A principios de septiembre Bruce Schneier publicaba un artículo en su página alertando de que había alguien interesado en encontrar la manera de tumbar Internet (EN).
Según sus palabras, y sin poder dar nombres, algunas de las compañías que sustentan, de una u otra manera, la Red, le habían comentado un crecimiento inusual de DDoS dirigidos no a desestabilizar el sistema por completo, sino simplemente, y por su modus operandi, a probar hasta dónde llegaban las defensas.
Es, de facto, un movimiento al que hasta ahora, a este nivel, nunca nos habíamos enfrentado. En esos ataques no parecía que hubiera intereses secundarios más que el hecho propiamente dicho de realizarlos. Ni un grupo de hacktivistas con pretensiones de atacar a un cliente específico de estas compañías, ni un gobierno interesado en bloquear o silenciar una parte de la red, ni la industria del cibercrimen haciendo de las suyas.
Ataques específicos, de poca duración, que escalan rápidamente y terminan tan pronto como el sistema da aviso de encontrarse al límite. Dirigidos hacia objetivos distintos (un proveedor de dominios, un CDN, una compañía suministradora de DNS…), con el único punto en común de representar a gran escala una parte crítica del sistema cada vez más centralizado en el que se sustenta la red de redes. Objetivos muy específicos, y que en conjunción, dibujan un escenario realmente tenebroso: el que algún agente (o grupo de agentes) estén testando la integridad de toda la red, como buscando aquellos puntos débiles que pudieran en un futuro causar un colapso catastrófico.
Compartí su artículo con los miembros de la Comunidad, y hasta mantuve alguna que otra conversación al respecto por alguno de los canales de Telegram que suelo frecuentar, habida cuenta de lo complejo que resultaba imaginar una panorámica semejante.
Y entonces…
Índice de contenido
De ataques aislados a botnets del IoT
Hace unas semanas Brian Krebs alertaba de algo más (EN).
La página de este periodista había sido bloqueada durante varias horas por un gran ataque DDoS. Hasta aquí nada del otro mundo. Casi no pasa un día sin que oigamos que X compañía ha sido atacada utilizando una denegación de servicio que la ha mantenido durante horas fuera de línea.
Akamai, que era hasta el momento quien ofrecía el servicio de distribución a la página, se vio colapsada y cerro el grifo a Krebs, que buscó fortuna en el programa anti-DDoS que tiene Google.
Casi parecía una campaña publicitaria de encubierto, pero no.
Hablé en profundidad de todo ello por estos lares, haciendo hincapié en un hecho que nuevamente sí me parecía crítico. Y es que el ataque había sido realizado mediante una botnet de miles de cámaras IP y routers; dispositivos del Internet de las Cosas que como llevamos años alertando son lanzados al mercado sin unas medidas de seguridad básicas, y que ofrecen un caldo de cultivo perfecto para el surgimiento de botnets como Mirai (EN), que ha sido utilizada en este caso y en el reciente DDoS al proveedor de hosting OVH (EN), que ostenta hasta el día de hoy el podium de los mayores ataques DDoS registrados (1Tbps).
Me pilló esos días centrado en el análisis de la campaña OpIcarus de Anonymous (por cierto, bastante más leve de lo que esperábamos…), y por tanto, no he podido seguirle más la pista, descontando los eventuales artículos que Krebs ha ido publicando en su página a posteriori, hasta este viernes, en el que una parte significativa de Internet ha sido tumbada durante horas.
Servicios como WhatsApp, Twitter, Spotify, Netflix, Airbnb, GitHub, PayPal, Reddit, SoundCloud o Etsy, y páginas de gran calado como The New York Times, The Verge, Fox Nes, WSJ o Time, amanecían en la mañana del viernes estadounidense fuera de servicio.
¿El causante? Un nuevo ataque DDoS que esta vez tenía como objetivo tumbar Dyn, una de las plataformas de DNS que permiten acceder a estas páginas.
Chema (ES) publicaba este fin de semana un artículo explicativo sobre el funcionamiento de los DDoS vía DNS, y Krebs hacía lo propio en otro haciéndose eco del análisis de Level3 (EN), pero lo que está claro es que volvemos a estar ante un ataque masivo dirigido a una de las múltiples infraestructuras críticas que sustentan la red, y llevado a cabo gracias a las vulnerabilidades de dispositivos del IoT, como afirmaba la propia Dyn horas más tarde (EN).
