Ataques DDoS

Y la importancia de la neutralidad de la red

Este no es un post técnico, es una explicación básica para un mejor entendimiento sobre cómo funcionan los ataques DDoS y del por qué es importante que conozcan sobre este tema.

DDos significa Distributed denial-of-service o denegación de servicio distribuido en español.

Un ataque DDoS tiene como objetivo inhabilitar un servidor, un servicio o una infraestructura.

“Está caído/crasheada la página/sitio” más no “Está hackeado” (se ha utilizado este último termino para una interpretación de “apoderarse” y tener el control parcial o absoluto de la información de un servidor, cuentas, contraseñas e información sensible, sin embargo el termino correcto para ello es crackear, ese es otro tema).

Según Wikipedia: el término jáquer , del inglés hacker  «es todo individuo que se dedica a programar de forma entusiasta, o sea un experto entusiasta de cualquier tipo»

Que por cierto, es la bandera de DEV.F:

Existen diversas formas de ataque DDoS:

  • Por saturación del ancho de banda del servidor para dejarlo inaccesible.
  • Por agotamiento de los recursos del sistema de la máquina, impidiendo así que esta responda al tráfico legítimo.

Durante un ataque DDoS, se envían simultáneamente múltiples solicitudes desde distintos puntos de la red. La intensidad de estas solicitudes comprometen la estabilidad y la disponibilidad del servicio. Los ataques pueden durar, minutos, horas o hasta días.

Es decir que bajo un ataque de DDoS a servidores puede ocasionar lo siguiente:

  • Los usuarios y/o clientes no podrán conectarse a tu web, sea comprar, ingresar a su cuenta o si quiera ver el homepage. Por ende estos usuarios dejarán de usar tu servicio y buscarán otra opción.
  • Se daña la imagen de tu marca. Después de un ataque DDoS es difícil recuperar la confianza del usuario/cliente.
  • Cientos, miles y millones de $USD en pérdidas de ingresos por el tiempo que el servidor estuvo caído.
  • Entre otros daños colaterales.

Aquí puedes revisar el status actual de las aplicaciones y servicios que usas.

Las solicitudes son creadas por una red de bots o botnet, que un criminal contrata por un tiempo definido. Acá es donde está lo delicado, estos servicios los puede contratar cualquier persona por un tiempo definido.

Los cyberataques son delito informático en muchos países. Al día de hoy no existe una legislación que prohiba y penalice los ciberataques y es por ello la importancia de la neutralidad de la red de lo contrario el Internet sí podría llegar a romperse”.

Lamentablemente existen servicios que se pueden comprar en línea por ciberdelincuentes a un precio relativamente bajo para usar una gran cantidad de máquinas comprometidas por malware para lanzar ataques.

México ocupa la posición #11 en recibir ciberataques a nivel mundial, Estados Unidos ocupa la posición #4.
-Kasrspersky

De acuerdo a Cisco Anual Internet Report 2018–2023

  • El tamaño medio de los ataques DDoS aumenta de forma constante y se acerca a 1 Gbps, lo suficiente para que la mayoría de las páginas en internet se desconecten por completo.
  • El tamaño máximo de los ataques DDoS (Gbps) está aumentando en una trayectoria lineal, con picos de ataques que alcanzan los 300, 400 y 500 Gbps respectivamente, en 2013, 2014 y 2015, entre un 10% y un 15% por año.
  • En 2015, la principal motivación detrás de los ataques DDoS fueron los delincuentes que demostraron capacidades de ataque, con intentos de extorsión en videojuegos y criminal en segundo y tercer lugar, respectivamente.
A nivel mundial, el número de ataques DDoS creció un 25 por ciento en 2015 y se multiplicará por 2,6 a 17 millones en 2020.

Según el Global DDoS Threat Landscape Report la industria de los videojuegos representó el 35,92% del total de ataques DDoS en 2019, seguida de los juegos de azar con el 31,25% y las computadoras e Internet con el 26,51%. En el otro lado del espectro se encuentran Negocios, con un 3,37%, y Finanzas, con un 2,95%.

Es importante señalar que la mayoría de los videojuegos se encuentran en puertos UDP. "UDP son las siglas de Protocolo de Datagrama de Usuario (en inglés User Datagram Protocol) un protocolo sin conexión que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperación de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a través una red IP".

Los Ataques DDos más grandes hasta el día de hoy:

  1. Mirai (2016) es un malware (software o programa malicioso) de la familia de las botnets destinada a infectar los equipos de Internet of Things como una cámara de seguridad, un router, un refrigerador o cualquier dispositivo conectado a Internet que son “easy to hack” para ataques DDoS. Aquí una investigación completa sobre este malware.

En ese entonces el malware Mirai afectó dispositivos en más de 177 países.

Así fue como terminó todo.

2. Github (2018) fue víctima de ataques DDoS llamado memcached teniendo una entrada de tráfico de 1.2 Terabites por segundo y enviando paquetes a una velocidad de 126.9 millones por segundo. Las peticiones de tráfico de internet se encuentran sobrecargas y las nuevas peticiones no se pueden procesar por lo que el tráfico regular no puede acceder y todo esto resulta en una denegación de servicio para todos los usuarios. Este tipo de ataque funciona enviando solicitudes falsificadas a un servidor vulnerable, que luego responde con una mayor cantidad de datos que la solicitud inicial, magnificando el volumen de tráfico. Es decir, no se requiere un botnet impulsada por malware. Los atacantes simplemente falsifican la dirección IP de su víctima y envían pequeñas consultas a varios servidores Memcached (aproximadamente 10 por segundo por servidor) que están diseñados para obtener una respuesta mucho mayor. Los sistemas memcached luego devuelven 50 veces los datos de las solicitudes a la víctima.

