¿Qué está pasando dentro de ese cerebro enrutador suyo?Sean Gallup / Getty Images El popular portal web de derecha, El informe Drudge , se desconectó brevemente la semana pasada. Incidentes como este solo se volverán más comunes hasta que los legisladores o las empresas de tecnología se tomen en serio la reparación de dispositivos conectados, también conocido como Internet de las cosas (IoT).
En una publicación eliminada desde entonces, la cuenta @DRUDGE verificada del sitio en Twitter publicó la semana pasada: ¿Está atacando el gobierno de EE. UU. DRUDGE REPORT? El mayor DDoS desde el inicio del sitio. Enrutamiento [y tiempo] MUY sospechosos, ya que International Business Times informó .
El Drudge Report no respondió a una solicitud el viernes de más detalles sobre el momento y el enrutamiento sospechosos.
El tráfico del Drudge Report es gigantesco. Web similar estimó que vio 178 millones de visitas en noviembre y que casi el 80 por ciento de ese tráfico fue directo. En otras palabras, en lugar de hacer clic en Facebook o encontrarlo en la búsqueda, los visitantes escribieron la URL directamente en su navegador o la configuraron como la página que abre su navegador al iniciarse.
No se puede subestimar la importancia de Drudge para otros editores. Además de su capacidad para dirigir una manguera contra incendios hacia otros sitios, la cuidadosa selección de su fundador, Matt Drudge, actúa como una especie de sello de aprobación para los sitios que buscan la aprobación de una de las pocas personas en los medios estadounidenses capaces de conduciendo por sí solo la conversación nacional.
Para aquellos que no lo han visitado, el sitio está abrumadoramente dedicado a enlaces a otros sitios. Plataforma de analítica web Parse.ly estima actualmente que el 0,7 por ciento de todo el tráfico de referencia a los sitios que supervisa proviene de Drudge. Eso es tres veces más que Reddit, solo un 0,1 por ciento por detrás de Google News.
¿Qué es un ataque DDoS?
El término se ha difundido tanto últimamente que la gente puede leerlo sin saber de qué se trata. A menudo denominado truco, es algo discutible. Algunos podrían argumentar que un ataque DDoS no es más un truco de lo que patear una puerta es abrir una cerradura.
DDoS se refiere a la denegación de servicio distribuida. Abruma un sitio (o nodo de red) con tráfico de múltiples fuentes. Hay tanto tráfico que el sitio deja de estar disponible para los visitantes legítimos, pero un ataque DDoS no afecta al sitio en sí (además de agotar potencialmente su presupuesto de alojamiento). Una vez que finaliza un ataque DDoS, el sitio está allí, igual que siempre, sin daños.
Bruce Schneier describió un ataque DDoS en términos del mundo real Por aquí : imagine que un grupo de personas llama a todos los servicios de reparto de la ciudad a la vez y les pide que le entreguen algo en su casa. Su casa está bien, pero nadie puede llegar a ella porque las carreteras a su alrededor están obstruidas.
En ese sentido, los ataques DDoS en realidad no piratean el sitio de destino. Sin embargo, hay muchas formas de construir un sistema DDoS y ahí es donde entra en juego la inteligencia.
En estos días, los sistemas DDoS se basan en piratear sus armas, que son dispositivos comprometidos conectados a Internet (como enrutadores, impresoras, televisores, etc.). Irónicamente, las cámaras de seguridad son probablemente el mas peligroso . Los consumidores compran dispositivos inteligentes para el hogar, nunca cambian el nombre de usuario y la contraseña de fábrica y eso los deja vulnerables al acceso remoto por parte de software criminal.
El software encuentra estos dispositivos, les pone un código y luego los dirige para que envíen solicitudes a direcciones IP específicas cuando se produce un ataque. El usuario del dispositivo probablemente no se dará cuenta. Una solicitud de cualquier dispositivo tampoco sería suficiente para afectar un sitio, pero cuando se multiplica por cientos de miles, puede ser suficiente para cerrar un sitio.
Este método se llama botnet. Su monitor para bebés o su refrigerador inteligente podrían estar contribuyendo a los ataques de botnet y usted no tendría ni idea.
Anteriormente informamos sobre tres estrategias para vencer a las botnets.
¿Quién golpeó el Drudge Report?
Esta es básicamente una pregunta imposible de responder, tal es la naturaleza agravante de un ataque distribuido. Los piratas informáticos dificultan la atribución del atacante mediante el código abierto de su software. La botnet Mirai, por ejemplo, que tomó el servicio de infraestructura de Internet Tu desconectado en octubre, es de código abierto. Configurar una botnet no es trivial, pero la disponibilidad del código significa que hay más de unos pocos adversarios que pueden usar el software.