Los límites de una red cada vez más centralizada
He estado leyendo este fin de semana las noticias que publicaban numerosos medios al respecto, y creo que en líneas generales la perspectiva tomada es errónea.
Hay principalmente dos elementos que están permitiendo que algo así (la desestabilización de la red mundial) se pueda estar llevando a cabo, y conviene tenerlos en cuenta con el fin de buscar medidas paliativas.
1.- Un IoT menos vulnerable
El primero y más obvio es que debemos exigir de inmediato unas garantías mínimas de seguridad para toda la farándula de dispositivos conectados que están irrumpiendo en nuestra vida. No estamos hablando de un problema a futuro, sino de una realidad que en cualquier momento va a estallarnos en la cara.
Al igual que esta vez el ataque ha dejado fuera de servicio servicios que podemos considerar secundarios (en tanto en cuanto no solo nos van a afectar económicamente), mañana podrían tumbar a un proveedor que entre su cartera de clientes tuviera sistemas de infraestructuras críticas (centrales térmicas, potabilizadoras de agua, controles de tráfico…). Y de quedar bloqueadas (o peor aún, expuestas a terceros), podrían causar miles de muertes.
2.- Un sistema menos centralizado, o unas garantías mayores
El segundo punto tiene que ver con las garantías que ofrece una red cada vez más centralizada. Porque el problema de que esto esté ocurriendo, además de esa capacidad operativa que quien sea que está detrás está consiguiendo ejecutar, es que llevamos años remando hacia una red gestionada por cada vez menos agentes (estudio).
En esa paulatina maduración y distribución de los sistemas que sustentan Internet, hemos ganado en flexibilidad y estandarización, pero también estamos perdiendo la robustez ante bloqueos y la capacidad de seguir operando inclusive cuando parte del sistema ha sido tumbado. Cosa que nos ha permitido escalar un proyecto militar a lo que es hoy en día pilar básico de la economía de nuestra sociedad.
Empresas como Google, Amazon, Microsoft, Akamai, CloudFlare, Dyn…, tienen cada vez una responsabilidad mayor para con la supervivencia de la Red. Y son por ello objetivos claros de una campaña tan desproporcionadamente compleja como la que posiblemente estemos experimentando.
Internet no es una red descentralizada, es una red centralizada que depende de numerosos agentes. Bastaría con que alguien con los recursos suficientes (como parece que está ocurriendo) encuentre la secuencia e intensidad adecuada de ataques para que a efectos prácticos haya un bloqueo masivo del tercer entorno. No se trata por tanto de tumbar todos los servicios de internet. Eso sencilla y llanamente es imposible. Sino “solamente” encontrar esa serie de elementos críticos que suministran o dan acceso a la mayoría de esos servicios. Plataformas que dependen generalmente de grandes compañías, y que conforman en su suma ese supuesto Kill Switch que podría “apagar Internet” (EN).
La parte mala es que combatir un escenario semejante resulta, al menos en un espacio tiempo reducido, pura utopía. Hay demasiados intereses en que esto siga su curso (empezando porque la alternativa no parece tan escalable como quisiéramos), habida cuenta de las ventajas que tiene un sistema cada vez más centralizado.
Hay no obstante caminos paralelos que minimizarán el problema, como seguramente sea la fortificación de este tipo de “agentes críticos” mediante infraestructuras que reparten la carga entre diferentes puntos. Implementar sistemas de control perimetrales que sean capaces de redirigir peticiones antes de que lleguen al propio servicio, donde difícilmente tendremos capacidad de actuación.
Y entiendo que es fácil decirlo. Como comentaba por Twitter @ciberpoliES:
No me gustaría estar en la piel de los técnicos de @Dyn.
Ni en la de los equipos azules del resto de grandes suministradores de red. Porque tarde o temprano les va a tocar lidiar con un escenario para el que seguramente no están(mos) preparados.
Solo espero que llegado el momento, el impacto de uno de estos ataques no acabe siendo traumático para nuestra sociedad. El dinero y la infraestructura se puede recuperar. La vida de millones de personas es irreparable.
