" />
ZOOM
GALERÍA
0 COMENTARIOS

El mismo mecanismo fue utilizado contra dos sitios diferentes y lograron en parte su objetivo

Ataque DDoS desde un millón de dispositivos IoT

Aunque ya estaba anunciado desde hace tiempo acerca del peligro de los dispositivos IoT de cara a seguridad, el ejemplo práctico ocurrido en la semana pasada ha revelado la auténtica magnitud que puede alcanzar este problema. Más de un millón de elementos IoT fueron coordinados para lanzar un ataque DDoS de calibre nunca visto hasta el momento. El mismo mecanismo fue utilizado contra dos sitios diferentes y lograron en parte su objetivo, dificultando el acceso legítimo, aunque en ambos casos, sin dejarlos fuera de servicio. Hay múltiples formas de ataque a servicios web o servidores, el DoS o el DDoS son de los más agresivos, sobre todo cuando se emplea un elevado número de dispositivos en el intento.

El DDoS, o Distributed Denial of Service, o Denegación de Servicio Distribuido, es un sistema orientado a colapsar la capacidad de respuesta de un servidor a base de realizar un elevado número de peticiones, prácticamente de forma simultáneas, de forma que no pueda responder. Para ello se emplea generalmente un gran número de sistemas cautivos, bajo control del atacante, que se sincronizan para lanzar el ataque sobre el objetivo. Los elementos atacantes, son sistemas legítimos cuyo control ha sido tomado por el atacante. Éste reúne un elevado número de equipos que han sido infectados por algún tipo de malware que permite un cierto control, formando lo que se llamada una botnet, o red de sistemas controlados de forma remota por un hacker.

Hasta ahora, lo habitual era captar equipos informáticos de tipos PC o servidor para formar la botnet. Pero las debilidades de los dispositivos de IoT ha hecho que el foco de los hackers se centre en este tipo de elementos para formar sus nuevas redes botnet. Así lo demuestra un reciente ataque lanzado contra dos sitios concretos. Uno de ellos es una firma de seguridad estadounidense, mientras la otra es una extensa red francesa. Según se ha documentado, la web Krebs on Security, el pasado 20 de setiembre recibió un volumen de peticiones de hasta 700 gigabits por segundo, un valor nunca antes alcanzado en un ataque de este tipo. Según la propia web, el ataque no llegó a tumbar la web, en buena medida porque estaba alojada en los potentes servidores de Akamai. Bien es cierto que Akamai no le ha cargado por la elevada sobrecarga de los servidores, pero no es menos cierto que el ataque le ha costado una elevada cantidad de dinero al proveedor, indicada como “millones de dólares”. Pero, tras el ataque, y dado que el alojamiento en estos servidores era gratuito, Brian Krebs se ha visto obligado a trasladar su página. Algo que el propio Krebs entiende perfectamente. Afortunadamente, la empresa madre de Google, Alphabet Project Shield ha ofrecido a Krebs un nuevo alojamiento, con capacidad para repeler otros ataques similares en un futuro. Precisamente Project Shield fue creada por Google para dar servicio a defensores de los derechos humanos y periodistas y evitar que fueran censurados sus contenidos mediante ataques DDoS.

El otro sitio atacado es también un importante centro de servidores. El proveedor francés OVH recibió también un asalto, desde máquinas procedentes de Asia, principalmente China, Corea del Sur, Taiwán y Vietnam, aunque posiblemente el control de la botnet no esté precisamente en aquella zona. Aunque en el verano ya hubo un ataque en el participaron unas 25.000 cámaras CCTV, en este caso fueron unas 145.00 las cámaras y DVR las que se lanzaron contra los servidores de OVH, según indicó Octave Klaba, fundador de OVH en su cuenta. La potencia combinada de los atacantes se estima cercana a 1 Tbps, Terabits por segundo, y el pico de uno de los dos ataques sufridos alcanzó unos 800 Gbps. Dada su función de transmisión de vídeo, con una capacidad de transferencia de entre 1 y 30 Mbps, se estima que, a plena potencia, esta bot net sería capaz de alcanzar un ataque DDoS por encima de 1,5 Tbps.

En ambos casos, la red botnet estaba formada por más de un millón de cámaras de vigilancia IP. O, mejor dicho, aprovechando el pequeño servidor web que albergan estas cámaras y los fallos de seguridad en las mismas. En muchos casos se aprovechó que una gran cantidad de estas cámaras contaban con las identificaciones y contraseñas originales, tal cual salieron de fábrica, altamente conocidas de forma pública. El que un buen porcentaje de las cámaras IP atacantes pertenezcan a la misma marca no resulta extraño, pero tampoco es relevante. Desgraciadamente son muchos los usuarios, incluso en empresas con departamento especializado de TI, o más específico aún de seguridad, que no cambian los valores de usuario y contraseña proporcionados por el fabricante. Así que no es difícil buscar y encontrar, a lo largo y ancho de Internet, un determinado modelo o marca de cámara IP y probar si mantiene sus valores originales que permiten el acceso y control sobre ellas.

Anteriormente ya se había explotado el servidor web contenido en algunas impresoras, sobre todo empresariales, pero el incremento de potencia de la electrónica integrada en cada vez más dispositivos ha hecho que el número y tipo de posibles atacantes se incremente de forma exponencial. Y para empeorar el problema, el código fuente de malware, denominado Mirai, ha sido distribuido a través de diversos foros del mundo hacker. Lo cual hace presagiar que puedan ocurrir nuevos ataques del mismo tipo. El supuesto autor, de apodo “Anna-senpai”, reveló en el foro “yo ya he obtenido mi dinero, ahora hay muchas personas mirando a IoT”. Una indicación de que tal vez se trata de una prueba y ahora ha vendido o alquilado sus métodos. Será mejor que vayamos poniendo medidas para evitar que se repitan este tipo de ataques en un futuro no muy lejano, con peores consecuencias, una vez demostrada la eficacia del método.

Glosario

CCTV. Closed Circuit Television Cameras, cámaras de circuito cerrado.

DoS. Denial of Service, denegación de servicio. Los ataques DoS se basan en lanzar un número tan elevado de peticiones, desde múltiples equipos infectados, contra un servidor de manera que desborden su capacidad de respuesta; el efecto buscado es que el servicio atacado se sature y quede fuera de servicio, incapaz de atender a las peticiones legítimas al servidor.

DDoS. Distributed Denial of Service, denegación de servicio distribuida. Se trata de una modalidad del ataque DoS, con la peculiaridad de que se coordina el ataque desde redes bot para que sea más difícil detener las peticiones, ya que éstas provienen de un elevado número de elementos diferentes y no resulta sencillo filtrar por IP de origen.

No comments yet.

Deja un comentario