Video: CUANDO LA SEGURIDAD SE DUERME (Noviembre 2024)
Imagínate esto. Un grupo de estudiantes de secundaria decide bromear con la escuela llamando a la oficina y colgando, una y otra vez. Las comunicaciones de la escuela se detienen; nadie puede comunicarse con el director. Eso es muy parecido a lo que sucede en un ataque de denegación de servicio distribuido. Los malhechores reclutan un ejército de bots para martillar los servidores del objetivo con tráfico, hasta que el servidor no pueda aguantar más. Incapsula, un servicio de protección DDoS, informa un gran ataque DDoS con un giro interesante; los paquetes de ataque vinieron de otras dos compañías de protección DDoS.
La publicación del blog, de Igal Zeifman, de Incapsula, no identifica a las compañías, diciendo que solo estaban "una en Canadá y la otra en China". Ambas compañías admitieron su responsabilidad y "retiraron a las partes responsables de sus servicios". Pero, ¿cómo podría suceder esto en primer lugar?
Inundación vs. Amplificación
El ataque SpamHaus DDoS del año pasado utilizó una técnica llamada amplificación DNS. El atacante envía una pequeña solicitud de DNS que devuelve una gran respuesta y falsifica el paquete de solicitud para que la respuesta llegue a la víctima. Eso permite que una pequeña cantidad de servidores realice un gran ataque DDoS.
Sin embargo, la publicación de Incapsula señala que es extraordinariamente fácil fortalecer una red contra este tipo de ataque. Todo lo que necesita hacer es definir una regla que rechace cualquier paquete de información DNS que el servidor no solicitó.
El ataque en cuestión no utilizó ningún tipo de amplificación. Simplemente inundó los servidores de las víctimas con solicitudes DNS normales, a una velocidad de 1.500 millones por minuto. Estas solicitudes no se pueden distinguir del tráfico válido, por lo que el servidor debe examinar cada una. Este tipo de ataque sobrecarga la CPU y la memoria del servidor, mientras que un ataque de amplificación sobrecarga el ancho de banda, según la publicación.
¿Como paso?
Zeifman señala que un servicio de protección DDoS tiene exactamente la infraestructura que se necesitaría para montar un ataque DDoS. "Esto, combinado con el hecho de que muchos proveedores están más preocupados por 'lo que está entrando' en lugar de 'lo que está saliendo', los convierte en una buena opción para los piratas informáticos que buscan ejecutar ataques DDoS masivos no amplificados", señaló Zeifman. "Además de proporcionar el 'giro poético' de convertir a los protectores en agresores, estas mega inundaciones también son extremadamente peligrosas".
Es cierto que un ataque a este nivel requiere recursos que una pandilla típica de delitos informáticos probablemente no podría reunir. Incluso la mayor red de bots no les permitiría alcanzar 1.500 millones de solicitudes por minuto. La solución, según Zeifman, es para las empresas que tienen esos recursos para protegerlos mejor. "Cualquier proveedor de servicios que ofrezca acceso indiscriminado a servidores de alta potencia ayuda a los delincuentes a superar estas limitaciones", dijo Zeifman. "En este caso, los vendedores de seguridad jugaron directamente en las manos de los hackers".
Puedes leer la publicación completa en el sitio web de Incapsula. Y oye, si usted es una de esas pocas personas que administra el tipo de servidores de alta potencia necesarios para este tipo de ataque, tal vez debería examinar su seguridad con cuidado, con mucho cuidado.
