Winter is Comming: Algunas reflexiones sobre el DDOS que tumbó Twitter, WhatsApp y alertó al mundo
Posted: 22 Oct 2016
Que Internet se ha metido en nuestras vidas de lleno desde hace unos años está claro tiempo atrás. Familiares y amigos se comunican por los servicios de las redes sociales diariamente, mucho más incluso que en el mundo físico sin necesidad de smartphones y conexiones de datos.
Y ayer, muchos de ellos, fueron conscientes de cuánto lo necesitan.
Se dieron cuenta que no funcionaba el Twitter, y por tanto los haters no podía desahogarse. Se dieron cuenta de que no funcionaba WhatsApp, y por tanto no podían pasarse memes, pero tampoco funcionaba NetFlix y no podían poner a las niñas a Masha y el Oso para que estuvieran calmados o escuchar música en Spotify mientras hacía running.
Figura 1: "Winter is Comming" Algunas reflexiones sobre
el DDOS que tumbó Twitter y Whats y alertó al mundo
La lista de servicios - de los masivos - que se vieron afectados fue larga. XBOX, Twilio, Paypal, Play Station Network o CNN también estaban entre los afectados.
Y entonces sí, entonces el mundo más allá de los que saben qué es una dirección IPv4 o una dirección IPv6 se empezó a preguntar... ¿Qué está pasando aquí? ¿Qué ha sucedido que sí que está afectando a mi vida?
La respuesta era tan sencilla, como tan difícil de hacer entender a la gente. Fue un ataque DDOSmasivo contra los servidores DNS de una de las empresas que dan soporte a muchos de estos servidores y a muchos de los usuarios.
Un ataque contra la petición de resolución de nombres que corta el contacto entre los clientes y los proveedores de servicios. Ya está, no funcionan los DNS y la infraestructura de Internet comienza a fallar
Los DNS en Internet
Que los DNS son una pieza clave en la infraestructura de Internet es algo que lo sabemos desde hace mucho tiempo.
Si estos están atacados por un DDOS y no pueden resolver los nombres de dominio se acabó la conectividad, pero ya en el pasado hemos visto otros fallos, como el de Dan Kaminsky, que podrían haber tumbado todos esos servicios de igual forma modificando los valores de las respuestas a las direcciones IP.
Internet no nació pensando en todos estos ataques, y muchos servicios han ido evolucionando su funcionamiento añadiendo capas de seguridad sobre los estándares originales, como es el caso del DNS, pero que aún no se ha añadido globalmente en todos los servidores, donde muy pocos utilizan a día de hoy, por poner un ejemplo, DNSEC para firmar las resoluciones de los valores dados.
Contra el caso de un ataque DDOS el problema no recae en el servicio DNS, sino en la red en sí.
Figura 2: Verificación de Web Browser en CloudFlare
Supongamos el caso de un ataque de denegación de servicio contra la página web de una empresa.
Si un adversario quiere hacer un DDOS, a nivel de HTTP se puede poner una Cloud por delante que filtre los bots atacantes de los usuarios legítimos, como hace por ejemplo CloudFlare,
pero si se hace a los servicios DNS deben ser los routers que procesan las peticiones TCP o UDP sobre las que lleguen las peticiones DNS de resolución las que discriminen si esa petición llega desde una máquina legítima o no.
Tarea un poco más compleja.
Un ejemplo de Anti-DDOS
Supongamos que la empresa DYN, objetivo de este ataque concreto, quiere detener este DDOS. Para ello, debe tener un red de protección previa a que el tráfico llegue a sus servidores. Si no fuera así, todo el tráfico del ataque DDOS llegaría hasta su red y, aunque lo detectase y lo descartara con un"drop", las peticiones de servicio no podrían ser procesadas porque el tráfico de llegar hasta el router ya está colapsado. Es decir, el paquete no-malicioso sería como un comprador habitual de un establecimiento que no puede llegar a la puerta del establecimiento porque es día de rebajas y está colapsada la puerta por las personas que vienen a por las ofertas.
