No se han encontrado widgets en la barra lateral
Bonita imagen representando un DDoS

Tumbar Internet: Lo que hace poco parecía un guión digno de una película de «serie B» empieza a verse como una posibilidad real. Puede llegar a suceder y no hace falta utilizar tecnologías increíblemente complejas, sino tan solo un poco de inventiva, software simple y el ataque mas antiguo y viejuno: el DDoS.

Cuatro conceptos que nos tienen que sonar:

-DDoS: Ataque de denegación de Servicio. (Distributed Denial of Service). Tan simple como colapsar una maquina con millones de peticiones. En el mundo real es como si en tu pequeña frutería entran de golpe tres autocares de japoneses que solo quieren preguntar precios y hacer fotos, pero no comprar. Seguramente no venderás nada hasta que no consigas echarlos. Lo complicado es conseguir lanzar tantas consultas al servidor como para bloquearlo. Esta claro que si lo hacemos desde nuestro navegador dandole repetitivamente al F5 para refrescar la pagina que queremos atacar no vamos a conseguir nada. Para conseguir ataques masivos es imprescindible contar con una BotNet.

-Botnet: Red de ordenadores infectados con un Malware que espera una orden para empezar a atacar el servidor Objetivo. Los ordenadores infectados, y sus dueños, no tienen ni idea de la infección. No saben ni como la han pillado, ni para que sirve, ni cuando se ejecuta y posiblemente no lo sepan nunca. La infección de ordenadores para conseguir Botnet poderosas, es decir muchos ordenadores infectados con el mismo Malware, es un negocio muy lucrativo. Los «propietarios» de las Botnets pueden alquilarlas o venderlas, o en algunos casos las construyen a medida. ¿Que como se construye una Botnet? Hay muchas formas, la mas simple es infectar un servidor de por ejemplo una web de cursos de Golf, y todos los que vayan a consultar la web infectada recibirán el Malware. No le deis la culpa al pobre dueño de la tienda de Golf, el tampoco tiene ni idea, es simplemente otra víctima.

-ZeroDay: Lo que todo hacker desea conocer. Una vulnerabilidad, ya sea en un Sistema Operativo, en un software de servidor o en un pluguin de WordPress, que no conoce nadie mas, que es desconocida al autor del software. Por eso se llama ZeroDay, por que el que tendría que solucionarlo todavía no sabe nada. A partir de que esta vulnerabilidad sea conocida los fabricantes empezaran a trabajar en ella, pero mientras sea desconocida es explotable.

-OpenSource: Código fuente que los programadores ofrecen a la comunidad para que este pueda recibir contribuciones de mas programadores.

¿Por que ha triunfado el ataque DDoS que ha tumbado una parte importante de Internet?

Solo se necesitan dos cosas:

-Muchos atacantes!

-Un buen objetivo.

Si los atacantes la tienen más grande que el objetivo (el ancho de banda), van a conseguir tumbarlo. Así de simple.

Los atacantes se pueden obtener de las maquinas conectadas a Internet. Lo más normal es utilizar ordenadores. Muchos de ellos no se actualizan, los usuarios navegan por todo tipos de WEB donde pueden infectarse de Malware y se pasan gran parte del tiempo conectados. Una conexión que casi nadie controla, nadie tiene ni idea de lo que consume su ordenador en datos, o lo que envía, la mayoría tenemos tarifa plana. Pero en este caso, en el caso del 21 de Octubre del 2016, los atacantes no eran PC’s, era cualquier cacharrito conectado a Internet, cualquier cosa que tuviera una IP y un mínimo de Inteligencia. Estos dispositivos conocidos como IoT, que van desde camaras IP a termostatos, pasando por smarttv’s, fueron los responsables de lanzar millones de peticiones. Así que ya tenemos uno de los elementos, los atacantes, es decir la Botnet.

Pero, ¿como infectaron estos cacharrillos? Utilizando un Malware, bastante conocido llamado Mirai, cuyo código fuente, casualmente, se liberó como Open Source unos días antes. Cuando un código pasa a ser Open Source significa que cualquiera puede verlo, modificarlo, mejorarlo y como no usarlo, bajo su responsabilidad.

Ya tenemos una Botnet, creada posiblemente gracias a un software en Open Source, ahora falta un objetivo al que lanzarle el ataque DDoS. En este caso se escogió a una empresa encargada de decidir por donde van los paquetes de Internet, es decir un DNS, la que decide a que servidor le llegara la petición que tu le haces a Netflix, o a Spotify, o a cualquiera. Hundieron o, como mínimo, dificultaron mucho la vída a DYN, uno de los principales DNS de Estados Unidos. Con clientes como Twitter, Netflix, LinkedIn y TripAdvisor.