El ataque al sitio parece haber sido breve según los informes. IB Times escribió que comenzó alrededor de las 7 p.m. La Washington Times revisado a las 8:30 PM y fue una copia de seguridad, por lo que no pudo haber pasado más de 90 minutos.
Hay sitios DDoS para alquiler que lanzarán cientos de gigabits de tráfico de ataque en un sitio y cobrarán por minuto, Matthew Prince, CEO de Cloudflare , una empresa que ayuda a los sitios a mitigar los ataques DDoS, escribió en un correo electrónico. El costo de estos servicios es relativamente bajo, probablemente menos de $ 1,000 por un ataque de 90 minutos. Drudge Report no es un cliente de Cloudflare.
Si supiéramos más sobre la naturaleza del ataque, la sofisticación del adversario podría indicar algo sobre su identidad.
El número de actores que pueden perpetrar los ataques más avanzados sigue siendo bastante limitado, Andy Yen, cofundador de Protonmail , le dijo al Braganca en un correo electrónico. Generalmente, la sofisticación del ataque es un buen indicador, por ejemplo, cuáles son los vectores de ataque, cuántos puntos de red están siendo atacados simultáneamente y qué tan rápido los atacantes pueden contrarrestar las medidas defensivas.
Protonmail proporciona servicios de correo electrónico cifrados. Su sistema de comunicación inexpugnable ha puesto un objetivo en su espalda. En 2015, fue golpeado por un ataque DDoS dos por uno, como informó el Braganca. Yen explicó que la compañía sabía que el mayor de los dos hits era malo cuando quedó claro que sus atacantes estaban atacando varios nodos europeos para dificultar que el servicio enrutara el tráfico a su alrededor. Ese tipo de sofisticación indicaba que era atribuible a algo más sofisticado que una banda cibernética, tal vez incluso un estado-nación.
¿Empeorarán los ataques DDoS?
Parece así, pero no todo el mundo está de acuerdo.
Verisign acaba de publicar un informe que dice que el número de los ataques han ido bajando , incluso cuando su tamaño había aumentado. Los clientes de Verisign vieron ataques mucho mayores este año en comparación con el año pasado, pero los ataques también se han reducido a medida que avanzaba el año. El informe solo abarca el tercer trimestre del año pasado, por debajo del período de tiempo que incluyó los ataques épicos contra Krebs y Dyn; sin embargo, Verisign observó un ataque que estableció un récord en uno de sus clientes durante ese período de tiempo.
Hay pocos incentivos de mercado para solucionar el problema, ya que Schneier explicó en su blog. Un consumidor compra una cámara niñera conectada. Lo revisa en su teléfono de vez en cuando. Parece funcionar. Él está feliz. Su fabricante ya ha sido pagado. Es feliz. Mientras tanto, envía uno de los millones de pings a algún sitio que está siendo atacado. La víctima del ataque no participó en absoluto en esta transacción.
Cada día, más ciberdelincuentes ingresan al negocio de DDoS como servicio, mientras los gobiernos y los fabricantes de hardware se entretienen. The Merkle informa que la línea de negocio solo se está volviendo más rentable. De hecho, los veteranos están ganando dinero no ejecutando ataques, sino porque otros atacantes les pagan para ayudarlos. Empezar .
Con el código fuente de Mirai de código abierto y su eficacia probada, más personas que buscan dinero rápido se están metiendo en él. Con más jugadores en el mercado, el precio bajará. Los profesionales comenzarán a modificar Mirai y otras bases de código y evolucionará. De hecho, Imperva ya ha detectado un nuevo cañón de botnet de 650 Gbps cuya firma difiere de Mirai.
Como ha informado Brian Krebs (cuyo sitio fue golpeado por su propio ataque gigante el año pasado), muchos dispositivos de IoT han comenzó a requerir un cambio la contraseña predeterminada en la configuración. Eso está muy bien, pero a la gente no se le da bien elegir contraseñas. Busque la próxima iteración de Mirai, pruebe las 1000 contraseñas más utilizadas. Eventualmente, podrían usar IA para adivinar contraseñas.
Además, los productos nuevos no se adaptan a los dispositivos antiguos que los usuarios ni siquiera recuerdan están conectados a Internet. ¿Cuántos miles de pequeñas empresas tienen enrutadores e impresoras en las que realmente no han pensado durante años y definitivamente no tienen tiempo para pensar en la actualidad?
¿Qué puedo hacer?
No mucho, pero esto no estaría de más: averigüe cómo acceder al aspecto administrativo de cada dispositivo que haya conectado a Internet. Apágalo. Desenchúfelo. Vuelva a encenderlo, inicie sesión en el back-end y cambie la contraseña a algo extraño.
Hacerles saber a sus líderes electos que le gustaría ver leyes y regulaciones que requieran que los fabricantes de dispositivos conectados protejan Internet tampoco estaría de más.
