1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • Terminator 2016, la rebelion de los electrodomesticos

    From Enric Lleal Serra@2:343/107.1 to All on Tue Oct 25 07:58:23 2016
    ­Hola All!


    Arturo Quirantes[1], como casi siempre, didáctico y claro en las explicaciones de los fenómenos más controvertidos, como el de este último DDoS. Apto para quien no tenga ni idea de la tecnología implicada detrás de un D/DoS.


    *Terminator 2016, la rebelión de los electrodomésticos*
    Arturo Quirantes

    Vigila tu nuevo frigorífico conectado a Internet. Puede estar conspirando contra ti.

    Uno de los ataques informáticos más básicos se denomina Denegación de Servicio,
    o DoS (Denial of Service). Sucede cuando alguien impide el uso de algún tipo de
    servicio. El ejemplo más sencillo es el de la red telefónica. Si alguien decide
    llamarme cada minuto sólo para fastidiar, yo puedo descolgar, decirle de todo menos bonito a mi interlocutor y volver a colgar, o bien ignorar la llamada. En
    cualquier caso, mientras lo haga no podrá llamarme nadie más. El atacante me está negando el uso de mi servicio telefónico.

    Los ataques DoS no están restringidos al mundo digital. Imagínese una sucursal bancaria. El hacker podría ir al banco y ponerse en cola una y otra vez, ahora sacando dinero, ahora viendo el saldo, ahora pidiendo una retirada. El banco puede liberarse de esta moleste cliente diciéndole que use el cajero, o bien utilizando su arma más poderosa: las comisiones.

    ¿Pero y si utilizamos compinches? En el libro de Arthur Hailey Traficantes de Dinero, escrito en 1975, un banco decide retirar fondos destinados a la rehabilitación de barrios pobres, y sus habitantes contraatacan "atacando" las sucursales bancarias. Entran, abren una cuenta, piden el saldo, retiran algo de
    dinero, bien solicitan información, ingresan algunos billetes... cientos de personas durante todo el día, y luego el día siguiente, y el siguiente. Los responsables del banco asisten atónitos a un ataque masivo que ralentiza las operaciones diarias e impide a los clientes habituales utilizar los servicios de las sucursales, por no hablar de la pérdida de imagen. Al final el banco cede.

    Esto sería un ataque DoS con compinches, lo que en terminología informática se llama ataque de Denegación de Servicio Distribuido, o DDoS (Distributed Denial of Service). En este caso el volumen del ataque puede producir perjuicios de consideración al atacante. Volviendo a nuestro ejemplo, no siempre resulta fácil ejecutar un ataque telefónico DDoS con éxito. Miles de personas llamando una y otra vez al servicio de atención al cliente de un gran banco podrían causarles ciertas molestias temporales, vale, pero ¿qué hemos conseguido salvo incomodar a algunos llamantes legítimos y fastidiar a los pobres chavales que contestan al teléfono? La empresa, por su parte, tiene diversos medios para defenderse: mantener muchas líneas abiertas, poner a los insistentes telefoneadores en una lista de bloqueo, y por supuesto tomar medidas legales contra ellos gracias a que una llamada telefónica es muy sencilla de rastrear.

    Vale, pues dejemos el teléfono y vamos a ver qué podemos hacer con las conexiones en Internet. Muchas personas intentando conectarse a eBay podría lograr que su web se viniese abajo, con lo que los clientes no pueden realizar compras y la empresa perderá una pasta en ventas no realizadas. En un plano distinto, una forma de protesta consistente en tirar abajo la web del Fondo Monetario Internacional llamaría la atención sobre los peligros de la globalización y etcétera. En un caso el ataque tiene fines económicos (sea fastidiar o beneficiar a otra empresa), en otro tiene fines sociopolíticos o de
    visibilidad mediática.

    Los motivos pueden ser más insidiosos. En la película Jungla de Cristal 3, el malvado Simon escondió una gran bomba de gran potencia en un colegio de la ciudad. Mientras la policía de la ciudad desplegaba todos sus efectivos, Simon tuvo la ocurrencia de llamar a una emisora de radio y contar su plan. En el acto miles de ciudadanos deseosos de información colapsaron las líneas telefónicas de la policía, impidiendo que los agentes pudiesen coordinar sus esfuerzos; mientras tanto, el detective McClane se preguntaba por qué no podía llamar a sus compañeros para avisarles de dónde estaba la bomba.

    Por supuesto, tanto el señor eBay como mister FMI o la policía de Nueva York saben a lo que se exponen y tiene todo tipo de defensas para evitarlo: sus servidores están preparados para absorber gran número de conexiones, hay filtros que detectan y bloquean ataques DoS. Pueden detener ataques de miles y miles de personas.

