Clase XXI - 17102019 - - Serie Mr.Robot
SERIE MR. ROBOT /
Objetivo de estudio: Ataques DoS / DDoS / RUDY / Ciclo de vida de un incidente de seguridad informática.
Período: Minuto 8 a 8:35”.
Período: Minuto 8 a 8:35”.
¿Si tuviera que explicar la situación planteada en la escena (30”), a alguien que no está interiorizado de los términos informáticos que utiliza el protagonista, qué diría?
“… la empresa AllSafe se encarga de gestionar los riesgos sobre activos informáticos y de información de terceros, cuya dirección ha decidido transferir el tratamiento de los mismos”.
“… en esta escena los protagonistas están evaluando un ataque a la red de uno de sus clientes que atenta contra la disponibilidad de sus recursos”.
“… la amenaza no se encuentra detallada, puede ser interna o externa, producto de hacktivistas o de falta de políticas de seguridad de la información”.
“… el ataque, por ser activo, dejo huellas en los archivos de registro. Pudieron haber utilizado bots para realizarlo”.
“…según la primera evaluación hecha por el técnico en seguridad informática, se trata de un ataque interrupción de servicios sobre la red corporativa que AllSafe protege. Se trata de un ataque DDoS realizado con RUDY”.
DDoS son las siglas de Distributed Denial of Service. La traducción es “ataque distribuido de denegación de servicio”, lo que significa que se ataca al servidor desde muchos ordenadores para que deje de funcionar.
Para explicarlo una simple analogía basta. Supón que el servidor es un auxiliar que atiende a personas en una ventanilla.
El auxiliar es muy eficiente y es capaz de atender a varias personas a la vez sin despeinarse: es su carga normal.
Pero un día empiezan a llegar cientos de personas a la ventanilla a solicitar su atención.
Y como cualquier humano normal, cuando hay mucha gente exigiendo atención, no puede atender a todos y empieza a trabajar más lento de lo normal.
Si viene todavía más gente probablemente acabe hasta las narices, se marchará de la ventanilla y ya no atenderá a nadie más.
En el servidor pasa lo mismo: cuando hay demasiadas peticiones se queda sin recursos, se cuelga y deja de funcionar.
Puede que se apague directamente o que sólo deje de responder a las conexiones.
De cualquiera de las dos formas, el servidor no volverá a la normalidad hasta que el ataque pare, ya sea porque los atacantes han parado o porque se logrado bloquear las conexiones ilegítimas, y se reinicie todo lo que haya dejado de funcionar”.
“… RUDY es una herramienta informática de denegación de servicio (DoS) utilizada por los piratas informáticos para realizar ataques lentos de baja velocidad a los servidores de una red. Proviene de RU (Are you) Dead Yeat? “.
“… el impacto del ataque, conocido como riesgo, puede tener consecuencias negativas en el ámbito financiero de la empresa, deberían realizar acciones de corrección inmediata para responder a la situación. La información generada por el incidente les permitiría responder de forma sistemática en futuras ocasiones”.
Luego de la detección y pre – análisis del incidente, la empresa (AllSafe) debería (completar el ciclo de vida del mismo):
· Realizar tareas de contención y / o erradicación (notificación, análisis, contención y erradicación).· Realizar actividades de recuperación del incidente.
· Realizar tareas de reflexión y documentación después del incidente.
Objetivo de estudio: Ataques (DoS / DDoS / RUDY) / Ciclo de vida de un un incidente de seguridad informática.
Un ataque informático, es un intento organizado e intencionado causada por una o más personas para causar daño o problemas a un sistema informático o red.
Consiste en aprovechar alguna debilidad o falla en el software, en el hardware, e incluso, en las personas que forman parte de un ambiente informático; para obtener un beneficio, por lo general de condición económica, causando un efecto negativo en la seguridad del sistema, que luego pasa directamente en los activos de la organización.
Consecuencias
Los ataques informáticos tienen varias series de
consecuencias o daños que un virus puede causar en un sistema operativo.