Para ello, la empresa debe tener una red previa, proporcionada por el operador que le proporciona las conexiones a Internet, que fuera eliminando - antes de que lleguen a su router - las peticiones. Es decir, supongamos que el supermercado que tiene la puerta colapsada en día de rebajas decide poner en las 4 esquinas de las calles desde las que les llegan los compradores de rebajas cuatro puntos de control. Así, el tráfico masivo de nuevos compradores se dividiría por 4, quedando solo el 25% en cada punto de control. El comprador habitual pasaría uno de esos puntos de control con solo el 25% del tráfico del ataque para que luego, en la puerta de entrada del supermercado solo se encuentre y comparta entrada con otros compradores habituales.
Figura 3: El ataque DDOS a SpamHaus alcanzó 65 GPS
Si el tiempo de cruzar uno de esos cuatro puntos de control fuera aún muy lento, lo que debería considerar el supermercado es en contratar más personas para procesar en menos tiempo el 25% del tráfico que pasa por cada uno de esos puntos de control o crear nuevos puntos de control en una capa más alejada, para conseguir un mayor desglose del tráfico.
Así es como funcionan los sistemas escudo que dan los ISPs desde la red, utilizando tecnologías comoARBOR para crear lo que se denominan escudos AntiDDOS proporcionados desde la red, que es lo queparece que podría haber hecho DYN para conseguir proteger sus servicios DNS, es decir, llamar a su proveedor de conexiones de red y solicitar la contratación de estos escudos Anti-DDOS desde la red.
¿Cómo se puede conseguir tanta potencia
para hacer un ataque DDOS tan fuerte?
Los ataques DDOS a los servidores DNS pueden ser hechos de mucha forma.
Ya vimos en el pasado - hace ya unos añitos - como se habían conseguido hacer ataques de gran potencia de tráfico mediante vulnerabilidades de DNS Amplification, como sucedió cuando se produjo el ataque a los servidores de SpamHaus.
En ese caso, un spammer enfadado con las listas RBL fue capaz de tumbar los servidores con peticiones DNS por UDP spoofeadas en las que usaba como dirección de origen la de su objetivo para que los propios servidores DNS tumbaran a SpamHaus.
Pero si nos vamos a momentos más recientes, controlando routers, impresoras y equipos Windows, mediante bugs conocidos, exploits públicos, contraseñas por defecto o simple malware desplegado conkits de explotación, hemos visto como un grupo como Lizard Squad era capaz de tumbar en el pasado los servidores Play Station Network y de XBOS y hacer que el propio Kim Dot Com pagara con bonos de Mega para que pudiera seguir jugando a sus juegos.
Y sin irnos tan lejos, AKAMAI dejó sin protección la web de Brian Krebs debido a la virulencia del ataque producido por una botnet de este tipo.
¿Quién ha podido estar detrás?
Las especulaciones son como siempre de todo tipo.
¿Podría ser Korea del Norte atacando a EEUUpara devolver una respuesta proporcionada al ataque de DDOS que sufrió como "castigo" por el ataque a SONY?
¿Podría ser un ataque para meter el miedo contra el voto electrónico?
¿Podría tener algo que ver con las elecciones en EEUU para que se beneficie el mensaje de uno u otro candidato?
¿Podría no ser nada más que una nueva versión de Lizard Squad enfadados por el bloqueo de alguna cuenta enTwitter?
¿Podría ser un ataque de ISIS por esos mismos bloqueos en Twitter?
Ahora es tiempo para especulaciones, por supuesto, y para la conspiranoia. Pero si un estado tuviera esta botnet lista - que no dudo que algunos países tengan estas posibilidades - habría que ver si una operación así pone de manifiesto sus cartas.
Lo que hemos visto en el pasado es que los ataques entre naciones han sido siempre sibilinos, utilizando 0days que no fueran detectados para evitar que dejaran de ser útiles, porque en el momento que se lanzan, los investigadores pueden descubrir cómo se ha hecho, qué han utilizando y dónde estaba el fallo aprovechado.
