Siempre me he quejado del abuso de las
modas en ciberseguridad. Cada año una amenaza o riesgo se convierte en la
conversación estrella y parece que es lo único que preocupa a las
organizaciones. Se olvida todo lo demás y se invierte en productos o servicios
que al poco tiempo quedan en el olvido.
Un caso extremo ha sido el de los ataques
de denegación de servicio distribuidos o DDoS. Hace unos años eran el terror de
las organizaciones y ahora la mayoría de responsables los han olvidado. Ya no
son noticia de portada, ya no mueven tanto dinero, ya no dan tanto miedo.
¿Sera porque las organizaciones ya no son
vulnerables a este tipo de ataques?
NO. La mayoría son igual de vulnerables
que hace un par de años, unas cuantas han realizado inversiones en equipos o
servicios para protegerse, pero muy pocas han entrenado y han puesto realmente
en forma sus defensas.
Mientras tanto los “malos” si han mejorado
sus técnicas y profesionalizado sus estrategias.
Los DDoS han seguido el proceso habitual
de evolución de la mayoría de amenazas importantes a nivel de ciberseguridad.
También las tecnologías de protección asociadas, aunque tal vez con un ritmo
mayor del habitual:
Fase inicial: Finales de los 90 y principios de los 2000
Es difícil encontrar cual fue el primer
ataque DDoS a gran escala. Por aquella época ya eran habituales los ataques
distribuidos contra servidores de IRC.
La amenaza era poco conocida, solo algunos
aficionados empiezan a probar el potencial de daño de estos ataques. Las técnicas
son muy básicas y hay pocas herramientas disponibles y son muy sencillas
(pruebas de concepto en su mayoría).
En 1996 se publica el primer exploit para
hacer ataques de Ping-of-Death, que se basa en el envío de paquetes ICMP de
gran tamaño y cuya técnica luego será utilizada como base en multitud de
ataques DDoS.
También en 1996 se publica la primera
prueba de concepto para realizar ataques de TCP SYN-FLOOD, aunque esta técnica
se conocía ya anteriormente.
En 1997 se publica el código original del
ataque SMURF (DDoS mediante reflexión de ICMP).
Ejemplo de ataque SMURF, uno de los
primeros ataques DDoS por reflexión:
Fase de impacto: Mediados de los 2000
Algunos sitios importantes tales como
Yahoo, eBay, CNN, Amazon o ZDNet, son víctimas de ataques realizados por
aficionados o pequeños grupos. Todavía la finalidad de muchos de estos ataques
no es económica.
Se empiezan a organizar unos pocos grupos
profesionales que realizan los ataques de forma planificada y causan un gran
impacto en sus objetivos ya que estos no están aún preparados ante el nuevo
tipo de ataques. Las técnicas siguen siendo básicas, pero las herramientas
empiezan a ser más avanzadas.
La mayoría de ataques son aun de tipo
volumétrico pero empiezan a utilizarse cada vez más ataques a nivel de
aplicación.
En 2004 se publica la primera versión de
LOIC una herramienta para hacer DDoS de manera colaborativa. Esta herramienta y
algunas de sus variantes han sido utilizadas habitualmente por grupos
hacktivistas.
En 2005 se produce el primer ataque DDoS
realizado mediante reflexión de DNS.
En 2006 se publican varias herramientas
para realizar ataques mediante reflexión de DNS y NTP.
Fase de revolución: Finales de los 2000 y principios de los 2010
Los cibercriminales descubren la facilidad
de realizar ataques DDoS y empiezan a monetizar de forma masiva los mismos
mediante extorsión.
Los grupos hacktivistas también empiezan a
utilizar de forma habitual los ataques DDoS de manera organizada.
Demostrado el gran impacto de esta
amenaza, todo el mundo quiere subirse al carro. Por parte de los atacantes, se
crean muchos grupos de aficionados y profesionales que quieren sacar partido de
este ataque de moda. También aparecen multitud de vendedores de productos y
servicios para intentar solventar el problema. Las técnicas empiezan a
mejorarse, pero siguen siendo relativamente básicas. Se produce un aumento en
el número y la complejidad de las herramientas disponibles.
En abril de 2007 se producen una serie de ataques
de DoS coordinados contra Estonia, inundado los sitios web de las principales
empresas y organismos. Los ataques fueron realizados mediante Ping floods,
Smurf y otros ataques volumétricos. Este fue uno de los primeros ataques
masivos atribuidos a una organización criminal promovida por un gobierno.
En 2009 se publica el código original del
ataque Slowloris, ataque que demostró la posibilidad de provocar un gran
impacto a nivel de aplicación incluso con un bajo flujo de conexiones.
Fase de madurez: Desde mediados de los 2010
Los cibercriminales tienen acceso a una
gran variedad de métodos para realizar DDoS.
Se produce un proceso de selección en
ambos bandos. Quedan menos grupos atacando, pero son más profesionales y el
volumen de negocio prácticamente se mantiene. Quedan menos fabricantes y
desparecen los “vendedores de humo”. Empiezan a utilizarse técnicas avanzadas
pero las herramientas de código libre dejan de evolucionar o se hacen de pago.
A principios de 2013 se produce un ataque
masivo contra Spamhaus que llega a picos de 85Gbps, generados mayoritariamente
mediante amplificación de DNS.
También en 2013 se produce la caída de varios
sitios web públicos de la OTAN, debido a un ataque DDoS realizado de forma
organizada como resultado de las tensiones sobre Crimea. También atribuido a
organizaciones criminales afines al gobierno ruso.
En Febrero de 2014 Cloudflare sufre un
ataque que llega a picos de 325Gbps, realizado mediante reflexión de NTP.
En abril de 2015 se detecta un ataque que
llega a los 334Gbps contra un operador de red de Asia, utilizando también
técnicas de amplificación de protocolos UDP.
A finales de 2015 el grupo Anonymous
reclama la autoría de un ataque de 40Gbps contra servidores en Turquía, en
represalia por su supuesto apoyo al Daesh. Este es uno de los múltiples DDoS
organizados por este grupo en los últimos años, aunque no suelen ser ataques
demasiado exitosos en comparación con los realizados por organizaciones profesionales.
En enero de 2016 se produce un ataque
contra varios sitios asociados a la BBC, alcanzando picos de 602Gbps, supuestamente
utilizando servidores hospedados en Amazon AWS.
Evolución del volumen máximo de los
ataques DDoS publicados:
Desde el punto de vista de la ciberdefensa
el uso de DDoS con motivaciones políticas o terroristas empieza a ser habitual,
aunque queda eclipsado en los medios de comunicación por los ataques realizados
con fines económicos que suelen ser más voluminosos, aunque de menor duración.
A la hora de prevenir estos ataques es
necesario conocer sus diversas formas y motivaciones, con el fin de disponer de
los medios técnicos necesarios para contrarrestarlos en caso de que se
produzcan.