Hay varios tipos de daños los cuales los más notables o reconocidos son los
siguientes:
- Daños triviales
- Daños menores
- Daños moderados
- Daños mayores
- Daños severos
- Daños ilimitados
- Daños triviales
Daños triviales
En este tipo de daños los ataques, por eje. a través de un virus informático, que los causan demasiados problemas, son muy
fáciles de remover y eliminar, por lo que se pueden quitar solo en segundos o
minutos. Los daños no ocasionan ninguna pérdida grave de funcionalidad del sistema y sólo originan una pequeña molestia al usuario.
Daños menores
Son daños que ocasionan una pérdida de la funcionalidad de las aplicaciones del usuario. Por ejemplo infección de memoria, eliminación de programas. En este tipo de daño las restauraciones consisten en llevar a su estado original los sistemas hackeados, reinstalando programas o reconfigurando los parámetros de seguridad modificados.
Daños moderados
Cambios de formato en el disco duro o sobreescritura de algunos sectores del mismo son algunos de los daños moderados que puede causar un ataque informático. Sabiendo esto se puede reinstalar el sistema
operativo y usar el último backup para restaurar los datos y reconfigurar los cambios. Este proceso puede llevar 1 hora aproximadamente de trabajo.
Daños mayores
Infección de archivos con extensión .COM y .EXE para su replicación. Destrucción de sectores del disco duro para que no puedan recuperarse, a través de infecciones en cadena usando un motor polimórfico (un código polimórfico es aquel que se sirve de un motor polimórfico para mutarse a sí mismo mientras mantiene su algoritmo original intacto. Esta técnica es utilizada comúnmente por virus informáticos y gusanos para ocultar su presencia).
Estos daños pueden prevenirse actualizando el software de base (S.O) y los programas antivirus dado que muchos productos antivirus y sistemas de detección de intrusiones intentan localizar programas maliciosos mediante búsquedas en los archivos de la computadora y en los paquetes enviados a través de una red informática. Si encuentran patrones de código que coinciden con una amenaza conocida toman los pasos apropiados para neutralizar esa amenaza.
Daños severos
Los daños severos son hechos cuando los ataques hacen cambios
mínimos y progresivos. Son difíciles de detectar y los activos afectados a ser descontaminados pueden presentar problemas o perder funcionalidad.
Daños ilimitados
Se producen cuando el atacante toma directamente el control de un sistema. Por ejemplo, algunos programas como CHEEBA, VACSINA.44.LOGIN y GP1 entre
otros, obtienen la clave del administrador del sistema, permiten crear un nuevo usuario con privilegio máximo. Quien lograre hacerlo podría administrar o dañar el sistema sin restricciones.
Fases de un ataque informático
Un ataque informático se puede describir como una actividad hostil contra un sistema, un instrumento, una aplicación o un elemento que tenga un componente informático.
Un ataque informático tiene un objetivo, ¿Pero cómo llegan al objetivo?
Creando estrategias casi invisibles para cualquier empresa o usuario, los atacantes son conscientes de ello, por lo que era de esperarse que desarrollaran una metodología con una serie de fases o pasos a seguir para que el ataque sea exitoso.
Fases o etapas de un ataque informático
1. Reconocimiento
Como su nombre lo indica, esta fase consiste en la recopilación de información del entorno, con el fin de buscar un objetivo potencial, el cual puede ir desde la búsqueda en Internet sobre una persona o empresa por ejemplo (Ingeniería Social), hasta el poder hacer un sniffing en la red objetivo para comprender cómo está estructurada la red, los rangos de direccionamiento de red que manejan, hostname, servidores y otros servicios disponibles (Impresoras, conmutadores, etc.)
2. Escaneo e investigación
Una vez teniendo claro el objetivo, el atacante procede a escanear y a examinar toda la información recopilada, con el fin de encontrar huecos de seguridad en los equipos objetivos, ya que puede obtener detalles como el sistema operativo que usa el equipo, los puertos de comunicación abiertos, cuentas de usuarios y vulnerabilidades en los aplicativos de los equipos.
3. Acceso
Aquí es donde empieza la magia, porque el atacante empieza a explotar cada vulnerabilidad encontrada en los sistemas, con el fin de tener el acceso a dicho equipo o de empezar a causar estragos, ya sea causando una saturación en los recursos de los equipos de cómputo y por ende generando un ataque DoS (Denial of Service), Secuestro de sesión (Hijacking), ataques de fuerza bruta para poder adivinar o romper las credenciales de acceso al sistema, una vez teniendo acceso al sistema objetivo, el atacante puede prácticamente explorar todo.
4. Manteniendo el acceso
La prioridad en esta etapa es la de mantener abierta la puerta para poder entrar y salir cuando guste, permitiéndole utilizar el equipo comprometido para seguir explorando otros sistemas en la red o para lanzar nuevos ataques desde la misma red interna. En muchas ocasiones se utilizan rootkits para poder ocultar los procesos, sesiones y las conexiones que mantiene hacia el servidor maestro.
5. No dejar rastro
En esta última fase, el atacante buscará el borrar toda la evidencia que pueda ser utilizada para rastrear su actividad, con el fin de no ser detectado por los administradores de red al instalar software o en las modificaciones que haya ejecutado, de esta manera puede seguir entrando y saliendo del sistema comprometido sin mayor problema y evitar ser atrapado.
La mayoría de las veces hacen uso de una técnica llamada Esteganografía, para que de este modo no pueda ser percibida su existencia en la red, ocultando información sobre algún otro elemento.
Es de vital importancia conocer las fases de ataque, ya que con ello se podrá tener una idea del tipo de soluciones que se deben implementar como parte de una estrategia de ciberseguridad, buscando siempre tener visibilidad de lo que acontece en una red interna y en las comunicaciones que se hacen hacia el exterior.
Ciclo de vida de un incidente
Ciclo de vida de un incidente
Un incidente de seguridad de la información se define como un acceso, intento de acceso, uso, divulgación, modificación o destrucción no autorizada de información, un impedimiento en la operación normal de las redes, sistemas o recursos informáticos, o una violación de la política de seguridad.
El ciclo de vida de un incidente se divide en diferentes fases:
El ciclo de vida de un incidente se divide en diferentes fases:
- Fase inicial (preparación y prevención, y detección y preanálisis).
- Contención, erradicación y recuperación (notificación, análisis, contención y erradicación).
- Recuperación del incidente (recuperación).
- Actividad después del incidente (reflexión y documentación).
La información generada por los diferentes incidentes permite responder de forma sistemática, minimizar su ocurrencia y facilitar una recuperación rápida y eficiente de las actividades.
También ayuda a minimizar la pérdida de información y la interrupción de los servicios, a mejorar continuamente la seguridad y el proceso de tratamiento de incidentes, y a gestionar correctamente los aspectos legales que puedan surgir durante este proceso.
Pasos a seguir ante un ataque informático
Los planes de acción para prevenir y gestionar un tienen que tener cuatro fases: la prevención, la detección, la recuperación y la respuesta.
1. Prevención -------
Actualmente, resulta imposible crear un entorno informático inaccesible a delincuentes informáticos aunque si se puede constituir un entorno preventivo que dificulte el acceso a los atacantes, incorporando medidas preventivas:
1.1 Medidas preventivas organizativas
- Desarrollar dentro de la organización buenas prácticas para la gestión de la fuga de información.
- Definir una política de seguridad y procedimientos para los ciclos de vida de los datos.
- Establecer un sistema de clasificación de la información.
- Definir roles y niveles de acceso a la información.
- Protección del papel. Desarrollo de políticas para la destrucción del papel, conservación de documentación, políticas de clean desk.
- Sistemas de control de acceso, físicas a las instalaciones e informáticas en los ordenadores y sistemas de comunicación (móviles y tablets).
- Control de los dispositivos extraíbles (pendrives, discos externos,etc.)
- Desarrollo de planes de formación en materia de ciberseguridad y seguridad de la información, buenas prácticas de los sistemas informáticos etc.. Estos planes de formación deben tener como objetivo la sensibilización y la formación de los usuarios.
- Contratar ciberseguros cuya finalidad es proteger a las entidades frente a los incidentes derivados de los riesgos cibernéticos, el uso inadecuado de las infraestructuras tecnológicas y las actividades que se desarrollan en dicho entorno.
Así, las principales garantías ofrecidas por el mercado asegurador son las siguientes:
- Responsabilidad civil frente a terceros perjudicados.
- Cobertura de los gastos materiales derivados de la gestión de los incidentes.
- Cobertura de las pérdidas pecuniarias (multa - sanción) ante la interrupción de la actividad derivada de un fallo de seguridad y/o sistemas.
- Cobertura de los gastos de asesoramiento legal en los que se debe incurrir para hacer frente a los procedimientos administrativos.
- Cobertura ante la denegación de acceso a otros sistemas.
- Acompañamiento en la gestión de la crisis.
Estos seguros suelen venir acompañados de servicios adicionales tales como son:
- El borrado de huellas e historial.
- La reparación de sistemas y equipos.
- La recuperación de datos.
- La descontaminación de virus.
A este respecto, cabe llamar la atención que estas garantías no suelen estar cubiertas por las pólizas de seguros tradicionales de Daños Materiales y Responsabilidad Civil. En este sentido, las entidades más expuestas al riesgo cibernético deben revisar sus seguros con el objeto de garantizar que no existen brechas (gaps) en la cobertura de sus posibles siniestros.
1.2. Medidas preventivas legales
Medidas relativas a la adecuación y cumplimiento de la legislación aplicable que incluyen, fundamentalmente, (a) el establecimiento de una circular sobre los principios generales a observar en el tratamiento de datos de carácter personal por parte de los empleados que tengan acceso a datos de carácter personal en el desempeño de sus funciones, (b) contar con un sistema adecuado de investigación de incidencias y violaciones de seguridad de los datos.
- Solicitud de aceptación de la política de seguridad por parte de los empleados.
- Cláusulas contractuales con empleados en relación a la custodia, conservación y utilización de la información.
- Cláusulas contractuales con terceros en materia de confidencialidad.
- El establecimiento de una política de uso de medios tecnológicos, que determine el alcance del uso de los dispositivos y medios puestos a disposición del empleado por parte de la empresa y las facultades del empresario en relación con el control de la actividad de los empleados, así como las consecuencias derivadas del incumplimiento de la misma.
2. Detección -------
El momento en el que se detecta un incidente de fuga de información es un momento crítico en cualquier entidad. Una buena gestión de la fase de detección del ataque informático puede suponer una reducción significativa del impacto del ataque.
Esta fase es muy importante, ya que muchas veces se tiene conocimiento de la irrupción una vez la información sustraída se revela al público o a la red, o el ciberdelinuente se pone en contacto con el despacho de abogados correspondiente, para revenderles la información, extorsionarles o amenazarles.
Las principales medidas en esta fase de detección son técnicas, pues resulta imprescindible contar con una continua monitorización de los sistemas que permita detectar cualquier entrada sospechosa. Sin embargo también podemos encontrar medidas legales y organizativas:
2.1 Medias de detección organizativas
Diseñar un protocolo interno de gestión del incidente en el que se identifique un gabinete de crisis u órgano decisorio de las medidas a adoptar. Este órgano debe estar compuesto por personas con capacidad de decisión, que puedan decidir, gestionar y coordinar la situación con calma, evitando consecuencias adicionales negativas.
2.2 Medidas de detección legales
Se deberán registrar las incidencias o brechas de seguridad en el Documento de Seguridad que la empresa que la organización debe desarrollar y mantener actualizado, de tal forma que quede constancia de (a) el tipo de incidencia, (b) el momento en que se ha producido o detectado, (c) la persona que realiza la notificación, (d) la persona o personas a quien se realiza la notificación, (e) los efectos que se derivan de la incidencia, (f) las medidas correctoras que se han aplicado.
Además, si la empresa realizase un tratamiento de datos de nivel medio o nivel alto, se deberán registrar, además de los extremos ya mencionados, (a) los procedimientos de recuperación realizados, (b) la persona o personas que realizó el proceso de recuperación, (c) los datos que han sido restaurados.
3. Recuperación -------
Una vez que se detecta una entrada ilegal en los sistemas informáticos de la empresa es necesario llevar a cabo un plan organizado de recuperación, cuyo objetivo no es otro que recuperar el sistema y dejarlo tal y como estaba antes del incidente. Para ello se deben implantar medidas técnicas de recuperación de la información: backups de los sistemas, copias de seguridad, etc..