Ya os podéis imaginar el pánico: Netflix no funciona y no lo puedes contar en Twitter!!!! Tampoco sabes donde ir a cenar por que TripAdvisor no te da recomendaciones, oooohhhh my Goood! 🙂

Actualización 07/11/2016: 

Ya son dos los ataques perpetrados con la red de cacharritos recolectados con Mirai. En esta ocasión el atacado ha sido Liberia. Pequeño país casi sin infraestructura, que ha visto como casi todos sus usuarios de Internet han tenido problemas de lentitud o de acceso. En este caso el objetivo han sido las compañías telefónicas, responsables de dar acceso a sus clientes a Internet.

Liberia parece más una prueba que un objetivo final. No se sabe si están probando las posibilidades de la botnet antes de atacar a un objetivo más goloso, como un mercado financiero, algún banco. o una ciudad más conocida, quien sabe. Toca esperar.

¿y ahora que?

Pues poca cosa, estos cacharritos no suelen recibir upgrades, posiblemente se queden como zombies del Botnet hasta que los desactiven o pierdan su conexión a Internet. Pero seguro, que ya deben de circular diferentes versiones de Mirai, algunas de ellas buscando dispositivos infectados para vacunarlos.

Si se dan algunos casos mas de ataques de esta indole posiblemente en algún momento alguien se preocupara de regular cualquier aparato que pueda conectarse a Internet, y esto no va a gustar a muchos, entre los que me incluyo.

Por cierto, el Open Source no es culpable, ni mucho menos, es un de los grandes inventos del desarrollo y fuente de grandes evoluciones, en este caso ha sido, sin que sea seguro, un canal por el que alguien ha obtenido un código del que se ha aprovechado.

La conclusión SuperFreak

Como podemos ver el Comandante Adama tenia razón, la única forma de mantener la Battlestart Galactica segura era mantener todos sus sistemas desconectados. Nada de Internet, nada de redes! Esa era la única forma de mantener la nave a salvo del Malware creado por los Cylons.

Mas información y fuentes consultadas en:

http://www.grtcorp.com/content/iot-new-backdoor-ddos-attacks

https://krebsonsecurity.com/2016/10/source-code-for-iot-botnet-mirai-released/

http://readwrite.com/2016/10/22/the-internet-of-things-was-used-in-fridays-ddos-attack-pl4/

¿Y si entramos en la Deep Web? (Pero solo la puntita)
meme de abuela confudida por los onion de la deep web

Bueno, ahora ya hace unos días que tenemos montado nuestro flamante y reluciente Laboratorio de Ciberseguridad. Tendremos que aprovecharlo de Read more

Atacando por Fuerza Bruta una pobre Wi-Fi y generando ficheros de passwords INMENSOS.

En esta cuarta entrada del tutorial de Hacking Básico vamos a ver cómo funcionan las herramientas de creación de listas Read more

Así toman el control de nuestros servidores.
Un Reverse Shell Web pudo ser la causa de los "Papeles de Panamá"

¿Recordáis unos abogados de Panamá que perdieron unos papeles? ¿Recordáis que tenían wordpress? ¿Recordáis que no tenían wordpress actualizado? Supongo Read more

CEH 02 segundo test para el Certified Ethical Hacker

Segundo test conteniendo 10 preguntas para preparar la certificación oficial de Certified Ethical Hacker. El objetivo de este examen es ayudar ver si estas preparado a presentarte al CEH, pero sobretodo servir también como guia de estudio. Si no aciertas una pregunta busca el por que y entiendelo, no lo repitas, solo para saber cual es la respuesta correcta.

1. An Intrusion Detection System(IDS) has alerted the network administrator to a possibly malicious sequence of packets went to a Web server in the networks external DMZ. The packet traffic was captured by the IDS and saved to a PCAP file. What type of network tool can be used to determine if these packets are genuinely malicious or simply a false positive?

 
 
 
 

2. You are performing a penetration test. You achieved access via a buffer overflow exploit and you proceed to find interesting data, such as files with usernames and passwords. You find a hidden folder that has the administrators bank account password and login information for the administrators bitcoin account. What should you do?

 
 
 
 

3. You’ve just been hired to perform a pentest on an organization that has been subjected to a large-scale attack. The CIO is concerned with mitigating threats and vulnerabilities to totally eliminate risk. What is one of the first thing you should to when the job?

 
 
 
 

4. Which of the following best describes a distributed denial-of-service attack?

 
 
 
 

5. The Open Web Application Security Project (OWASP) is the worldwide not-for-profit charitable organization focused on improving the security of software. What item is the primary concern on OWASPs Top Ten Project most Critical Web application Security Rules?

 
 
 
 

6. Which of the following tools can be used to crack SAM files in Windows?

 
 
 
 

7. This phase is the very first step in Information Gathering, and it will tell you what the landscape looks like, and also  will increase the odds of success in later phases of the penetration test.  Most experts think that  is the most important phase of ethical hacking in which you need to spend a considerable amount of time. Can you name it?

 
 
 
 

8. Which of the following is the greatest threat posed by backups?

 
 
 
 

9. During a security audit of IT processes, an IS auditor found that there was no documented security procedures. What should the IS auditor do?

 
 
 
 

10. Which of the following is true regarding WEP cracking?

 
 
 
 

Por Martra

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *