El Internet de las cosas peligrosas: Krebs sobre la seguridad

Los ataques de denegación de servicio distribuido (DDoS) diseñados para silenciar a los usuarios finales y dejar de lado los sitios web crecieron con una frecuencia y un tamaño alarmantes el año pasado, según nuevos datos publicados esta semana. Esos hallazgos encajan muy de cerca con los patrones de ataque observados contra este sitio web durante el último año.

Redes de árboles, un importante proveedor de servicios para ayudar a bloquear los ataques DDoS, encuestó a casi 300 empresas y descubrió que el 38 % de los encuestados vio más de 21 ataques DDoS al mes. Eso es más que una cuarta parte de todos los encuestados que informaron 21 o más ataques DDoS el año anterior.

KrebsOnSecurity está directamente dentro de ese campo del 38 por ciento: solo en el mes de diciembre de 2014, proléxico (el Akamaipropiedad de una empresa que protege mi sitio de ataques DDoS) registró 26 ataques distintos en mi sitio. Eso es casi un ataque por día, pero dado que muchos de los ataques duraron varios días, el sitio estuvo virtualmente bajo ataques constantes durante todo el mes.

Fuente: Arbor Networks

Fuente: Arbor Networks

Arbor también descubrió que los atacantes continúan usando técnicas de reflexión/amplificación para crear ataques gigantescos. El mayor ataque informado fue de 400 Gbps, y otros encuestados informaron ataques de 300 Gbps, 200 Gbps y 170 Gbps. Otros seis encuestados informaron eventos que excedieron el umbral de 100 Gbps. En febrero de 2014, escribí sobre el ataque más grande en este sitio hasta la fecha, que registró apenas 200 Gbps.

Según Arbor, las tres motivaciones principales detrás de los ataques siguen siendo el nihilismo, el vandalismo, los juegos en línea y el hacktivismo ideológico, todos los cuales, según la compañía, han estado entre los tres primeros durante los últimos años.

“Los juegos han ganado en porcentaje, lo que no sorprende dada la cantidad de campañas de ataque de alto perfil relacionadas con los juegos este año”, concluye el informe.

Ataques DDoS en KrebsOnSecurity.com, registrados por Akamai/Prolexic entre el 17/10/14 y el 26/1/15.

Ataques DDoS en KrebsOnSecurity.com, registrados por Akamai/Prolexic entre el 17/10/14 y el 26/1/15.

Los lectores veteranos de este blog probablemente recordarán que he escrito muchas historias en el último año sobre el aumento dramático en los servicios DDoS de alquiler (también conocidos como «booters» o «stressers»). De hecho, el lunes publiqué Propagación de la enfermedad y venta de la cura, que presentaba el perfil de dos jóvenes que ejecutaban múltiples servicios DDoS por contrato y vendían servicios para ayudar a defenderse contra tales ataques.

La gran mayoría de los clientes parecen ser jugadores que utilizan estos servicios DDoS de alquiler para saldar cuentas o rencores contra los competidores; muchos de estos servicios de ataque han sido pirateados a lo largo de los años, y las bases de datos de clientes back-end filtradas casi siempre muestran que un gran porcentaje de los objetivos de ataque son usuarios de Internet individuales o servidores de juegos en línea (particularmente Minecraft servidores). Sin embargo, muchos de estos servicios son capaces de lanzar ataques considerablemente grandes, de más de 75 Gbps a 100 Gpbs, contra prácticamente cualquier objetivo en línea.

Como señala Arbor, algunos de los mayores ataques aprovechan el hardware basado en Internet, desde consolas de juegos hasta enrutadores y módems, que se envía con funciones de red de las que se puede abusar fácilmente para ataques y que están activadas de forma predeterminada. Quizás apropiadamente, los ataques más grandes que afectaron a mi sitio en los últimos cuatro meses se conocen como ataques SSDP porque aprovechan la Protocolo de descubrimiento de servicio simple — un componente del estándar Universal Plug and Play (UPnP) que permite que los dispositivos en red (como las consolas de juegos) se conecten entre sí sin problemas.

En un aviso publicado en octubre de 2014Akamai advirtió sobre un aumento en la cantidad de dispositivos habilitados para UPnP que se estaban utilizando para amplificar lo que de otro modo serían ataques relativamente pequeños en ataques en línea de gran tamaño.

Akamai dijo que descubrió que 4,1 millones de dispositivos UPnP orientados a Internet eran potencialmente vulnerables a ser empleados en este tipo de ataque DDoS de reflexión. alrededor del 38 por ciento de los 11 millones de dispositivos en uso en todo el mundo. La compañía dijo que estaba dispuesta a compartir la lista de dispositivos potencialmente explotables con los miembros de la comunidad de seguridad en un esfuerzo por colaborar con los esfuerzos de limpieza y mitigación de esta amenaza.

Esa es exactamente la respuesta que necesitamos, porque todos los días hay nuevos servicios DDoS de alquiler en línea, y hay decenas de millones de dispositivos mal configurados o mal configurados que pueden ser objeto de abusos similares para lanzar ataques devastadores. De acuerdo con la Proyecto de resolución abiertaun sitio que rastrea dispositivos de los que se puede abusar para ayudar a lanzar ataques en línea, actualmente hay más de 28 millones de dispositivos conectados a Internet de los que los atacantes pueden abusar para usarlos en ataques completamente anónimos.

A los expertos en tecnología y a las Cassandras del mundo les gusta retorcerse las manos y opinar sobre la amenaza que se avecina del llamado «Internet de las cosas», los posibles problemas de seguridad introducidos por la proliferación de dispositivos conscientes de la red, desde rastreadores de actividad física hasta dispositivos conectados a Internet. accesorios. Pero Desde mi punto de vista, la verdadera amenaza proviene del Internet de las cosas que ya tenemos y necesitan ser reparadas hoy.

En mi opinión, este es un problema masivo que merece una respuesta internacional y coordinada. Actualmente tenemos esfuerzos de vacunación global para erradicar enfermedades infecciosas y transmisibles pero tratables. Desafortunadamente, probablemente necesitemos un tipo de respuesta similar para lidiar con el problema global de los dispositivos que pueden ser reclutados en cualquier momento para unirse a un flash mob virtual capaz de lanzar ataques que pueden dejar fuera de línea a casi cualquier objetivo durante horas o días.

Cualquiera que necesite un recordatorio de cuán grave es el problema solo necesita mirar los ataques del día de Navidad de 2014 que eliminaron las redes de juegos Sony Playstation y Microsoft Xbox. Por supuesto, esas empresas ya estaban tratando con decenas de millones de nuevos clientes ese mismo día, pero como señalé en mi exclusiva del 9 de enero, el servicio DDoS de alquiler implicado en ese ataque (o al menos los atacantes) se construyó utilizando unos pocos miles de enrutadores de Internet domésticos secuestrados.

[Author’s note: The headline for this post was inspired by Glenn Fleishman‘s excellent Jan. 13, 2015 piece in MIT Technology Review, An Internet of Treacherous Things.]

Deja un comentario