Entre las medidas organizativas que se pueden desarrollar para la recuperación se encuentra la elaboración de planes de continuidad del negocio que contemplen situaciones excepcionales que puedan producirse por ataques informáticos y que abarquen situaciones tanto de robo de información, como de bloqueo del sistema e incluso de borrado de datos.
Además, se recomienda realizar un informe por un perito externo de cara a la presentación de una denuncia ante las autoridades, que permita recoger todas las pruebas que faciliten una posterior investigación.
4. Respuesta -------
En el momento que la empresa sufre un ataque informático se ve en la necesidad de dar respuesta al hecho acontecido. Ya no sólo dar respuesta e información a sus clientes, sino que también debe informar a los trabajadores, a terceros y encontrarse en predisposición de denunciar el hecho acontecido.
Para ello se debe poner en marcha una estrategia de comunicación integral que abarque cada una de estas áreas. Y es que un paso fundamental ante un ataque informático, es minimizar la difusión de la información sustraída.
4.1 Respuestas a clientes
Ante un ataque informático, es necesario poner en conocimiento de nuestros clientes el incidente ocurrido. En este sentido, se deberá comunicar a los interesados sin dilación debida toda violación de la seguridad que afecte a sus datos personales, siempre que entrañe un alto riesgo para los derechos y libertades de las personas físicas titulares de los datos objeto de la vulneración.
Se considera que no será precisa la notificación, si (a) se han implementado medidas de seguridad apropiadas (p.ej., encriptación); o (b) si se han adoptado medidas que impiden que el riesgo elevado se llegue a materializar; o (c) la comunicación supone un esfuerzo desproporcionado.
En caso de que no aplique ninguna de las anteriores excepciones, la comunicación deberá incluir, como mínimo, (a) el nombre y los datos de contacto del delegado de protección de datos de la entidad o de otro punto de contacto en el que pueda obtenerse más información, (b) las posibles consecuencias de la violación de la seguridad de los datos personales, y (c) una descripción en un lenguaje sencillo las medidas adoptadas o propuestas por el responsable del tratamiento para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
Para ello se debe elaborar unas comunicaciones adecuadas a la situación concreta, atendiendo al número de clientes afectados, a la información sustraída y al daño ocasionado. Además de mostrar la disponibilidad y accesibilidad necesaria a todos los afectados, como por ejemplo, poniendo un teléfono de asistencia específico o designando a una persona concreta para dar respuesta a las susceptibles dudas y cuestiones que puedan surgir.
4.2. Respuestas dentro de la organización
Igualmente, se debe hacer una comunicación a los empleados. En primer lugar, para que tengan capacidad de dar respuesta a clientes, elaborando un discurso común y ordenado para toda la organización; y en segundo lugar, para crear un sentimiento de concienciación de los empleados, que les permita sentirse parte del proceso y a la vez, permita al despacho localizar puntos por los que los ciberdelincuentes han podido tener acceso al sistema informático.
Ello, sabiendo que, un gran número de ataques informáticos se producen a través de dispositivos móviles de empleados, por conexiones a redes wifi inseguras o por el uso de contraseñas fáciles de descifrar.
4.3 Respuestas a terceros
Dentro del plan de comunicación ante este tipo de incidentes, un punto fundamental es las comunicaciones con terceros, y estas pueden ser de varios tipos:
- Respuestas a medios de comunicación que se han hecho eco del hecho acontecido: mostrando tranquilidad e informando del control de la situación, así como anunciando las medidas legales que se tomaran al efecto y dando respuesta a las preguntas que pudiesen suscitarse.
- Comunicación con los sitios (medios, web, canales de noticias,…) que puedan haber publicado parte de información sustraída: anunciando que se trata de una información confidencial que ha sido sustraída de manera ilícita, solicitando su retirada a la mayor brevedad posible y pidiendo la colaboración del medio para la posible detección e identificación de los ciberdelincuentes.
4.4 Denuncias
4.4.1 Comunicaciones a la seccional policial, según área de incumbencia.
Las empresas que hayan sufrido una brecha de seguridad, independientemente del sector al que pertenezcan, se encuentran obligadas a realizar una notificación expresa a la seccional policial más cercana, sin demora.
