#MundoHacker: Botnets y ataques DDoS

Volvemos con una nueva entrada de la serie #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital, esta vez centrada en uno de los reyes actuales del ataque a webs (aumentando un 200% en el último año): DDoS, y el uso de botnets.

DDoS-network-map

El mes pasado buena parte de los periódicos de todo el mundo se hacía eco de la noticia: Spamhaus, uno de los más activos colectivos en contra del spam en internet sufría el que fue considerado el mayor ataque de denegación de servicio de la historia, presumiblemente por Cyberbunker, un proveedor de hosting sin muchos escrúpulos (y que en el día de hoy volvía a ser noticia por la detención, cual película de ciencia ficción, de uno de sus hackers, de origen holandés, pero en la tierra de Cervantes).

Se hablaba de 75Gbs de tráfico por segundo, lo que algunos alarmistas habían tachado como el principio de una ralentización global de la conexión a internet (algo que nunca llegó a ocurrir, gracias en mayor medida a su carácter distribuido).

Aunque este ataque ha sido llevado a cabo por organismos con mucha capacidad (y dinero), lo cierto es que ataques de mucha menos carga pueden tumbar tranquilamente webs corporativas o zonas internas necesarias para el buen quehacer de una empresa. Y están triunfando por una realidad descorazonadora: Son relativamente sencillos de llevar a cabo, y requieren de métodos bastante más elaborados (y por lo general a posteriori) para defenderse de ellos.

Pero antes de llegar a este punto, es interesante detenernos en el principio.

Ataques DDoS, botnets y motivaciones

Hablar de ataques de denegación de servicio es hablar de botnets, y quizás para conocer el primer intento, deberíamos remontarnos al año 2000 en Canadá, donde un adolescente que se hacía llamar Mafiaboy, llego a tener en jaque él solo a compañías de la talla de Yahoo, Dell, eBay y Amazon. No usó una botnet como tal, pero quedó entonces patente el potencial que tendría en un futuro este tipo de ataques.

A grandes rasgos, una botnet es un conjunto de ordenadores controlados remotamente con fines maliciosos. Con el paso del tiempo, el aumento del procesamiento (y disminución de los microprocesadores), la llegada del mundo móvil, y el acercamiento que ello supuso a la tecnología, cualquiera puede pertenecer a una o varias botnets con alguno de sus dispositivos (y no notar nada aparentemente raro).

Para montar una botnet, lo primero que necesitas es un malware que sea capaz de superar las defensas (normalmente insuficientes) de los dispositivos, implantando en el núcleo de sus sistemas el germen latente que será llamado cuando lo necesitemos para que haga un trabajo en particular.

Malware que puede llegar de cualquier manera, ya sea mediante el acceso a una web con un iframe embebido, mediante un pincho USB corrupto, mediante la apropiación de una wifi pública,…

El objetivo es generar un ejército de ordenadores zombie que cumplirán a pies juntitos nuestras exigencias, de tal manera que a una llamada nuestra, todo ese procesamiento descargará su furia contra quien le digamos.

Surge entonces un mercado real de botnets, con nombres como ConfickerZeusWaledacMariposa o Kelihos, y que son alquiladas por particulares o empresas para atacar a la competencia. Incluso un mismo malware puede servir para montar diferentes botnets, y así segmentar aún más el negocio negro que se esconde tras esta práctica.

Tenemos una botnet, bien ¿Pero para qué?

Conocemos qué es una botnet. Entendemos por qué hay un negocio tras ello ¿Pero qué podemos hacer?

Muy sencillo. Dirigimos todos esos dispositivos zombies hacia la web elegida. Consultas masivas que dependiendo de la capacidad contratada del servidor y nuestra propia capacidad de ancho de banda con la botnet, podrán colapsar la web, no permitiendo a los usuarios reales acceder a su contenido.

Una buena razón es dejar patente al posible cliente que las webs de la competencia no son de fiar (están más tiempo caídas), aunque no es la única excusa para un ataque DDoS. De hecho cada vez más vemos ataques DDoS cuya finalidad es la pura protesta (de organismos como Anonymous), o para enmascarar otro tipo de ataques más sofisticados (muy usado últimamente en ciberguerra).

Los principales objetivos: webs bancarias, corporativas y estatales, aunque en la práctica, cualquier web es susceptible de recibir un ataque que acabe por tumbarla.

¿Cómo defenderse?

