«Si hemos notado la red global de internet un poco «lenta» o «perezosa» estos días atrás este podría ser parte del motivo». Bien, algo «lenta» para algunas partes de infraestructuras de comunicación en Europa durante unos días no es igual a un internet «roto», ni tampoco está cerca de un desastre crítico en la red global.
Explicación del ataque DDoS de Spamhaus
«Distributed Denial of Service» o «Denegación de servicio distribuída» es el tipo de ataque del que hoy hablamos. Recientemente se ha producido un ataque masivo de esta clase proveniente del servicio de hosting web danés » CyberBunker » dirigido contra la agencia de bloqueo de spam » Spamhaus «. Pero ¿que ha supuesto esta situación de forma colateral para el resto de internet? CloudFlare , una empresa de seguridad directamente responsable de la defensa de estos ataques hacia Spamhaus, lo ha asemejado a una bomba nuclear, sin embargo Keynote Systems -una compañía que comprueba la disponibilidad de la red y los tiempos de respuesta de webs, afirma que no fué más que un «petardo».
Sea cual sea el efecto global en internet, nadie puede negar que este ataque, con picos de 300 Gbps de datos enviados, representa el ataque DDoS más grande jamás creado. Pero habrá quien se pregunte en que consiste un ataque de estas características y que defensas podemos interponer.
Mecanismo del ataque
Un ataque de «denegación de servicio» simplemente sobrecarga los servidores escogidos llenándolos con datos, más datos de los que un servidor es capaz de manejar al mismo tiempo. Esto puede provocar una interrupción en los negocios de la víctima escogida, o dejar su página web fuera de combate durante un tiempo. A veces, como en este caso, los atacantes son capaces de lanzar un ataque mayor, el denominado «denegación de servicio distribuído», que será capaz de emplear cientos o quizá miles de ordenadores al mismo tiempo -controlados por una Botnet- para colapsar más servicios web.
David Gibson , de la compañía de servicios de seguridad Varonis , lo explica con un símil telefónico: «imaginemos que un atacante puede adueñarse de nuestro número para que este aparezca en las pantallas de otras víctimas cuando el atacante llama», dice. «Ahora, imaginemos que el atacante llama a un buen puñado de personas y cuelga antes de que ellos respondan. Probablemente esa persona recibirá un montón de llamadas devueltas de esos contactos…ahora imaginemos a cientos de atacantes haciéndolo a la vez -realmente estaremos obligados a cambiar de número- ya que con las suficientes llamadas el servicio telefónico se verá desbordado.
Lleva algún tiempo y esfuerzo desplegar una botnet, o dinero si alquilamos una. Pero antes de pasar por ese problema, CyberBunker tomó ventaja de los sistemas DNS, un componente esencial a día de hoy en la red de internet.
CyberBunker encontró decenas de miles de servidores DNS (de resolución de nombres en internet) que eran vulnerables a ataques » spoofing » sobre sus direcciones IP. El adress spoofing consiste en generar una solicitud al servidor y «mentirle» sobre la dirección que le está respondiendo. Una pequeña cola de acciones de este tipo por parte del atacante, resultó en una respuesta cientos de veces más larga, yendo ésta a parar a los servidores «victimas» del ataque.
¿Qué medidas tomar?
Seria bueno que alguien inventara una tecnología para frustrar estos ataques ¿verdad? En realidad, ya se han inventado -de hecho hace terece años-. En Mayo de 2000, la «Internet Engineering Task Force» desarrolló el protocolo «Best Current Practices» conocido como BCP38 . Este método define el problema y la solución como algo «simple, efectivo y fácil de implementar» para prohibir ataques DDoS que usan direcciones IP simuladas.
«El 80% de proveedores de internet ya han implementado las recomendaciones de BCP38» explica D. Gibson. «El restante 20% es el responsable de que aún hoy tengamos que soportar este tipo de tráfico en la red. Asociándolo a terminos más comprensibles -según Gibson- «es como si el 20 por ciento de los conductores en la carretera no obedecieran las señales de circulación -no sería seguro conducir».
Cerrando puertas
Los problemas de seguridad que nos ocupan, ocurren a un nivel muy, muy superior al de nuestro PC de escritorio o del trabajo. Es un trabajo que los ingenieros de IT deben asumir. Básicamente, se trata de que los «chicos de IT» sepan distinguir entre dos tipos de servidores DNS.
– Servidor DNS «Autorizado»: este tipo de servidor es el cual informa al resto del mundo sobre el dominio de nuestra compañía u organización. Debe estar disponible para cualquier usuario de internet. Sin embargo, solo debe responder a peticiones sobre el dominio de nuestra compañía. Es » outward-facing » (orientado al exterior)
– Servidor DNS «Repetitivo»: además de los autorizados, son necesarios los servidores recursivos o repetitivos, que son inward-facing (orientados al interior) Este tipo de servidores DNS serán los encargados de responder las peticiones al dominio de la empresa por parte de los empleados.
El servidor repetitivo debe ser capaz de responder sobre cualquier sitio de internet, pero SÓLO a gente de nuestra organización. El problema es que este tipo de servidores, en muchos casos, responden indistíntamente a gente interna / externa. Por tanto, los atacantes sólo necesitan encontrar unos cuantos de estos servidores mal configurados para empezar sus ataques DDoS.
Es recomendable que las empresas revisen sus estructuras DNS internas y externas, apliquen los parches necesarios en los recursos críticos e incluso se ayuden del «hacking ético» para identificar posibles brechas de seguridad..