La notificación deberá incluir: (a) naturaleza del incidente; (b) identidad y datos de contacto del delegado de protección de datos;(c) consecuencias del incidente; y (d) medidas correctoras propuestas o adoptadas.
4.4.2. Denuncias ante la PDI o el Juzgado
Actualmente la PDI de cada región / provincia, Policía de Investigaciones, disponen de equipos de trabajo, especialmente formados para la investigación de ciberdelitos.
5. Otras medidas accesorias -------
Toda medida accesoria que se pueden implementar dentro de una empresa contribuyen a crear un entorno de seguridad y concienciación en materia de prevención, detección, recuperación y respuesta ante ataques informáticos.
Por ejemplo:
- Atender a las buenas prácticas de la ISO 27001 en materia de seguridad de la información.
- Atender a las buenas prácticas de la ISO 27002 en materia de seguridad.
- Apoyarse en terceros expertos independientes que puedan ayudar tanto en el desarrollo de todo el proceso, desde el desarrollo de políticas internas, como en la custodia de información, como a la hora de actuar ante alguno de los incidentes expuestos.
Ejemplos de ataque severos / ilimitados
DoS / DDoS
Este ataque puede afectar, tanto a la fuente que ofrece la información como puede ser una aplicación o el canal de transmisión, como a la red informática.
Los servidores web poseen la capacidad de resolver un número determinado de peticiones o conexiones de usuarios de forma simultánea, en caso de superar ese número, el servidor comienza a ralentizarse o incluso puede llegar a no ofrecer respuesta a las peticiones o directamente bloquearse y desconectarse de la red.
Existen dos técnicas de este tipo de ataques: la denegación de servicio o DoS (por sus siglas en inglés Denial of Service) y la denegación de servicio distribuido o DDoS (por sus siglas en inglés Destributed Denial of Service).
Los servidores web poseen la capacidad de resolver un número determinado de peticiones o conexiones de usuarios de forma simultánea, en caso de superar ese número, el servidor comienza a ralentizarse o incluso puede llegar a no ofrecer respuesta a las peticiones o directamente bloquearse y desconectarse de la red.
Existen dos técnicas de este tipo de ataques: la denegación de servicio o DoS (por sus siglas en inglés Denial of Service) y la denegación de servicio distribuido o DDoS (por sus siglas en inglés Destributed Denial of Service).
La diferencia entre ambos es el número de ordenadores o IP´s que realizan el ataque.
En los ataques DoS se generan una cantidad masiva de peticiones al servicio desde una misma máquina o dirección IP, consumiendo así los recursos que ofrece el servicio hasta que llega un momento en que no tiene capacidad de respuesta y comienza a rechazar peticiones, esto es cuando se materializa la denegación del servicio.
En el caso de los ataques DDoS, se realizan peticiones o conexiones empleando un gran número de ordenadores o direcciones IP. Estas peticiones se realizan todas al mismo tiempo y hacia el mismo servicio objeto del ataque. Un ataque DDoS es más difícil de detectar, ya que el número de peticiones proviene desde diferentes IP´s y el administrador no puede bloquear la IP que está realizando las peticiones, como sí ocurre en el ataque DoS.
Los ordenadores que realizan el ataque DDoS son reclutados mediante la infección de un malware, convirtiéndose así en bots o zombis, capaces de ser controlados de forma remota por un ciberdelincuente.
En los ataques DoS se generan una cantidad masiva de peticiones al servicio desde una misma máquina o dirección IP, consumiendo así los recursos que ofrece el servicio hasta que llega un momento en que no tiene capacidad de respuesta y comienza a rechazar peticiones, esto es cuando se materializa la denegación del servicio.
En el caso de los ataques DDoS, se realizan peticiones o conexiones empleando un gran número de ordenadores o direcciones IP. Estas peticiones se realizan todas al mismo tiempo y hacia el mismo servicio objeto del ataque. Un ataque DDoS es más difícil de detectar, ya que el número de peticiones proviene desde diferentes IP´s y el administrador no puede bloquear la IP que está realizando las peticiones, como sí ocurre en el ataque DoS.