Figura 4: El ataque a Brian Krebs superó los 400 GPS con NTP Amplification
Hasta que no tengamos los detalles podría ser cualquiera cosa, pero viendo cómo fue el ataque a Brian Krebs, mi opinión iría más hacia esa dirección.
Es decir, hacia alguien que ya tiene esa botnet creada con dispositivos IoT, routers y switches - como hacía la NSA - y que ahora está disfrutando con el uso de la misma en estos ataques DDOS.
a que en breve veremos más de estos y puede que,
sean parte de este ataque.
Saludos Malignos!
Que Internet se ha metido en nuestras vidas de lleno desde hace unos años está claro tiempo atrás. Familiares y amigos se comunican por los servicios de las redes sociales diariamente, mucho más incluso que en el mundo físico sin necesidad de smartphones y conexiones de datos.
Y ayer, muchos de ellos, fueron conscientes de cuánto lo necesitan.
Se dieron cuenta que no funcionaba el Twitter, y por tanto los haters no podía desahogarse. Se dieron cuenta de que no funcionaba WhatsApp, y por tanto no podían pasarse memes, pero tampoco funcionaba NetFlix y no podían poner a las niñas a Masha y el Oso para que estuvieran calmados o escuchar música en Spotify mientras hacía running.
 |
| Figura 1: "Winter is Comming" Algunas reflexiones sobre el DDOS que tumbó Twitter y Whats y alertó al mundo |
La lista de servicios - de los masivos - que se vieron afectados fue larga. XBOX, Twilio, Paypal, Play Station Network o CNN también estaban entre los afectados.
Y entonces sí, entonces el mundo más allá de los que saben qué es una dirección IPv4 o una dirección IPv6 se empezó a preguntar... ¿Qué está pasando aquí? ¿Qué ha sucedido que sí que está afectando a mi vida?
La respuesta era tan sencilla, como tan difícil de hacer entender a la gente. Fue un ataque DDOSmasivo contra los servidores DNS de una de las empresas que dan soporte a muchos de estos servidores y a muchos de los usuarios.
Un ataque contra la petición de resolución de nombres que corta el contacto entre los clientes y los proveedores de servicios. Ya está, no funcionan los DNS y la infraestructura de Internet comienza a fallar
Los DNS en Internet
Que los DNS son una pieza clave en la infraestructura de Internet es algo que lo sabemos desde hace mucho tiempo.
Si estos están atacados por un DDOS y no pueden resolver los nombres de dominio se acabó la conectividad, pero ya en el pasado hemos visto otros fallos, como el de Dan Kaminsky, que podrían haber tumbado todos esos servicios de igual forma modificando los valores de las respuestas a las direcciones IP.
Internet no nació pensando en todos estos ataques, y muchos servicios han ido evolucionando su funcionamiento añadiendo capas de seguridad sobre los estándares originales, como es el caso del DNS, pero que aún no se ha añadido globalmente en todos los servidores, donde muy pocos utilizan a día de hoy, por poner un ejemplo, DNSEC para firmar las resoluciones de los valores dados.
Contra el caso de un ataque DDOS el problema no recae en el servicio DNS, sino en la red en sí.
 |
| Figura 2: Verificación de Web Browser en CloudFlare |
Supongamos el caso de un ataque de denegación de servicio contra la página web de una empresa.
Si un adversario quiere hacer un DDOS, a nivel de HTTP se puede poner una Cloud por delante que filtre los bots atacantes de los usuarios legítimos, como hace por ejemplo CloudFlare,
pero si se hace a los servicios DNS deben ser los routers que procesan las peticiones TCP o UDP sobre las que lleguen las peticiones DNS de resolución las que discriminen si esa petición llega desde una máquina legítima o no.
Tarea un poco más compleja.
