sábado, 22 de octubre de 2016

Algunas reflexiones sobre el DDOS que tumbó Twitter, WhatsApp y alertó al mundo

Winter is Comming: Algunas reflexiones sobre el DDOS que tumbó Twitter, WhatsApp y alertó al mundo
Posted: 22 Oct 2016

Que Internet se ha metido en nuestras vidas de lleno desde hace unos años está claro tiempo atrás. Familiares y amigos se comunican por los servicios de las redes sociales diariamente, mucho más incluso que en el mundo físico sin necesidad de smartphones y conexiones de datos. 

Y ayer, muchos de ellos, fueron conscientes de cuánto lo necesitan. 

Se dieron cuenta que no funcionaba el Twitter, y por tanto los haters no podía desahogarse. Se dieron cuenta de que no funcionaba WhatsApp, y por tanto no podían pasarse memes, pero tampoco funcionaba NetFlix y no podían poner a las niñas a Masha y el Oso para que estuvieran calmados o escuchar música en Spotify mientras hacía running.


Figura 1: "Winter is Comming" Algunas  reflexiones sobre
el DDOS que tumbó Twitter y Whats y alertó al mundo

La lista de servicios - de los masivos - que se vieron afectados fue larga. XBOXTwilio, Paypal, Play Station Network CNN también estaban entre los afectados. 

Y entonces sí, entonces el mundo más allá de los que saben qué es una dirección IPv4 o una dirección IPv6 se empezó a preguntar... ¿Qué está pasando aquí? ¿Qué ha sucedido que sí que está afectando a mi vida?

La respuesta era tan sencilla, como tan difícil de hacer entender a la gente. Fue un ataque DDOSmasivo contra los servidores DNS de una de las empresas que dan soporte a muchos de estos servidores y a muchos de los usuarios. 

Un ataque contra la petición de resolución de nombres que corta el contacto entre los clientes y los proveedores de servicios. Ya está, no funcionan los DNS y la infraestructura de Internet comienza a fallar

Los DNS en Internet

Que los DNS son una pieza clave en la infraestructura de Internet es algo que lo sabemos desde hace mucho tiempo. 

Si estos están atacados por un DDOS y no pueden resolver los nombres de dominio se acabó la conectividad, pero ya en el pasado hemos visto otros fallos, como el de Dan Kaminsky, que podrían haber tumbado todos esos servicios de igual forma modificando los valores de las respuestas a las direcciones IP.

Internet no nació pensando en todos estos ataques, y muchos servicios han ido evolucionando su funcionamiento añadiendo capas de seguridad sobre los estándares originales, como es el caso del DNS, pero que aún no se ha añadido globalmente en todos los servidores, donde muy pocos utilizan a día de hoy, por poner un ejemplo, DNSEC para firmar las resoluciones de los valores dados. 

Contra el caso de un ataque DDOS el problema no recae en el servicio DNS, sino en la red en sí. 

Figura 2: Verificación de Web Browser en CloudFlare

Supongamos el caso de un ataque de denegación de servicio contra la página web de una empresa. 

Si un adversario quiere hacer un DDOS, a nivel de HTTP se puede poner una Cloud por delante que filtre los bots atacantes de los usuarios legítimos, como hace por ejemplo CloudFlare

pero si se hace a los servicios DNS deben ser los routers que procesan las peticiones TCP o UDP sobre las que lleguen las peticiones DNS de resolución las que discriminen si esa petición llega desde una máquina legítima o no. 

Tarea un poco más compleja.

Un ejemplo de Anti-DDOS

Supongamos que la empresa DYN, objetivo de este ataque concreto, quiere detener este DDOS. Para ello, debe tener un red de protección previa a que el tráfico llegue a sus servidores. Si no fuera así, todo el tráfico del ataque DDOS llegaría hasta su red y, aunque lo detectase y lo descartara con un"drop", las peticiones de servicio no podrían ser procesadas porque el tráfico de llegar hasta el router ya está colapsado. Es decir, el paquete no-malicioso sería como un comprador habitual de un establecimiento que no puede llegar a la puerta del establecimiento porque es día de rebajas y está colapsada la puerta por las personas que vienen a por las ofertas.

Para ello, la empresa debe tener una red previa, proporcionada por el operador que le proporciona las conexiones a Internet, que fuera eliminando - antes de que lleguen a su router - las peticiones. Es decir, supongamos que el supermercado que tiene la puerta colapsada en día de rebajas decide poner en las 4 esquinas de las calles desde las que les llegan los compradores de rebajas cuatro puntos de control. Así, el tráfico masivo de nuevos compradores se dividiría por 4, quedando solo el 25% en cada punto de control. El comprador habitual pasaría uno de esos puntos de control con solo el 25% del tráfico del ataque para que luego, en la puerta de entrada del supermercado solo se encuentre y comparta entrada con otros compradores habituales.

Figura 3: El ataque DDOS a SpamHaus alcanzó 65 GPS

Si el tiempo de cruzar uno de esos cuatro puntos de control fuera aún muy lento, lo que debería considerar el supermercado es en contratar más personas para procesar en menos tiempo el 25% del tráfico que pasa por cada uno de esos puntos de control o crear nuevos puntos de control en una capa más alejada, para conseguir un mayor desglose del tráfico. 

Así es como funcionan los sistemas escudo que dan los ISPs desde la red, utilizando tecnologías comoARBOR para crear lo que se denominan escudos AntiDDOS proporcionados desde la red, que es lo queparece que podría haber hecho DYN para conseguir proteger sus servicios DNS, es decir, llamar a su proveedor de conexiones de red y solicitar la contratación de estos escudos Anti-DDOS desde la red.

¿Cómo se puede conseguir tanta potencia 

  para hacer un ataque DDOS tan fuerte?

Los ataques DDOS a los servidores DNS pueden ser hechos de mucha forma.

Ya vimos en el pasado - hace ya unos añitos - como se habían conseguido hacer ataques de gran potencia de tráfico mediante vulnerabilidades de DNS Amplification, como sucedió cuando se produjo el ataque a los servidores de SpamHaus

En ese caso, un spammer enfadado con las listas RBL fue capaz de tumbar los servidores con peticiones DNS por UDP spoofeadas en las que usaba como dirección de origen la de su objetivo para que los propios servidores DNS tumbaran a SpamHaus.

Pero si nos vamos a momentos más recientes, controlando routers, impresoras y equipos Windows, mediante bugs conocidos, exploits públicos, contraseñas por defecto o simple malware desplegado conkits de explotación, hemos visto como un grupo como Lizard Squad era capaz de tumbar en el pasado los servidores Play Station Network y de XBOS y hacer que el propio Kim Dot Com pagara con bonos de Mega para que pudiera seguir jugando a sus juegos.

Y sin irnos tan lejos, AKAMAI dejó sin protección la web de Brian Krebs debido a la virulencia del ataque producido por una botnet de este tipo. 


¿Quién ha podido estar detrás?

Las especulaciones son como siempre de todo tipo. 

¿Podría ser Korea del Norte atacando a EEUUpara devolver una respuesta proporcionada al ataque de DDOS que sufrió como "castigo" por el ataque a SONY

¿Podría ser un ataque para meter el miedo contra el voto electrónico? 

¿Podría tener algo que ver con las elecciones en EEUU para que se beneficie el mensaje de uno u otro candidato? 

¿Podría no ser nada más que una nueva versión de Lizard Squad enfadados por el bloqueo de alguna cuenta enTwitter

¿Podría ser un ataque de ISIS por esos mismos bloqueos en Twitter

Ahora es tiempo para especulaciones, por supuesto, y para la conspiranoia. Pero si un estado tuviera esta botnet lista - que no dudo que algunos países tengan estas posibilidades - habría que ver si una operación así pone de manifiesto sus cartas. 

Lo que hemos visto en el pasado es que los ataques entre naciones han sido siempre sibilinos, utilizando 0days que no fueran detectados para evitar que dejaran de ser útiles, porque en el momento que se lanzan, los investigadores pueden descubrir cómo se ha hecho, qué han utilizando y dónde estaba el fallo aprovechado.

Figura 4: El ataque a Brian Krebs superó los 400 GPS con NTP Amplification

Hasta que no tengamos los detalles podría ser cualquiera cosa, pero viendo cómo fue el ataque a Brian Krebs, mi opinión iría más hacia esa dirección. 

Es decir, hacia alguien que ya tiene esa botnet creada con dispositivos IoTrouters y switches - como hacía la NSA - y que ahora está disfrutando con el uso de la misma en estos ataques DDOS

Me apuesto un camiseta de LUCA o de la FOCA
a que en breve veremos más de estos y puede que, 
sean parte de este ataque.

Saludos Malignos!


    Tanto Spotify como DYN reconocieron a través de sus cuentas de Twitter que experimentaron fallos producto de un ataque.

    Tanto Spotify como DYN reconocieron a través de sus cuentas de Twitter que experimentaron fallos producto de un ataque. | Foto: eleconomista.es


    Publicado 21 octubre 2016 




    Ciberataque tumba Spotify, Twitter y Soundcloud en EE.UU.