Los ordenadores que realizan el ataque DDoS son reclutados mediante la infección de un malware, convirtiéndose así en bots o zombis, capaces de ser controlados de forma remota por un ciberdelincuente.
Un conjunto de bots, es decir, de ordenadores infectados por el mismo malware, forman una botnet o también conocida como red zombi. Obviamente, esta red tiene mayor capacidad para derribar servidores que un ataque realizado por sólo una máquina.
¿Por qué se realizan estos ataques y a quién afectan?
Como hemos visto, los ataques de denegación de servicio son utilizados para inhabilitar un servicio ofrecido por un servidor, haciendo colapsar el sistema aprovechando sus vulnerabilidades.
El objetivo de los ciberdelincuentes es provocar un perjuicio, tanto a los usuarios que se abastecen del servicio, como al administrador que lo ofrece, inhabilitando su funcionalidad y provocando pérdidas, tanto económicas, como de prestigio.
Hasta el momento, El mayor ataque de denegación de servicio ocurrido en la historia se produjo, el 28 de febrero de 2018, a una conocida plataforma de proyectos colaborativos:GitHub.
GitHub es una empresa estadounidense que ofrece alojamiento para el control
de versiones de desarrollo de software, ofrece todas las funciones de control de versiones distribuídas y gestión de código fuente. Proporciona funciones de colaboración, seguimiento de errores, gestión de tareas y wikis para cada proyecto.
Dejando sin funcionamiento la plataforma unos 10 minutos en total, de manera intermitente.
Este ataque fue realizado de forma distribuida, es decir, con un ataque DDoS. A pesar de toda la seguridad de la que disponía la plataforma, no pudo afrontar el bombardeo de 126,9 millones de paquetes o lo que es lo mismo, unos 1,35 terabits por segundo recibidos. Este ataque fue realizado a través de una red botnet utilizando servidores de diversas entidades.
¿Cómo evitarlo?
Como usuarios debemos revisar la configuración de nuestros routers y firewalls para detectar IP´s inválidas o falsas, que provengan de posibles atacantes.
Normalmente, nuestro Proveedor de Servicios de Internet (ISP) se encarga de que nuestro router esté al día con esta configuración.
Por otro lado, las organizaciones y empresas que proveen estos servicios, deben proteger tanto su red, como toda su infraestructura para poder evitar que estos ataques puedan afectar al desempeño de su trabajo y como consecuencia derivada de ello, a sus clientes.
Por otro lado, las organizaciones y empresas que proveen estos servicios, deben proteger tanto su red, como toda su infraestructura para poder evitar que estos ataques puedan afectar al desempeño de su trabajo y como consecuencia derivada de ello, a sus clientes.
Si una empresa se ve afectada por un ataque de denegación de servicio (DoS) perderá la confianza de sus clientes y descartarán la contratación de sus servicios.
Herraminetas de ataque DoS: R.U.D.Y. Attack (R-U-Dead-Yet?)
RUDY, es una herramienta de denegación de servicio HTTP (Capa 7) de baja velocidad creada por Raviv Raz y que lleva el nombre del álbum Children of Bodom "Are You Dead Yet?"
Herraminetas de ataque DoS: R.U.D.Y. Attack (R-U-Dead-Yet?)
RUDY, es una herramienta de denegación de servicio HTTP (Capa 7) de baja velocidad creada por Raviv Raz y que lleva el nombre del álbum Children of Bodom "Are You Dead Yet?"
Logra la denegación de servicio mediante:
El atacante finalmente puede agotar la tabla de conexiones del servidor y crear una denegación de servicio.
Ataques DDoS en la capa de aplicación
Tal como se explica en la gráfica, estos ataques suelen ser ataques de menor escala, y están orientados a afectar directamente al servidor web, sin efectos adversos en otros puertos y servicios.
Este tipo de ataques consumen poco ancho de banda e incluyen: desbordamientos HTTP, ataques lentos con herramientas como Slowloris o RUDY, ataques de "día cero" (aprovechándose de las vulnerabilidades antes de que sean descubiertas/solucionadas por el fabricante) y ataques por desbordamiento de peticiones DNS.
