Laboratorio: Investigacin Enorme ataque DDoS hace ms lenta la Internet en Europa Una disputa entre una empresa anti-spam

y una compaa de dudosa reputacin provoc un masivo ataque que se aprovecha una vulnerabilidad en los servidores DNS. Internet en el mundo se puso ms lento en Europa gracias a lo que expertos en seguridad estn llamando el "mayor ciberataque de la historia", asunto que est teniendo repercusiones en servicios como Netflix, que demoran ms de lo normal en cargar, y que segn expertos podra afectar a sistemas bancarios y de correo electrnico. El ataque est siendo investigado por ciber-policas de varios pases. El asunto comenz con las acciones de una organizacin sin fines de lucro llamada Spamhaus, dedicada a ayudar a los proveedores de correo electrnico a filtrar spam y correos no deseados. Para hacer esto, mantiene una lista de bloqueo, es decir, una base de datos de servidores que se sabe que estn siendo usados para enviar correo basura. Recientemente, Spamhaus agreg a su lista algunos servidores mantenidos por Cyberbunker, un proveedor de hosting holands que asegura que almacena lo que sea, excepto pornografa infantil o material terrorista. Un vocero de Cyberbunker, Sven Olaf Kamphius, declar al New York Times que Spamhaus estaba abusando de su rol al incluirlos en su lista anti-spam y que no deba permitrsele decidir qu va y qu no va en Internet. En definitiva, que servicios como Cyberbunker deberan tener permiso para hacer spam. Acto seguido, Spamhaus comenz a recibir un gigantesco ataque de denegacin de servicio (DDoS) en "venganza", que super todos los rcords conocidos hasta el momento, generando trfico de hasta 300 Gbps, de acuerdo al peridico. Un ataque tpico normalmente es cinco veces menor. Amplificacin de DNS Para lograr ese enorme trfico, que colapsa las redes en Internet afectando de paso a otros servicios, los atacantes utilizaron una tctica conocida como "amplificacin de DNS". Como se sabe, los servidores DNS son los directorios que traducen un nombre de dominio, como fayerwayer.com a una direccin IP como 54.243.163.47. Los servidores DNS tambin reciben peticiones para encontrar a determinados dominios. Cuando un servidor abierto recibe una solicitud para un dominio para el cual no tiene autoridad, escala la peticin al servidor raz, para intentar encontrar la direccin del servidor DNS al que se le puede realizar la peticin. La solicitud puede dar varios saltos por diferentes servidores hasta llegar al origen. Los atacantes aprovechan este comportamiento del servidor DNS para falsificar una solicitud, usando como direccin de origen la IP del sitio al que quieren atacar. De este modo, todos los servidores DNS a los que se les enve la consulta falsificada, respondern contactando a la IP que aparece en los datos, amplificando el ataque e inundando con solicitudes a un sitio especfico. A travs de este ataque, una solicitud que necesita muy poco ancho de banda para enviarse, se magnifica mltiples veces aumentando el trfico hasta 70 veces al sitio que se est atacando.

Laboratorio: Investigacin De esta manera, Spamhaus comenz a recibir paquetes basura desde servidores DNS en todo el mundo. Este tipo de ataques no se puede detener fcilmente, porque no puedes simplemente apagar un servidor de DNS - si lo haces, parte de Internet se queda sin funcionar. Esas mquinas deben estar abiertas pblicamente para que Internet funcione, de modo que la nica manera de detener el ataque es detener a las personas que lo lanzan. El CEO de Spamhaus, Steve Linford, declar a la BBC que el ataque se ha mantenido por ms de una semana, aunque parte ya se pudo controlar gracias a la ayuda a Cloudflare, que explic algunos detalles del ataque en un post. Esta vulnerabilidad de los servidores DNS lleva mucho tiempo de existencia, pero hasta ahora no haba sido explotada tan masivamente. As, si bien el ataque comenz hace ms de una semana y la organizacin logr superar el shock inicial para continuar funcionando, el DDoS sigue adelante y no est claro cundo ir a detenerse. De todos modos, se pone en relevancia una vulnerabilidad que necesita ser reparada para evitar que se repita.