3. Amazon Web Services (2020) mitigó el ataque DDoS más grande jamás registrado, deteniendo un ataque de 2,3 Terabites por segundo a mediados de febrero de este año. El ataque se llevó a cabo utilizando servidores web CLDAP secuestrados y causó tres días de “amenaza elevada”.

CLDAP (Protocolo ligero de acceso a directorios sin conexión) es una alternativa al protocolo LDAP anterior y se utiliza para conectarse, buscar y modificar directorios compartidos en Internet. Se ha abusado del protocolo para ataques DDoS desde finales de 2016, y se sabe que los servidores CLDAP amplifican el tráfico DDoS de 56 a 70 veces su tamaño inicial, lo que lo convierte en un protocolo muy solicitado por ciberdelincuentes.

Adobe, Airbnb, BMW, Netflix, Twitch, NASA, Spotify, Xiaomi, Keloggs, Lamborghini, USA Departamento de Estado, UK Ministro de Justicia entre otras organizaciones gubernamentales y empresas que usan Amazon Web Services.

¿Qué soluciones internas existen para protegernos de un ataque DDoS?

No está de mas mencionar que el equipo técnico de una empresa DEBE saber y conocer sobre seguridad informática.

  • Prevenir el ataque: Si tu servidor ya ha sido atacado, en parte es una buena noticia, esto te ayuda a evaluar los scripts que has diseñado anteriormente para mitigar los ataques y así perfeccionar tu sistema de seguridad.
  • Mitigar el ataque: Diseñar scripts y optimización de los mismos para mitigar los ataques.

¿Servicios externos Anti DDoS?

…entre otros servicios.

Soluciones permanentes: Neutralidad de la red.

Algunas ideas personales…

  • El gobierno podría tener órdenes judiciales hacia los proveedores de Internet (ISP’s), para trackear la botnet del ataque y también bloquear tráfico sospechoso. Para esto habría que diseñar una propuesta dentro del marco legal para que proveedores tengan protecciones de responsabilidad y no estén obligados por ley a continuar el servicio sabiendo que hay tráfico sospechoso en su red y puedan rechazarlo.
  • Por otro lado los ISP’s también podrían adquirir servicios anti-DDoS para evitar tráfico sospecho. Aquí un ejemplo de solución que ofrece Corero.
  • Tomar en cuenta estudios e iniciativas para combatir los ataques DDoS. Todo suma.
  • Apoyar iniciativas a favor de los derechos y seguridad de los internautas. La Oficina de Seguridad del Internauta en España es un ejemplo.

¿Qué podemos hacer nosotros los mortales?

  • Apoyar proyectos que ofrecen seguridad gratuita a periodismo, sociedad civil, democracia, derechos humanos y artes como: Project Shield, Cloudflare Galileo
  • Apoyar iniciativas como: salvemosinternet.org
  • Solicitar y apoyar una legislación en tu país que vea por la neutralidad de la red:

México necesita tener mejores estándares de ciberseguridad, controles técnicos y fomentar el desarrollo de un mercado en la materia ante la creciente ola de ataques cibernéticos que se viven en Latinoamérica, asegura un nuevo estudio realizado por la Organización de los Estados Americanos (OEA) en conjunto con el Banco Interamericano de Desarrollo (BID).

Explica que si bien el país ha mostrado avances en temas de ciberseguridad y en temas como cultura y capacitación con respecto a los países de Centroamérica, es necesario incrementar las medidas que tengan como fin aminorar los ataques a empresas y gobiernos.

“México no cuenta con una ley dedicada al delito cibernético, pero el artículo 211 del Código Penal prevé el delito informático. Sin embargo, estas disposiciones son limitadas y dejan varias lagunas, lo que dificulta la lucha contra el cibercrimen”, indica el estudio titulado “Ciberseguridad, riesgos, avances y el camino a seguir en América Latina”.

A principios de 2020, 12 países habían aprobado estrategias nacionales de ciberseguridad, incluidos Colombia (2011 y 2016), Panamá (2013), Trinidad y Tobago (2013), Jamaica (2015), Paraguay (2017), Chile (2017), Costa Rica (2017), México (2017), Guatemala (2018), República Dominicana (2018), Argentina (2019) y Brasil (2020), entre varios otros en progreso.

Acá puedes leer el reporte completo.

Cuando el Internet “se rompe” o algunos servicios “se caen” millones de personas pierden el acceso a información crítica, la capacidad de expresarse, trabajar, aprender, entretenerse y a acceder a servicios sociales al igual que se vuelve vulnerable ante el riesgo de estos ataques.

Que quede claro y que no se malentienda el término Neutralidad de la Red en cuanto a ciberseguridad, que no sea una excusa para ejercer más control en la sociedad y el internet con el fin de restringir derechos (desafortunadamente ocurre así en países como China).

Lo que queremos decir con esto es que debe de existir un balance entre garantizar la neutralidad de la red a los usuarios y que existan protocolos que protejan y garanticen su seguridad y privacidad.

Es un tema muy complejo y hay más puntos que se podrían discutir y señalar, los invito a que se informen, naveguen entre reportes y propuestas y tomen un rol activo. El Internet es de todos.

Espero que este post haya sido de ayuda para tener un panorama más amplio sobre seguridad informática, es importante conocer sobre estos temas, sobre todo por que los ataques DDoS son amanezas que afectan las herramientas y servicios que usamos día a día o incluso a servidores propios.

Buscar la neutralidad de la red es responsabilidad de todos.

Agradezco enormemente el apoyo y mentoría de zo0r para este tema.

Si quieres leer más sobre la neutralidad de la red te comiendo leas este post de #TechnoLatinas

#WomeninTech #Travel #Foodie #ProductManagement #UX

#WomeninTech #Travel #Foodie #ProductManagement #UX