    Internet, bajo un masivo ciberataque: Registran interrupciones en Twitter, PayPal, Netflix y Amazon

    Publicado: 21 oct 2016
    Dyn, una empresa de gestión de Internet, advierte actualmente a los usuarios sobre una tercera interrupción del servicio debido a un ataque cibernético.
    Un gran corte de Internet ha afectado este viernes a algunas de las empresas 'online' más grandes del mundo. Usuarios de Twitter, Amazon, CNN, Reddit, Nytimes,PayPal, Spotify, SoundCloud, AirBnB, HBO, Netflix, Etsy, Github y Vox, entre otros, en EE.UU. se han quedado sin acceso a esas páginas por varios períodos de tiempo durante el día de hoy. 
    La empresa de gestión de Internet Dyn ha advertido a los usuarios sobre una tercera interrupción del servicio debido a un ciberataque, informa 'The World News'.
    "Hemos comenzado la investigación del ataque DDoS contra nuestra infraestructura. Nuestros ingenieros continúan trabajando para mitigar este problema", reza un comunicado en el portal de Dyn, una de las varias compañías responsables de acoger el crucial directorio web conocido como Sistema de Nombres de Dominio (DNS).
    Según explica 'The Independent', dichos cortes de Internet a gran escala fueron el resultado de un ataque coordinado contra los servidores de Dyn, que alojan los dominios de las plataformas web en la Red. 
    Denominado usualmente "ataque de denegación de servicio distribuido" (DDoS, por sus siglas en inglés), este tipo de ofensiva provoca la falta de acceso a sitios web.

    "Un acto criminal"

    Según informa Reuters en su cuenta de Twitter, el Gobierno de EE.UU. investiga si el ciberataque es un "acto criminal". Por su parte, el portavoz de la Casa Blanca, Josh Earnest, confirmó que el Departamento de Seguridad Nacional está "monitoreando la situación" e investigará en profundidad estos ataques.

    BREAKING: U.S. government probing whether east coast internet attack was a 'criminal act' - official
    Cabe mencionar, que dicho departamento, como informa Reuters, emitió la semana pasada una advertencia acerca de un nuevo foco de ataques DDos y señaló que estaba preocupado por la posibilidad de nuevos ataques después de que el llamado 'malware', un código maligno que tiene como objetivo infiltrarse en una sistema de información y dañarla, fuera publicado en Internet.
    Por el momento nadie se ha atribuido la responsabilidad. 
    El grupo de piratas internacional Anonymous publicó en su cuenta de Twitter, que la CNN ha insinuado que esa agrupación está detrás de los ataques DDoS.

    BREAKING: CNN insinuates Anonymous is behind DDoS attacks. No one has claimed responsibility. Attacks have spread to parts of Europe.

    RT


    No hay comentarios:

    Publicar un comentario

    Si nos han de robar, 
    que sean otros y no los mismos de siempre

    Si como votantes, no nos escuchan
    como consumidores, lo harán
    boicoetemos sus empresas.
    Llevamos las de ganar. 

    Como acabar con la ESTAFA de las ELÉCTRICAS... de una puta vez pasando de los Vendepatrias del Bipartidismo

    Ante el robo continuo y escandaloso por parte de las eléctricas y sus abusos en el recibo de la luz
    propongo... 
    actuar todos unidos como consumidores
    contratando TODOS 
    o en su defecto una gran mayoría,
      otra compañia eléctrica que no sea ninguna de estas dos (ENDESA - IBERDROLA) y cambiarnos a otra cualquiera de las muchas ofertas que existen hoy en día.

    De tal forma que no les quede otra a las grandes que plegarse a nuestras demandas de una tarifa más justa y mucho más barata
    o atenerse a las consecuencias 
    de seguir con su estafa.

    En nuestra mano está que siga este robo o cortar por lo sano para que no nos sigan mangoneando

    ARMAK de ODELOT

    Canción del Indignado Global

    (solo pá Mentes preclaras 

    libres de Polvo y Cargas)

    Si me han de matar que sea,
     un Trump que de frente va

      no un Obama traicionero, 

    que me venga por detrás.


    Éstos del bipartidismo, 

    a nadie ya se la dan

    Tanto monta, monta tanto,

    ser sociata o liberal.


    Que harto me tienen sus cuentos, 

    de crisis y guerras sin más

    Cuando no hay bandera que tape, 

    la ansia de un criminal.


    Daños colaterales son, 

    inocentes masacrar

    si lo hiciéramos con ellos, 

    no habría ni una guerra más.


    Por eso pasa que pasa, 

    que nadie se alista ya

    a no ser que la CIA pague,
     
    como al ISIS del MOSAD


    A mí, que nunca me busquen, 

    ni me llamen pá luchar.

    Que yo no mato por nadie. 

    Yo mato por no matar.


    La paz de los cementerios 

    es la paz del capital

    Si soy rojo es porque quiero, 

    en vida, vivir en paz.


    Hoy tan solo mata el hambre, 

    del rico por tener más 

    Con el cómplice silencio, 

    de toítos los demás.