Qu es una denegacin de servicio ataque (DoS)?

En un ataque de denegacin de servicio (DoS), un atacante intenta evitar que los usuarios legtimos tengan acceso a informacin o servicios. Al dirigirse a su ordenador y su conexin a la red, o las computadoras y de la red de los sitios que estn tratando de usar un atacante puede ser capaz de impedir el acceso a correo electrnico, sitios web, cuentas en lnea (banca, etc), u otros servicios que confiar en el ordenador afectado. El tipo ms comn y obvia de ataque DoS ocurre cuando un atacante "inundaciones" una red con informacin. Cuando escribe una direccin URL de un sitio web en particular en su navegador, usted est enviando una peticin al servidor de la computadora de ese sitio para ver la pgina. El servidor slo puede procesar una cierta cantidad de solicitudes a la vez, por lo que si un atacante sobrecarga del servidor con solicitudes, no puede procesar su solicitud. Se trata de una "denegacin de servicio" porque no se puede acceder a ese sitio. Un atacante puede utilizar mensajes de correo electrnico spam para lanzar un ataque similar en su cuenta de correo electrnico. Si usted tiene una cuenta de correo electrnico proporcionada por su empleador o que est disponible a travs de un servicio gratuito como Yahoo o Hotmail, se le asigna una cuota especfica, lo que limita la cantidad de datos que puede tener en su cuenta en cualquier momento dado. Mediante el envo de muchos, grandes o mensajes de correo electrnico a la cuenta, un atacante puede consumir su cuota, lo que impide la recepcin de mensajes legtimos. Qu es un ataque de denegacin de servicio (DDoS) distribuido? En un ataque de denegacin de servicio (DDoS) distribuido, un atacante puede utilizar su computadora para atacar a otro equipo. Al tomar ventaja de las vulnerabilidades de seguridad o debilidades, un atacante podra tomar el control de su ordenador. l o ella podran forzar el equipo para enviar grandes cantidades de datos en un sitio web o enviar spam a direcciones de correo electrnico en particular. El ataque se "distribuye" porque el atacante est utilizando varios equipos, entre ellos el suyo, para lanzar el ataque de denegacin de servicio.

Laboratorio: Investigacin Cmo evitar ser parte del problema? Desafortunadamente, no existen formas efectivas de prevenir ser vctima de un ataque DoS o DDoS, pero hay pasos que usted puede tomar para reducir la probabilidad de que un atacante utilizar el ordenador para atacar otros equipos: Instalar y mantener el software anti-virus. Instale un firewall, y configurarlo para restringir el trfico que entra y sale el equipo. Siga las prcticas de seguridad para la distribucin de su direccin de correo electrnico. La aplicacin de filtros de correo electrnico puede ayudarle a controlar el trfico no deseado. Cmo saber si un ataque est ocurriendo? No todas las interrupciones de servicio son el resultado de un ataque de denegacin de servicio. Puede haber problemas tcnicos con una red en particular, o los administradores de sistemas pueden realizar el mantenimiento. Sin embargo, los siguientes sntomas pueden indicar un ataque DoS o DDoS: rendimiento de la red inusualmente lenta (la apertura de archivos o el acceso a sitios web) falta de disponibilidad de un sitio web en particular imposibilidad de acceso a cualquier sitio web aumento dramtico en la cantidad de spam que recibe en su cuenta Qu hacer si cree que tiene un ataque? Incluso si usted no identifican correctamente un ataque DDoS, es poco probable que usted ser capaz de determinar el destino real o fuente del ataque. Si usted nota que usted no puede tener acceso a sus propios archivos o llegar a cualquier sitio web externo de su equipo de trabajo, pngase en contacto con los administradores de red. Esto puede indicar que el ordenador o la red de su organizacin estn siendo atacados. Si usted est teniendo una experiencia similar en su ordenador personal, considere ponerse en contacto con su proveedor de servicios de Internet (ISP). Si hay un problema, el ISP podra ser capaz de aconsejarle sobre un curso de accin apropiado.