Hemos visto cómo atacar y por qué, y ahora toca ver cómo defenderse.

Aquí la cosa se complica. Como ya hemos mencionado, es relativamente fácil infectar a otros usuarios y crear una pequeña (o no tan pequeña) red botnet, pero no es tan sencillo defenderse.

El primer paso, y aunque es de sentido común, nunca está demás dejarlo por escrito.

  • Evitar formar parte de una botnet: Cualquier dispositivo con conexión a internet puede ser parte de una botnet. En el caso de smartphones y tablets, dispositivos normalmente asociados a una tarjeta SIM, el caso es aún más peligroso, ya que además de perder ancho de banda (consumo de datos), corremos peligro de hacer sin nuestro conocimiento consultas de tarificación especial. Es por ello que un buen antivirus, y sobre todo, mucha desconfianza, son nuestros principales armas frente al desastre.

Suponiendo que por el motivo que sea, seamos objetivo de un ataque de denegación de servicio, hay algunos puntos que como administradores de sistema deberíamos controlar antes del ataque. Ante todo tener presente que se trata de un simple pulso de fuerza: Quién tiene más ancho de banda, si cientos o miles de usuarios, o la empresa. Y el objetivo es defenderse del ataque lo más cercano a su origen, mediante diferentes capas, hasta intentar llegar al punto de salida y cortarlo desde allí (no se trata únicamente de bunkerizar nuestros servidores, ya que seguramente acaben desbordados igualmente):

  • El impacto de la pérdida de internet: Es algo muy importante. Como encargados del buen funcionamiento del apartado técnico de una empresa, tenemos que saber de antemano qué ocurriría si no tuvieramos la web operativa (qué pasaría con las cuentas de usuario, si los trabajadores podrían seguir realizando el trabajo, si tendríamos email, fax,..).
  • Monitorización temprana: No suelen ser baratos, pero son necesarios para empresas de un tamaño considerable. Permiten anticipar los movimientos (subidas bruscas del tráfico, direcciones IPs sospechosas,…). Requieren así mismo que se configuren correctamente, pero lograrían ganar unos minutos que pueden ser vitales para redirigir el tráfico en la fase de ataque.
  • Plan de comunicación: Viene de la mano de los anteriores. Conocemos qué puede ocurrir, y quizás con suerte un poco antes de que ocurra. Esos minutos son vitales para que el equipo de comunicación se ponga manos a la obra, y si aún así acabamos por perder el control de la web, que al menos tengamos un plan de contingencia para avisar a nuestros clientes por las redes sociales o canales alternativos habilitados a tal efecto.

Qué hacer durante el ataque:

  • Mitigar el daño: Seguramente como administradores de sistemas, tenemos en nuestro haber herramientas que nos ayudarán a mitigar los efectos, ya sea mediante una configuración por capas, aumento del ancho de banda o contratación de más potencia, bloqueo de IPs de países extraños (no tiene sentido que de la noche a la mañana tengamos miles de visitas de Rusia si escribimos en español, por ejemplo), filtros de firewalls, … La mayoría de grandes operadores también incluyen sus propios filtros, que pueden ser de ayuda para reducir parte de la carga.
  • Avisar, tanto a clientes como al organismo regulador que proceda, con el fin de que estén enterados, y ayuden a desarticular este tipo de redes, además de asesorarte.

Como veis no hay unas pautas estrictas, y es bastante probable que de ser diana de un ataque de DDoS, acaben por tirarnos la web unas horas (si los grandes de internet no son inmunes, menos lo será una empresa corriente). Pero tener un plan de contingencia puede reconducir esta situación de una estrepitosa caída económica a un contratiempo que los usuarios entienden e incluso les lleve a simpatizarse más con la marca.

 

Edit a día 29 de Abril del 2013: Precisamente me acaban de pasar un enlace de SbD donde hablan de varios de los puntos antes mencionados, así como algunas de las herramientas técnicas de las que podríamos tirar para mitigar los ataques, dependiendo de la operadora con la que estemos.

________

Realizar este tipo de artículos me lleva varias horas, y en algunos casos, gastos extra que habitualmente suplo de mi bolsillo, o gracias a esa comunidad de patronos que me apoyan realizando donaciones puntuales o periódicas.

Si le gustaría ver más de estos tutoriales y análisis por aquí. Si el contenido que realizo le sirve en su día a día, piense si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.

hazme patrono pabloyglesias