domingo, 30 de octubre de 2016

¿Por qué hoy te debe interesar el mundo de la ciberseguridad?

Poco antes de las cinco de la tarde, como todos los viernes tras finalizar la jornada laboral, los trabajadores subían al tren pensando que sería un viaje como otro cualquiera. Sin embargo, pronto se darían cuenta de que iba a ser uno de los más aburridos que recordaran. Twitter, Spotify y Netflix, entre otros servicios, no funcionaban y no se sabía muy bien porqué. Horas después, Dyn , una de las empresas que da soporte a muchos de estos servicios, informaba que estaba siendo objetivo de un ataque DDoS masivo a su infraestructura DNS.



¿Qué son los DNS?
El sistema de nombres de dominio (DNS, por sus siglas en inglés) e s una pieza clave de Internet ya que su función principal consiste en asignar nombres de dominio a direcciones IP , es decir, es el que nos permite acceder a un servicio sin la necesidad de recordar su dirección IP. Por ello, un ataque DDoS dirigido contra el DNS con el objetivo de saturarlo con tráfico no deseado impediría resolver los nombres de dominio y conectar a los usuarios con las plataformas deseadas. En este caso, a pesar de disponer de una infraestructura de DNS robusta y distribuida, Dyn no fue capaz de soportar el ataque procedente de cerca de 10 millones de direcciones IP.
Figura 1. Puntos de presencia (PoPS) de la red de Dyn.
Figura 1. Puntos de presencia (PoPS) de la red de Dyn.
Foto: ElevenPaths
Esto solo se entiende tras el crecimiento de dispositivos que se conectan a Internet impulsado por la aparición del Internet de las Cosas (IoT). El IBSG, Internet Bussines Solutions Group de Cisco, predice para 2020 que unos cincuenta mil millones de dispositivos se encontrarán conectados. En este sentido, la superficie de exposición aumentará exponencialmente y con ello la posibilidad de disponer de ellos con fines maliciosos a través de redes de equipos controlados remotamente para la realización de ataques DDoS. Esta es la teoría manejada por Dyn que, con la ayuda de Flashpoint y de Akamai, ha conseguido identificar dispositivos IoT infectados por la botnet Mirai cuyo código fuente ha sido liberado recientemente.
Figura 2. Captura del repositorio de Github en el que ha sido liberado el código fuente de la botnet Mirai.
Figura 2. Captura del repositorio de Github en el que ha sido liberado el código fuente de la botnet Mirai.
Foto: ElevenPaths
Por otro lado, la compañía de seguridad RSA ha tenido constancia de que a principios de octubre se había puesto a la venta una botnet con dispositivos IoT infectados en un foro de la red Tor. Su vendedor afirmaba que ésta estaba basada en la botnet Mirai y que tenía la capacidad de generar un tráfico de hasta un terabit por segundo, similar al generado para el ataque perpetrado recientemente contra la empresa francesa de hosting OVH. Su precio rondaba desde los 4 600 dólares hasta los 7 500, en función del volumen de los sistemas contratados, una cantidad no muy elevada teniendo en cuenta el impacto que ha tenido a nivel mundial.
Figura 3. Venta de la botnet en el mercado Alpha Bay ubicado en Tor con conexiones a cámaras y frigoríficos.
Figura 3. Venta de la botnet en el mercado Alpha Bay ubicado en Tor con conexiones a cámaras y frigoríficos.
Foto: ElevenPaths
Los presuntos autores

En realidad, no está clara la autoría del ataque. Por un lado, Wikileaksconfirmó que algunos de sus seguidores podrían ser los responsables en protesta a la decisión del gobierno ecuatoriano de cortar la conexión a Internet a Julian Assange, el fundador de Wikileaks, debido a la reciente publicación de las fugas de información sobre las elecciones de Estados Unidos. Por otro lado, Pierluigi Paganini , el autor de la web Security Affairs, contactó con el grupo NewWorldHackers vía Twitter en donde dicho colectivo se atribuyó la autoría del ataque a la empresa Dyn junto en colaboración con otros grupos vinculados a Anonymous.