    Que preferimos taparnos, 

    los ojos pá no pensar

    O mirar pá otro lado, 

    pensando que el mal se irá.


    Creer que lo que a otro pasa, 

    no nos tiene que importar.

    Cá palo aguante su vela, 

    repetimos sin cesar.


    Éste es el mantra egoísta 

    que rula por la sociedad

    como si lo que le pase a otro, 

    no te pueda a tí pasar


    Más todo, cuán boomerang vuelve, 

    al sitio de donde partió

    y tal vez ocupes mañana, 

    el sitio que otro dejó.


    Mil pobres ceban a un rico, 

    otros mil le dan jornal,

    y otros cuantos dan su vida 

    porque todo siga igual. 


    Que no me coman la oreja, 

    que no me creo ya ná

    de sus guerras, sus estafas, 

    ni su calentamiento global


    Tan solo vuestras mentiras, 

    esconden una verdad

    que unos pocos están arriba 

    y abajo tós los demás.


    Da igual que seas ateo, 

    cristiano o musulmán.

    Solo los elegidos, 

    el paraíso verán.


    Hay medios alternativos, 

    amarillos muchos más.

    Unos más rojos que otros. 

    Los menos, de radikal.


    Más todos tienen su cosa, 

    y a todos hay que hojear

    Que comparando se tiene 

    opinión más general.


    Qué de tó aprende uno. 

    Nadie tiene la verdad.

    Ser más papista que el Papa, 

    no es garantía de ná.


    Solo creo en lo que veo, 

    díjome santo Tomás, 

    que el que a ciegas se conduce, 

    no para de tropezar.


    Y al enemigo, ni agua, 

    ni nunca contemporizar

    No dudes, tarde o temprano, 

    siempre te la jugará.


    No hay que seguir a nadie 

    y a todos hay que escuchar.

    Si tu conciencia te guía, 

    de nada te arrepentirás.


    Dá gusto ver a los ricos, 

    pegarse por serlo más

    mientras en eso se hallen, 

    quizás nos dejen en paz.


    Si te crees o no sus mentiras, 

    a ellos les dá igual.

    Con tomarlas por veraces, 

    les basta para actuar. 


    Que no me cuenten más cuentos, 

    que tós me los sé yo ya.

    Se demoniza a cualquiera

    que no se deje robar.



    No basta con ser un santo, 

    sino ser de"su santoral"

    Como la cojan contigo, 

    no te valdrá ni el rezar.


    Pensamiento único llaman. 

    Anteojeras pá no pensar

    más que en la zanahoria. 

    El palo irá por detrás.


    Si no crees en lo dictado, 

    anti-sistema serás

    Y por mucho bien que hagas, 

    te van a demonizar.


    Que no me coman la oreja, 

    que a mí, no me la dan.

    Que me sé todos sus cuentos 

    y también, cada final.


    Si de cañon, quieren carne, 

    pál matadero llevar

    que busquen a otro tonto, 

    que este tonto no va más



    No se ha visto en tóa la historia, 

    otra estafa sin igual.

    Que la madre tóas las crisis, 

    que creó el capital


    Y cuando tan ricamente, 

    uno estaba en su sofá

    Relajado y a cubierto, 

    de inclemencias y demás,


    te cortan sin previo aviso

    el grifo de tu maná. 


    Y te dejan sin tus sueños,
     
    sin trabajo y sin hogar


    y pá colmo y regodeo 

    de propios y extraños, van

    y te dicen como aviso

    que al rojo no hay que escuchar


    que son peores que el lobo,

    del cuento y mucho más

    y que si vas y los votas

    toíto te lo robarán.



    Si como votantes, no nos escuchan

    como consumidores lo harán.

    Boicoetemos sus empresas

    Llevamos las de ganar. 


    Si no queda más remedio

    que dejarnos de robar

    que sea otro y no el de siempre

    tal vez así, aprenderá


    No hay pan pá tanto chorizo,

    dicen, cuando lo que sobra es pan.

    Lo que no hay es un par de huevos
     
    pá que no nos choriceen más.


    Resultado de imagen de eladio fernandez refugiados suecia

    Ellos tienen de tó

    los demás, cuasi-de-ná

    mas ellos son cuatro mierdas

    y nosotros sémos más.


    La próxima revolución 

    contra las corporaciones será

    y si ésta no se gana 

    no habrá ninguna ya más.

    Quien sepa entender que entienda

    lo que digo es pá mascar

    despacio y con buena conciencia.

    Mi tiempo no dá... pá más


    Armak de Odelot


    Dicen: 

    No será televisada, 

    la próxima revolución.

    Más como nadie se fía 

    de lo que se nos dice hoy en día,

    pasamos los días enteros, 

    tumbados en el sofá

    delante la caja tonta,

     por no perder el momento
    del pase de la procesión 
    que tós llevamos por dentro