Las Botnets y los Ataques de Denegación de Servicio

Los ataques de Denegación de Servicio, y más recientemente los de Denegación de Servicio Distribuido están en boca de todos porque es el tipo de ataque usado para tumbar una web, y se usa mucho más de lo que pensamos, desde pequeña a gran escala.


Que es un ataque DoS (Denial of Service)


Esencialmente consiste en tumbar una web para que deje de dar servicio a sus usuarios legítimos. Este ataque podía ser de muchas formas, siempre generalmente con el objetivo de conseguir que el servidor (o cluster) se pare:

  • Sobrecargar la red (ancho de banda) o tiempo de procesador
  • Buffer overflow
  • Imposibilitar la autenticación de usuarios
  • Alterar la configuración del servidor 
  • Apagar el servidor
  • Desconectar el suministro eléctrico

La forma que tome el ataque dependerá de las vulnerabilidades detectadas en el sistema a atacar, pero cuando se hace desde remoto sobre servidores de webs modestas suele consistir simplemente en sobrecargar la red a base de peticiones para que el servidor no pueda atenderlas todas o las atienda tan lentamente que no resulte práctico.


En otras ocasiones el ataque consiste en aprovechar vulnerabilidades del sistema operativo o del servidor web que no han sido solucionadas en el sitio web y explotarlas para conseguir parar el servicio. Por ejemplo, consiguiendo ejecutar scripts en el servidor mediante un ataque que aprovecha un desbordamiento de buffer, o realizando un ataque de inyección de código SQL desde un formulario de la web que para, corrompe o ralentiza la base de datos que hay detrás.

La idea es anular la disponibilidad del servicio el mayor tiempo posible.


Qué es una botnet


Tal vez el principal problema del malware en la actualidad está relacionado con las llamadas botnets o redes zombies. Una botnet es una red lógica de ordenadores clandestina infectada por un bot. Y un bot es un malware que se cuela en muchas máquinas y las convierte en zombies, es decir, que sirven a un propósito específico, o incluso permite que sean controladas de manera remosta.


Típicamente el control que toma un bot de una máquina es transparente al usuario, que tal vez note que el sistema va algo más lento pero poco más. La potencia de una botnet no viene dada tanto por el poder o lo que hacen cada uno de sus bots con sus recursos en la máquina zombie, sino por la unificación de ese poder para realizar ataques a terceros:

  • Ataque simultáneo de cientos o miles de máquinas a un objetivo común.
  • Envío masivo de emails o mensajes con malware de tipo pishing (engaños) o simplemente spam para tirar los servidores de correo.
  • Envío masivo simultáneo de mensajería para cambiar la perspectiva de la opinión pública respecto a un tema concreto. Por ejemplo, emitiendo cadenas de mensajes con una noticia falsa pero creíble.
  • Ataque simultáneo para realizar un robo de datos específico.

A todo esto se suma el inmenso campo que ofrece el llamado Internet de las Cosas, donde miles de máquinas conectadas con sistemas operativos esenciales y vulnerables son blancos fáciles en teoría para formar parte de una botnet.

Qué es un ataque DDoS (Denegación de Servicio Distribuido)


Es un ataque organizado de cientos o miles de máquinas de una o varias botnets con un objetivo muy definido, generalmente consistente en inhabilitar servicios web de cierta importancia y entidad. Son ataques que causan un impacto importante a la organización, y suelen ser la causa final de un ataque APT (un ataque organizado, estudiado y persistente). 

Un ataque DDoS puede ser tan sencillo como lanzar miles de peticiones "ping" desde una botnet, dejando así sin servicio una página web. En otros casos puede ser mucho más complejo, y orquestado para robar la mayor cantidad de datos en el mínimo tiempo posible, o para hacer caer los servidores de autenticación.

Los usuarios que lanzan los ataques a través de una botnet ni siquiera saben lo que pasa. Pero también hay usuarios que voluntariamente se prestan a realizar ataques con motivaciones hackivistas (como Anonymous), y que utilizan programas como LOIC (Low Orbit Ion Canon) para realizar ataques DDoS. Este software permite además enviar gran cantidad de paquetes TCP, UDP o cabeceras HTTP para averiguar la cantidad de conexiones por segundo que soporta la red objetivo antes de caer.


Los ataques DDoS suponen un problema creciente, sobre todo desde el 2014, al aumentar drásticamente los ataques basados en el protocolo UDP. El informe del 4º trimestre de 2016 de Akamai indica un aumento del 138% en el total de grandes ataques DDoS, aunque han disminuido algo los ataques a aplicaciones web.

Cómo nos podemos proteger


En primer lugar para mitigar un ataque simple podemos proveer o prever la carga de los servidores, por ejemplo con mecanismos de clúster variable y balanceo de carga, que se activarían al tiempo de dar la alarma.

Podemos también establecer un sistema de filtrado de logs entrenado para detectar ataques DDoS y rechazar las conexiones que se teman provengan de un ataque, o incluso un filtrado más elemental que rechace directamente paquetes mal formados o con IPs falsas.

Es necesario que los servidores web estén actualizados para que no tengan vulnerabilidades conocidas que puedan aprovecharse, y que en esencia cumplan los principios de OWASP (Open Web Application Security Project) o que se supervisen bajo un plan de seguridad.

Para prever la infección de malware en tu ordenador doméstico y que no se convierta en una botnet es necesario tomar las medidas habituales de protección: concienciación, cortafuegos, antivirus y protección adicional en el router, sobre todo en lo que a la señal wifi se refiere. En una organización es necesario seguir, además, un plan de seguridad establecido acorde a la infraestructura.


En este sentido Incibe y la Oficina de Información del Internauta han sacado recientemente una campaña para detectar si tu ordenador está en una botnet:


A la vista de los problemas generados en las elecciones debido a los ataques DDoS a sistemas de noticias de manera que influyen en el electorado, Google ha lanzado una serie de utilidades con las que realiza un servicio gratuito para protegerlos:
https://projectshield.withgoogle.com/public/

Algunos grandes ataques DDoS


Ataque a Dyn de Octubre del 2016, realizado por millones de máquinas en varias oleadas, que pararon literalmente Internet durante horas en muchas zonas de Europa y Norteamérica:
https://es.wikipedia.org/wiki/Ciberataque_a_Dyn_de_octubre_de_2016


Ataque a la BBC de Enero del 2016
http://globbsecurity.com/mayor-ataque-ddos-historia-bbc-37484/

Ataque de Marzo 2013 en Europa
https://www.fayerwayer.com/2013/03/enorme-ataque-ddos-hace-mas-lenta-la-internet-en-el-mundo/

Estos son ejemplos de lo que nos espera.