Un ejemplo de Anti-DDOS
Supongamos que la empresa DYN, objetivo de este ataque concreto, quiere detener este DDOS. Para ello, debe tener un red de protección previa a que el tráfico llegue a sus servidores. Si no fuera así, todo el tráfico del ataque DDOS llegaría hasta su red y, aunque lo detectase y lo descartara con un"drop", las peticiones de servicio no podrían ser procesadas porque el tráfico de llegar hasta el router ya está colapsado. Es decir, el paquete no-malicioso sería como un comprador habitual de un establecimiento que no puede llegar a la puerta del establecimiento porque es día de rebajas y está colapsada la puerta por las personas que vienen a por las ofertas.
Para ello, la empresa debe tener una red previa, proporcionada por el operador que le proporciona las conexiones a Internet, que fuera eliminando - antes de que lleguen a su router - las peticiones. Es decir, supongamos que el supermercado que tiene la puerta colapsada en día de rebajas decide poner en las 4 esquinas de las calles desde las que les llegan los compradores de rebajas cuatro puntos de control. Así, el tráfico masivo de nuevos compradores se dividiría por 4, quedando solo el 25% en cada punto de control. El comprador habitual pasaría uno de esos puntos de control con solo el 25% del tráfico del ataque para que luego, en la puerta de entrada del supermercado solo se encuentre y comparta entrada con otros compradores habituales.
 |
| Figura 3: El ataque DDOS a SpamHaus alcanzó 65 GPS |
Si el tiempo de cruzar uno de esos cuatro puntos de control fuera aún muy lento, lo que debería considerar el supermercado es en contratar más personas para procesar en menos tiempo el 25% del tráfico que pasa por cada uno de esos puntos de control o crear nuevos puntos de control en una capa más alejada, para conseguir un mayor desglose del tráfico.
Así es como funcionan los sistemas escudo que dan los ISPs desde la red, utilizando tecnologías comoARBOR para crear lo que se denominan escudos AntiDDOS proporcionados desde la red, que es lo queparece que podría haber hecho DYN para conseguir proteger sus servicios DNS, es decir, llamar a su proveedor de conexiones de red y solicitar la contratación de estos escudos Anti-DDOS desde la red.
¿Cómo se puede conseguir tanta potencia
para hacer un ataque DDOS tan fuerte?
Los ataques DDOS a los servidores DNS pueden ser hechos de mucha forma.
Ya vimos en el pasado - hace ya unos añitos - como se habían conseguido hacer ataques de gran potencia de tráfico mediante vulnerabilidades de DNS Amplification, como sucedió cuando se produjo el ataque a los servidores de SpamHaus.
En ese caso, un spammer enfadado con las listas RBL fue capaz de tumbar los servidores con peticiones DNS por UDP spoofeadas en las que usaba como dirección de origen la de su objetivo para que los propios servidores DNS tumbaran a SpamHaus.
Pero si nos vamos a momentos más recientes, controlando routers, impresoras y equipos Windows, mediante bugs conocidos, exploits públicos, contraseñas por defecto o simple malware desplegado conkits de explotación, hemos visto como un grupo como Lizard Squad era capaz de tumbar en el pasado los servidores Play Station Network y de XBOS y hacer que el propio Kim Dot Com pagara con bonos de Mega para que pudiera seguir jugando a sus juegos.
Y sin irnos tan lejos, AKAMAI dejó sin protección la web de Brian Krebs debido a la virulencia del ataque producido por una botnet de este tipo.
¿Quién ha podido estar detrás?
Las especulaciones son como siempre de todo tipo.
¿Podría ser Korea del Norte atacando a EEUUpara devolver una respuesta proporcionada al ataque de DDOS que sufrió como "castigo" por el ataque a SONY?
¿Podría ser un ataque para meter el miedo contra el voto electrónico?
¿Podría tener algo que ver con las elecciones en EEUU para que se beneficie el mensaje de uno u otro candidato?