Laboratorio: Investigacin Herramientas recomendadas para fortalecer la seguridad. Existen programas de software que permiten administrar una red y alejarla de probables ataques para su alteracin estos son: SISTEMAS ANTI-SPAM: Sistemas que le permiten al administrador de la red controlar el tipo de contenido que viene integrado en el correo electrnico, adems de prevenir probables ataques de usuarios mal intencionados, y sobre con esto le da la posibilidad al administrador de crear polticas de entrada y salida de informacin. FIREWALL: Un firewall puede ser un dispositivo software o hardware, es decir, un aparato que se conecta entre la red y el cable de la conexin a Internet, o bien un programa que se instala en la mquina que tiene el modem que conecta con Internet. Incluso podemos encontrar ordenadores computadores muy potentes y con software especficos que lo nico que hacen es monitorizar las comunicaciones entre redes. IDS IDS: Detectores de intrusos que permiten alertar cuando hay ataques de seguridad. Va desde la deteccin hasta la toma de medidas de bloqueo automtico. Un sistema de deteccin de intrusos (o IDS de sus siglas en ingls Intrusion Detection System) es un programa usado para detectar accesos desautorizados a un computador o a una red. Estos accesos pueden ser ataques de habilidosos hackers, o de Script Kiddies que usan herramientas automticas. El IDS suele tener censores virtuales (por ejemplo, un sniffer de red) con los que el ncleo del IDS puede obtener datos externos (generalmente sobre el trfico de red). El IDS detecta, gracias a dichos censores, anomalas que pueden ser indicio de la presencia de ataques o falsas alarmas. ANTIVIRUS ANTIVIRUS: Programas especializados en la deteccin y, en ocasiones, en la destruccin de virus informticos. Existen en el mercado informtico varias compaas proveedoras de antivirus tales como McAfee y Symantec, permitirn responder certeramente a la velocidad con que aparecen nuevos y ms sofisticados de estos programas "infecciosos. SERVICIOS DE SEGURIDAD Los servicios de seguridad se consideran desde consultoras y anlisis de riesgo hasta la implementacin de tecnologas de seguridad especificas que permiten monitorear en forma permanente la seguridad de la informacin y de los dispositivos, detectando ataques y tomando acciones para corregir problemas o para evitar que los intentos de ataques puedan afectar gravemente los activos de informacin. DETECCIN DE INTRUSOS Consiste en el monitoreo de la red en tiempo real para detectar comportamientos fuera de lo comn, a travs de: - Anlisis de la estructura de la red. - Instalacin y configuracin de los puntos de monitoreo. - Configuracin del software. - Capacitacin del administrador del

Laboratorio: Investigacin sistema. - Reacciones correctivas ante emergencias. - Anlisis y acciones correctivos: una vez que uno ha sido atacado, cierto sitio se revisa y determina quin, cmo y cundo atac. DETECCIN DE VULNERABILIDADES Esto se hace a travs del uso de software especializado se revisa la ventana hacia Internet, los sistemas operativos de servicios crticos y las bases de datos, se detectan posibles debilidades o ventanas abiertas en los sistemas. CONSULTORA na vez realizada la consultora, la empresa recibir un informe donde se describe la situacin actual de seguridad y se recomiendan los controles adecuados para mitigar los riesgos detectados a un nivel aceptable por la organizacin; tambin se puede incluir un plan de accin para implementar los controles de seguridad recomendados. Anlisis de riesgos, definicin de polticas de seguridad y procedimientos Destinado a revisar en forma sistemtica la proteccin de los activos de informacin de su empresa, este servicio debe ser aopyado con metodologias y adems con las normas internacionales de certificaon.