con la actividad de Slowloris y el servidor deja de estar disponible para cualquier otro tráfico. SlowPost es un ataque similar, que envía una serie de pedidos HTTP POST muy lentamente con el mismo fin.

Slowloris y Slowpost son ejemplos sencillos de una tendencia más amplia: los ataques en capas de aplicación, que apuntan a las vulnerabilidades en el funcionamiento específico de las aplicaciones del servidor.

Estos ataques son muy difíciles de mitigar para aquellos proveedores que no se especializan en el tema.

Dado que los pedidos enviados parecen legítimos, se amplía su uso entre los atacantes. Las organizaciones que confían la protección de sus sitios a los ISP y a otros proveedores no especializados son cada vez más vulnerables.

La segunda debilidad en importancia es la escala creciente de asaltos DDoS .

Según un informe de Arbor Networks, más del 21 por ciento de todos los ataques DDoS ahora van de 2,000 Mbps (Megabits por segundo) a 10,000 Mbps. Comparando estos datos el ancho de banda de los canales de Internet usados comúnmente nos encontramos frente a un gran problema.

Por lo tanto, si un atacante tiene una verdadera motivación, es posible que desborde aun las redes más grandes. El número más alto hasta el momento, sucedió en marzo de 2013 contra Spamhaus.org y excedió los 120 Gps (120,000 Mbps).

De acuerdo con Prolexic Technologies, en la actualidad más del 10 por ciento de los ataques DDoS exceden los 60 Gbps (60,000 Mbps). Este número es enorme.

Pocas organizaciones tienen a su disposición una banda ancha que resista este nivel de ataque. Por eso el ISP a menudo se verá forzado a “resolverlo” por medio del enrutamiento de rutas nulas (descartando) todo el tráfico.

Esta situación desconecta a la empresa de internet, que es lo que el atacante precisamente busca alcanzar.

Es claro que la escala y sofisticación crecientes de los ataques DDoS requieren un nuevo enfoque para mitigarlos.

En la próxima entrega abordaremos la intrusión en los sistemas de las empresas y organizaciones.

 
app 300

Te gusta latamisrael.com?

Si respondiste “si” Apoyanos tambien en Twitter.
 

Siguenos en Google plus