lunes, 25 de abril de 2016

¿Qué ha pasado con los DDoS? (Repaso histórico)



Siempre me he quejado del abuso de las modas en ciberseguridad. Cada año una amenaza o riesgo se convierte en la conversación estrella y parece que es lo único que preocupa a las organizaciones. Se olvida todo lo demás y se invierte en productos o servicios que al poco tiempo quedan en el olvido.

Un caso extremo ha sido el de los ataques de denegación de servicio distribuidos o DDoS. Hace unos años eran el terror de las organizaciones y ahora la mayoría de responsables los han olvidado. Ya no son noticia de portada, ya no mueven tanto dinero, ya no dan tanto miedo.

¿Sera porque las organizaciones ya no son vulnerables a este tipo de ataques?

NO. La mayoría son igual de vulnerables que hace un par de años, unas cuantas han realizado inversiones en equipos o servicios para protegerse, pero muy pocas han entrenado y han puesto realmente en forma sus defensas.

Mientras tanto los “malos” si han mejorado sus técnicas y profesionalizado sus estrategias.

Los DDoS han seguido el proceso habitual de evolución de la mayoría de amenazas importantes a nivel de ciberseguridad. También las tecnologías de protección asociadas, aunque tal vez con un ritmo mayor del habitual:

Fase inicial: Finales de los 90 y principios de los 2000

Es difícil encontrar cual fue el primer ataque DDoS a gran escala. Por aquella época ya eran habituales los ataques distribuidos contra servidores de IRC.

La amenaza era poco conocida, solo algunos aficionados empiezan a probar el potencial de daño de estos ataques. Las técnicas son muy básicas y hay pocas herramientas disponibles y son muy sencillas (pruebas de concepto en su mayoría).

En 1996 se publica el primer exploit para hacer ataques de Ping-of-Death, que se basa en el envío de paquetes ICMP de gran tamaño y cuya técnica luego será utilizada como base en multitud de ataques DDoS.

También en 1996 se publica la primera prueba de concepto para realizar ataques de TCP SYN-FLOOD, aunque esta técnica se conocía ya anteriormente.

En 1997 se publica el código original del ataque SMURF (DDoS mediante reflexión de ICMP).

Ejemplo de ataque SMURF, uno de los primeros ataques DDoS por reflexión:



Fase de impacto: Mediados de los 2000

Algunos sitios importantes tales como Yahoo, eBay, CNN, Amazon o ZDNet, son víctimas de ataques realizados por aficionados o pequeños grupos. Todavía la finalidad de muchos de estos ataques no es económica.

Se empiezan a organizar unos pocos grupos profesionales que realizan los ataques de forma planificada y causan un gran impacto en sus objetivos ya que estos no están aún preparados ante el nuevo tipo de ataques. Las técnicas siguen siendo básicas, pero las herramientas empiezan a ser más avanzadas.

La mayoría de ataques son aun de tipo volumétrico pero empiezan a utilizarse cada vez más ataques a nivel de aplicación.

En 2004 se publica la primera versión de LOIC una herramienta para hacer DDoS de manera colaborativa. Esta herramienta y algunas de sus variantes han sido utilizadas habitualmente por grupos hacktivistas.

En 2005 se produce el primer ataque DDoS realizado mediante reflexión de DNS.

En 2006 se publican varias herramientas para realizar ataques mediante reflexión de DNS y NTP.

Fase de revolución: Finales de los 2000 y principios de los 2010

Los cibercriminales descubren la facilidad de realizar ataques DDoS y empiezan a monetizar de forma masiva los mismos mediante extorsión.

Los grupos hacktivistas también empiezan a utilizar de forma habitual los ataques DDoS de manera organizada.

Demostrado el gran impacto de esta amenaza, todo el mundo quiere subirse al carro. Por parte de los atacantes, se crean muchos grupos de aficionados y profesionales que quieren sacar partido de este ataque de moda. También aparecen multitud de vendedores de productos y servicios para intentar solventar el problema. Las técnicas empiezan a mejorarse, pero siguen siendo relativamente básicas. Se produce un aumento en el número y la complejidad de las herramientas disponibles.

En abril de 2007 se producen una serie de ataques de DoS coordinados contra Estonia, inundado los sitios web de las principales empresas y organismos. Los ataques fueron realizados mediante Ping floods, Smurf y otros ataques volumétricos. Este fue uno de los primeros ataques masivos atribuidos a una organización criminal promovida por un gobierno.

En 2009 se publica el código original del ataque Slowloris, ataque que demostró la posibilidad de provocar un gran impacto a nivel de aplicación incluso con un bajo flujo de conexiones.

Fase de madurez: Desde mediados de los 2010

Los cibercriminales tienen acceso a una gran variedad de métodos para realizar DDoS.

Se produce un proceso de selección en ambos bandos. Quedan menos grupos atacando, pero son más profesionales y el volumen de negocio prácticamente se mantiene. Quedan menos fabricantes y desparecen los “vendedores de humo”. Empiezan a utilizarse técnicas avanzadas pero las herramientas de código libre dejan de evolucionar o se hacen de pago.

A principios de 2013 se produce un ataque masivo contra Spamhaus que llega a picos de 85Gbps, generados mayoritariamente mediante amplificación de DNS.

También en 2013 se produce la caída de varios sitios web públicos de la OTAN, debido a un ataque DDoS realizado de forma organizada como resultado de las tensiones sobre Crimea. También atribuido a organizaciones criminales afines al gobierno ruso.

En Febrero de 2014 Cloudflare sufre un ataque que llega a picos de 325Gbps, realizado mediante reflexión de NTP.

En abril de 2015 se detecta un ataque que llega a los 334Gbps contra un operador de red de Asia, utilizando también técnicas de amplificación de protocolos UDP.

A finales de 2015 el grupo Anonymous reclama la autoría de un ataque de 40Gbps contra servidores en Turquía, en represalia por su supuesto apoyo al Daesh. Este es uno de los múltiples DDoS organizados por este grupo en los últimos años, aunque no suelen ser ataques demasiado exitosos en comparación con los realizados por organizaciones profesionales.

En enero de 2016 se produce un ataque contra varios sitios asociados a la BBC, alcanzando picos de 602Gbps, supuestamente utilizando servidores hospedados en Amazon AWS.

Evolución del volumen máximo de los ataques DDoS publicados:

 
Desde el punto de vista de la ciberdefensa el uso de DDoS con motivaciones políticas o terroristas empieza a ser habitual, aunque queda eclipsado en los medios de comunicación por los ataques realizados con fines económicos que suelen ser más voluminosos, aunque de menor duración.

A la hora de prevenir estos ataques es necesario conocer sus diversas formas y motivaciones, con el fin de disponer de los medios técnicos necesarios para contrarrestarlos en caso de que se produzcan.