    Pero si las defensas pueden alcanzar un nivel formidable, también puede hacerlo
    el ataque. Una manera de conseguir grandes cantidades de atacantes es infectando sus ordenadores con virus o troyanos para controlarlos a distancia. Puede que su propia máquina, amigo lector, esté infectada. El bicho le vino por
    adjunto a un correo electrónico, en un USB que le pasó su cuñado, en ese programa gratuito tan chulo que se descargó usted para hacer bitcoins o escuchar música, hay muchas formas. Una vez dentro el troyano no parece hacer nada, así que usted no sospecha nada; internamente su ordenador ha quedado esclavizado, y cuando reciba la orden comenzará a enviar datos al objetivo de forma coordinada con millares de otras máquinas similares.

    El uso de grandes redes de ordenadores ha calado incluso en franquicias de cine
    como Terminator. Si en la primera y segunda entregas (1984 y 1991, respectivamente) Skynet era presentado como una gran máquina que alcanza consciencia y elimina la civilización humana, en Terminator 3 (2003) el enemigo
    está mucho más distribuido:

    "Para cuando Skynet fue consciente de su capacidad, se había esparcido por >millones de servidores informáticos por todo el planeta. Ordenadores >corrientes en edificios de oficinas, en cibercafés, en todas partes. Todo
    era software y ciberespacio. No había núcleo del sistema. No se podía >desconectar."

    Los ataques DDoS se caracterizan por su duración y sobre todo, su intensidad, que podemos cuantificar como la cantidad de datos recibidas por segundo por el sistema atacado. Para que se haga una idea, su pendrive USB 2.0 puede transferir datos al ordenador a una velocidad máxima de 480 megabits por segundo (Mbps), y los nuevos USB 3.0 pueden alcanzar velocidades de transferencia de hasta 5 gigabits por segundo (1Gbps). Bien, pues en el primer trimestre de 2016 ha habido 19 ataques de 100 Gbps o más. A comienzos de año la
    BBC y la web del candidato presidencial norteamericano Donald Trump cayeron bajo un ataque combinado de 602 Gbps, algo sin precedentes hasta la fecha.

    Los ataques DDoS son muy difíciles de detener debido a las características de los atacantes. Como en las películas de zombis, no importa cuántos ordenadores infectados eliminemos, siempre quedarán algunos para volver a propagar la infección. La acción de los usuarios usando antivirus y negándose a abrir archivos sospechosos puede ayudar, por supuesto. Eso, junto con la acción de las fuerzas policiales y de las empresas especializadas, ayuda a limitar (raramente impedir por completo) este tipo de ataques.

    Pero los defensores se enfrentan ahora a una amenaza mayor: la Internet de las Cosas (IoT). Esos futuros utópicos en los que todo estará conectado a todo, que
    nos venden como algo bueno y modernuqui, tienen su cara oscura. Algunas ya las tenemos en mente, como el espionaje tipo Gran Hermano (¿sigue usted sin cubrir la cámara de su ordenador, amigo lector?) o la aparición de nuevos virus que nos roben nuestra información sensible.

    Hay una tercera posibilidad a la que apenas hemos prestado atención: ataques DDoS domésticos. Si llenamos nuestras casas con televisores, frigoríficos y mesitas de noche conectadas, ¿podría alguien usarlas para lanzar un ataque de denegación de servicio? Vale, una Thermomix o un termostato tienen mucha menos memoria y capacidad de cómputo que un ordenador, pero a cambio gozan de tres ventajas: tienen multitud de vulnerabilidades, carecen de protección de tipo antivirus... y son muchos.

    Esta "rebelión de las máquinas" puede sonar a serie de Netflix pero en realidad
    es algo que ya ha sucedido, y más de una vez. En septiembre de 2015, por ejemplo, las redes de juego de Microsoft (Xbox) y Sony (Playstation Network) fueron tumbadas por ataques DDoS lanzados desde millares de routers domésticos.
    Este junio pasado se descubrió una red similar que utilizó cámaras de circuito cerrado (CCTV) para atacar una web durante días.

    Más recientemente, entre el 19 y el 22 de septiembre de 2016, el proveedor de servicio francés OVH se tambaleó bajo una serie de ataques DDoS de ferocidad nunca vista: los picos llegaron a los 990 Gbps. Pocos días antes, y de modo similar, la web de seguridad KrebsOnSecurity recibió un ataque DDoS de más de 600 Gbps. KoS estaba protegida de este tipo de ataques por una empresa especializada llamada Akamai, pero ni siquiera ellos pudieron detener la oleada
    de datos y tuvieron que tirar la toalla. Krebs solamente volvió a operar gracias a Google, que proporciona servicios de protección DDoS a servicios de noticias gracias a su Proyecto Shield.

    Lo realmente sorprendente de esos dos últimos ataques no fue su volumen sino su
    procedencia. En lugar de ordenadores, los atacantes utilizaron otros dispositivos de menor potencia como cámaras IP, esas que usted puede ver por todas partes y que nos venden para asegurar nuestra casa o la habitación de los
    niños. Según Octave Klaba, de OHV, el ataque contra sus instalaciones fue realizado por casi 150.000 cámaras.

