Que DDoS nos coja confesados.

Tumbar Internet: Lo que hace poco parecía un guión digno de una película de “serie B” empieza a verse como una posibilidad real. Puede llegar a suceder y no hace falta utilizar tecnologías increíblemente complejas, sino tan solo un poco de inventiva, software simple y el ataque mas antiguo y viejuno: el DDoS.

Cuatro conceptos que nos tienen que sonar:

-DDoS: Ataque de denegación de Servicio. (Distributed Denial of Service). Tan simple como colapsar una maquina con millones de peticiones. En el mundo real es como si en tu pequeña frutería entran de golpe tres autocares de japoneses que solo quieren preguntar precios y hacer fotos, pero no comprar. Seguramente no venderás nada hasta que no consigas echarlos. Lo complicado es conseguir lanzar tantas consultas al servidor como para bloquearlo. Esta claro que si lo hacemos desde nuestro navegador dandole repetitivamente al F5 para refrescar la pagina que queremos atacar no vamos a conseguir nada. Para conseguir ataques masivos es imprescindible contar con una BotNet.

-Botnet: Red de ordenadores infectados con un Malware que espera una orden para empezar a atacar el servidor Objetivo. Los ordenadores infectados, y sus dueños, no tienen ni idea de la infección. No saben ni como la han pillado, ni para que sirve, ni cuando se ejecuta y posiblemente no lo sepan nunca. La infección de ordenadores para conseguir Botnet poderosas, es decir muchos ordenadores infectados con el mismo Malware, es un negocio muy lucrativo. Los “propietarios” de las Botnets pueden alquilarlas o venderlas, o en algunos casos las construyen a medida. ¿Que como se construye una Botnet? Hay muchas formas, la mas simple es infectar un servidor de por ejemplo una web de cursos de Golf, y todos los que vayan a consultar la web infectada recibirán el Malware. No le deis la culpa al pobre dueño de la tienda de Golf, el tampoco tiene ni idea, es simplemente otra víctima.

-ZeroDay: Lo que todo hacker desea conocer. Una vulnerabilidad, ya sea en un Sistema Operativo, en un software de servidor o en un pluguin de WordPress, que no conoce nadie mas, que es desconocida al autor del software. Por eso se llama ZeroDay, por que el que tendría que solucionarlo todavía no sabe nada. A partir de que esta vulnerabilidad sea conocida los fabricantes empezaran a trabajar en ella, pero mientras sea desconocida es explotable.

-OpenSource: Código fuente que los programadores ofrecen a la comunidad para que este pueda recibir contribuciones de mas programadores.

¿Por que ha triunfado el ataque DDoS que ha tumbado una parte importante de Internet?

Solo se necesitan dos cosas:

-Muchos atacantes!

-Un buen objetivo.

Si los atacantes la tienen más grande que el objetivo (el ancho de banda), van a conseguir tumbarlo. Así de simple.

Los atacantes se pueden obtener de las maquinas conectadas a Internet. Lo más normal es utilizar ordenadores. Muchos de ellos no se actualizan, los usuarios navegan por todo tipos de WEB donde pueden infectarse de Malware y se pasan gran parte del tiempo conectados. Una conexión que casi nadie controla, nadie tiene ni idea de lo que consume su ordenador en datos, o lo que envía, la mayoría tenemos tarifa plana. Pero en este caso, en el caso del 21 de Octubre del 2016, los atacantes no eran PC’s, era cualquier cacharrito conectado a Internet, cualquier cosa que tuviera una IP y un mínimo de Inteligencia. Estos dispositivos conocidos como IoT, que van desde camaras IP a termostatos, pasando por smarttv’s, fueron los responsables de lanzar millones de peticiones. Así que ya tenemos uno de los elementos, los atacantes, es decir la Botnet.

Pero, ¿como infectaron estos cacharrillos? Utilizando un Malware, bastante conocido llamado Mirai, cuyo código fuente, casualmente, se liberó como Open Source unos días antes. Cuando un código pasa a ser Open Source significa que cualquiera puede verlo, modificarlo, mejorarlo y como no usarlo, bajo su responsabilidad.

Ya tenemos una Botnet, creada posiblemente gracias a un software en Open Source, ahora falta un objetivo al que lanzarle el ataque DDoS. En este caso se escogió a una empresa encargada de decidir por donde van los paquetes de Internet, es decir un DNS, la que decide a que servidor le llegara la petición que tu le haces a Netflix, o a Spotify, o a cualquiera. Hundieron o, como mínimo, dificultaron mucho la vída a DYN, uno de los principales DNS de Estados Unidos. Con clientes como Twitter, Netflix, LinkedIn y TripAdvisor.

Ya os podéis imaginar el pánico: Netflix no funciona y no lo puedes contar en Twitter!!!! Tampoco sabes donde ir a cenar por que TripAdvisor no te da recomendaciones, oooohhhh my Goood! 🙂

Actualización 07/11/2016: 

Ya son dos los ataques perpetrados con la red de cacharritos recolectados con Mirai. En esta ocasión el atacado ha sido Liberia. Pequeño país casi sin infraestructura, que ha visto como casi todos sus usuarios de Internet han tenido problemas de lentitud o de acceso. En este caso el objetivo han sido las compañías telefónicas, responsables de dar acceso a sus clientes a Internet.

Liberia parece más una prueba que un objetivo final. No se sabe si están probando las posibilidades de la botnet antes de atacar a un objetivo más goloso, como un mercado financiero, algún banco. o una ciudad más conocida, quien sabe. Toca esperar.

¿y ahora que?

Pues poca cosa, estos cacharritos no suelen recibir upgrades, posiblemente se queden como zombies del Botnet hasta que los desactiven o pierdan su conexión a Internet. Pero seguro, que ya deben de circular diferentes versiones de Mirai, algunas de ellas buscando dispositivos infectados para vacunarlos.

Si se dan algunos casos mas de ataques de esta indole posiblemente en algún momento alguien se preocupara de regular cualquier aparato que pueda conectarse a Internet, y esto no va a gustar a muchos, entre los que me incluyo.

Por cierto, el Open Source no es culpable, ni mucho menos, es un de los grandes inventos del desarrollo y fuente de grandes evoluciones, en este caso ha sido, sin que sea seguro, un canal por el que alguien ha obtenido un código del que se ha aprovechado.

La conclusión SuperFreak

Como podemos ver el Comandante Adama tenia razón, la única forma de mantener la Battlestart Galactica segura era mantener todos sus sistemas desconectados. Nada de Internet, nada de redes! Esa era la única forma de mantener la nave a salvo del Malware creado por los Cylons.

Mas información y fuentes consultadas en:

http://www.grtcorp.com/content/iot-new-backdoor-ddos-attacks

Source Code for IoT Botnet ‘Mirai’ Released

DDoS update: It was the IoT, screwing Dyn, with the faulty traffic cam

Comentarios.