¿Podría no ser nada más que una nueva versión de Lizard Squad enfadados por el bloqueo de alguna cuenta enTwitter?
¿Podría ser un ataque de ISIS por esos mismos bloqueos en Twitter?
Ahora es tiempo para especulaciones, por supuesto, y para la conspiranoia. Pero si un estado tuviera esta botnet lista - que no dudo que algunos países tengan estas posibilidades - habría que ver si una operación así pone de manifiesto sus cartas.
Lo que hemos visto en el pasado es que los ataques entre naciones han sido siempre sibilinos, utilizando 0days que no fueran detectados para evitar que dejaran de ser útiles, porque en el momento que se lanzan, los investigadores pueden descubrir cómo se ha hecho, qué han utilizando y dónde estaba el fallo aprovechado.
 |
| Figura 4: El ataque a Brian Krebs superó los 400 GPS con NTP Amplification |
Hasta que no tengamos los detalles podría ser cualquiera cosa, pero viendo cómo fue el ataque a Brian Krebs, mi opinión iría más hacia esa dirección.
Es decir, hacia alguien que ya tiene esa botnet creada con dispositivos IoT, routers y switches - como hacía la NSA - y que ahora está disfrutando con el uso de la misma en estos ataques DDOS.
a que en breve veremos más de estos y puede que,
sean parte de este ataque.
Saludos Malignos!
Publicado 21 octubre 2016
Ciberataque tumba Spotify, Twitter y Soundcloud en EE.UU.
Internet, bajo un masivo ciberataque: Registran interrupciones en Twitter, PayPal, Netflix y Amazon
Publicado: 21 oct 2016
Dyn, una empresa de gestión de Internet, advierte actualmente a los usuarios sobre una tercera interrupción del servicio debido a un ataque cibernético.
Un gran corte de Internet ha afectado este viernes a algunas de las empresas 'online' más grandes del mundo. Usuarios de Twitter, Amazon, CNN, Reddit, Nytimes,PayPal, Spotify, SoundCloud, AirBnB, HBO, Netflix, Etsy, Github y Vox, entre otros, en EE.UU. se han quedado sin acceso a esas páginas por varios períodos de tiempo durante el día de hoy.
La empresa de gestión de Internet Dyn ha advertido a los usuarios sobre una tercera interrupción del servicio debido a un ciberataque, informa 'The World News'.
"Hemos comenzado la investigación del ataque DDoS contra nuestra infraestructura. Nuestros ingenieros continúan trabajando para mitigar este problema", reza un comunicado en el portal de Dyn, una de las varias compañías responsables de acoger el crucial directorio web conocido como Sistema de Nombres de Dominio (DNS).
Según explica 'The Independent', dichos cortes de Internet a gran escala fueron el resultado de un ataque coordinado contra los servidores de Dyn, que alojan los dominios de las plataformas web en la Red.
Denominado usualmente "ataque de denegación de servicio distribuido" (DDoS, por sus siglas en inglés), este tipo de ofensiva provoca la falta de acceso a sitios web.
"Un acto criminal"
Según informa Reuters en su cuenta de Twitter, el Gobierno de EE.UU. investiga si el ciberataque es un "acto criminal". Por su parte, el portavoz de la Casa Blanca, Josh Earnest, confirmó que el Departamento de Seguridad Nacional está "monitoreando la situación" e investigará en profundidad estos ataques.
Cabe mencionar, que dicho departamento, como informa Reuters, emitió la semana pasada una advertencia acerca de un nuevo foco de ataques DDos y señaló que estaba preocupado por la posibilidad de nuevos ataques después de que el llamado 'malware', un código maligno que tiene como objetivo infiltrarse en una sistema de información y dañarla, fuera publicado en Internet.
Por el momento nadie se ha atribuido la responsabilidad.
El grupo de piratas internacional Anonymous publicó en su cuenta de Twitter, que la CNN ha insinuado que esa agrupación está detrás de los ataques DDoS.
No hay comentarios:
Publicar un comentario