Slowloris envía peticiones parciales al servidor destino, para mantener las conexiones abiertas por la mayor cantidad de tiempo posible. Al mismo tiempo, envía gran cantidad de cabeceras HTTP en ciertos intervalos de tiempo que aumentan el número de peticiones, pero que nunca completan una conexión. De esta forma, se afectan los recursos de la víctima, haciendo que no pueda seguir prestando sus servicios. Este ataque afecta solo al servidor web.
Por su parte, RUDY se enfoca en aplicaciones web al consumirse todas las sesiones disponibles en el servidor web.
Slowloris envía peticiones parciales al servidor destino, para mantener las conexiones abiertas por la mayor cantidad de tiempo posible. Al mismo tiempo, envía gran cantidad de cabeceras HTTP en ciertos intervalos de tiempo que aumentan el número de peticiones, pero que nunca completan una conexión. De esta forma, se afectan los recursos de la víctima, haciendo que no pueda seguir prestando sus servicios. Este ataque afecta solo al servidor web.
Por su parte, RUDY se enfoca en aplicaciones web al consumirse todas las sesiones disponibles en el servidor web.
Simula a un usuario que tiene una conexión de Internet muy lenta y que envía paquetes HTTP POST —como los de un formulario web—, forzando al servidor a que espere un largo tiempo hasta que la solicitud se complete.
Es un ataque lento, pero suele ser efectivo ya que se aprovecha de esta vulnerabilidad de HTTP.
¿Por qué se hacen ataques DDoS?
Existen motivos muy diversos para realizar un ataque DDoS, las causas más comunes incluyen:
- Hacktivismo: esta palabra proviene de hacker y activismo; este es uno de los motivos más comunes para estos ataques. Es una forma en que hackers u organizaciones de hackers —como Anonymous— expresan su opinión crítica sobre temas de grandes consorcios o de política.
- Extorsión: este es otro motivo cada vez más popular. Aquí, los atacantes extorsionan a medianas y grandes compañías para que entreguen dinero a cambio de no llevar a cabo un ataque DDoS.
- Vandalismo cibernético: se trata generalmente de atacantes con menos experiencia que usan herramientas y scripts ya desarrollados para llevar a cabo un ataque simplemente por el hecho de diversión o venganza no ética.
- Competencia en el mercado: estos ataques de competencia suelen estar disparados por rivalidad entre las compañías o simplemente como una forma de competencia sucia de mercado; por ejemplo: ataques a servidores de empresas de juegos online, o ataques a compañías de ventas de servicios y productos en días cruciales, como un viernes negro.
Los ataques basados en DoS no se pueden prevenir.
Debe aceptar el hecho de que los atacantes probablemente actúen y lograrán alcanzar el objetivo.
No obstante, veamos algunos pasos para que esté preparado en caso de un ataque de este tipo. Lo que sí podemos hacer, es que nuestra plataforma sea más difícil de penetrar, y estar preparados para tomar las acciones necesarias para actuar en caso de que suceda un ataque.
Veamos algunas recomendaciones para prepararse ante ataques cibernéticos DDoS:
- Invierta en construir una plataforma robusta: si usted es propietario de una gran plataforma que ofrece servicios o productos que generan ingresos o valor comercial, debe invertir en la seguridad de sus aplicaciones. Muchas veces las compañías son renuentes a pagar por servicios que no utilizan, sin embargo, esto puede ser un ínfimo gasto cuando se compara con las pérdidas que puede generar un ataque DDoS.
- Implemente una herramienta de monitorización para sus sistemas para estar atento de los cambios inusuales en el uso de ancho de banda, CPU y memoria.
- Lleve a cabo pruebas de estrés: otra buena idea es usar herramientas para ataques DDoS de terceros y hacer testing antes de que su plataforma entre en producción, así sabrá cómo se comporta su sistema ante distintos escenarios DDoS.
- Esté atento a las redes sociales y blogs de noticias sobre amenazas de ataques DDoS. Puede utilizar los rastreadores RSS de Info Risk Today para mantenerse actualizado en cuanto a las últimas amenazas cibernéticas.
Una buena idea, es deshabilitar completamente la generación de logs mientras dure el ataque.