    No hemos carecido de preavisos, así que prepárese porque la cosa no hará sino ir a peor. Los dispositivos de la Internet de las Cosas (IoT) están diseñados pensando en la eficacia de uso, no en la seguridad. Tanto su número como su variedad siguen en aumento: televisores, frigoríficos, grabadores digitales de vídeo, cámaras de vigilancia, sistemas domóticos, bombillas LED, robots de cocina, contadores eléctricos... la lista es interminable. Los ataques DDoS futuros usarán millones, quizá decenas de millones, de dispositivos IoT vulnerables, dejando en ridículo todo lo que hemos visto hasta ahora.

    ¿No me creen? NO hay problema. Sólo tiene usted que esperar un poco y los ataques DDoS de terabits por segundo serán moneda corriente. El día que entre a
    comprar en la web de Amazon y vea que está KO, ya sabe por qué.

    APÉNDICE. Este artículo fue publicado a mediados de octubre, y estaba programado para publicarse el lunes 24. Tres días antes, el viernes 21, el proveedor de Internet norteamericano Dyn.com sufrió una serie de tres ataques DDoS. Este acto resultó particularmente devastador debido al hecho de que Dyn es un proveedor de servicios DNS (Domain Name System), que básicamente le dice a un ordenador dónde buscar una web cuando el usuario teclea una dirección www en el navegador; es decir, actúa como un gigantesco listín telefónico. Como resultado, algunas de las mayores empresas de Internet a las que Dyn presta este tipo de servicios sufrieron interrupciones, como Spotify, Netflix, Twitter... y Amazon.

    El ataque del jueves fue uno de los más intensos desarrollados hasta la fecha. Como en los casos anteriores (OHV, Krebs), el principal vector de ataque fue la
    Internet de las Cosas. Esta vez la situación ha ido a peor por varios motivos. Primero: los atacantes escogieron un servicio vital de Internet, capaz de tumbar algunas de las mayores empresas de comercio electrónico y redes sociales.

    Segundo: los tres ataques que se registraron el día 21 fueron separados y procedían de distintas redes de "bots" (programas informáticos usados para el ataque). Dyn lo describe como "un ataque sofisticado altamente distribuido con decenas de millones de direcciones IP...con múltiples vectores de ataque" El primero de ellos afectó a la Costa Este de EEUU; los otros dos se extendieron por todo el mundo, convirtiéndose en uno de los mayores ataques a la infraestructura de Internet hasta la fecha.

    Tercero: utilizaron el mismo tipo de "bots" que en los casos OHV y Krebs, lo que no es de extrañar ya que el código fuente de ese malware (conocido como Miral) es público; lo que significa que cualquiera puede montar su propia red de bots.

    Cuarto: la escala de los ataques hace pensar en algún tipo de ciberterrorismo con mayúsculas, donde puede que estén involucrados países enteros. Aún no se sabe quién lo ha hecho o con qué objeto. Aunque un grupo hacker denominado New World Hackers se ha atribuido la responsabilidad de esta acción, gobiernos como
    el ruso o el norcoreano ya han mostrado su hostilidad hacia Estados Unidos en el ciberespacio.

    La situación no está nada clara. El experto en seguridad informática Bruce Schneier se decanta hacia la posibilidad de que se trate de ataques hackers (ver aquí y aquí), pero al mismo tiempo afirma que los servicios críticos de Internet llevan dos años sufriendo ataques de sondeo, de forma similar a cuando
    EEUU enviaba aviones a la frontera rusa para sondear sus defensas durante la Guerra Fría (recomiendo su artículo Alguien está aprendiendo a tumbar Internet,
    de 13 de octubre).

    Podemos afirmar que, como dije al final del artículo, esto sólo va a ir a peor.
    A estas alturas no me atrevo a seguir haciendo predicciones. Sólo puedo hacerle
    un ruego a usted, amigo lector, que puede aliviar la intensidad de estos ataques en el futuro: si tiene un instrumento IoT en casa, por favor, por favor, CAMBIE LA CONTRASEÑA. Gracias.



    [1]http://elprofedefisica.naukas.com/2016/10/24/terminator-2016-la-rebelion-de-
    los-electrodomesticos

    -
    A reveure!!
    Enric
    __________________________________________________________________
    FidoNet: 2:343/107.1 | beholderbbs.org | fidonet.cat | .es | .ws
    InterNet: kishpa(at)kishpa(dot)com | kishpa.com | GPG#0xDCCB8CFC

    ... El ascensor hacia el éxito no está disponible. Tienes que usar las escaleras.
    --- crashmail + golded + binkd
    * Origin: Black flag & crossed bones : Eye Of The Beholder BBS! (2:343/107.1)