Grupos como Anonymous y LulzSec reclutan a un gran número de seguidores, voluntarios y víctimas, a través de redes sociales o foros por medio de herramientas como Low Orbit ION Cannot, (LOIC), High Orbit, ION Cannon (HOIC), RefRef DoS Tool, y JavaScript LOIC.
Los ataques de denegación de servicio, identificados como la principal herramienta online de “protesta” en contra de organizaciones públicas y privadas, se han convertido en un foco de alerta para administradores de TI y de seguridad. Grupos como Anonymous han forzado a empresas e instituciones a pensar en alternativas para detectar, mitigar y/o bloquear el tráfico originado por estos ataques.
Un ataque de denegación de este tipo es generado mediante la saturación o sobrecarga de un servicio o recurso, de forma que éste deja de responder, se vuelve más lento o funciona de forma intermitente. Estos ataques se producen cuando cientos o miles de computadoras se conectan a un servicio y el servidor ya no es capaz de responder a cada una de las solicitudes, y termina por dejar de responder –a esta acción se le denomina denegación– volviéndose inaccesible para otros usuarios posiblemente legítimos.
En el proceso de denegación, las conexiones y ancho de banda consumido provocan la pérdida de la conectividad de la red de la víctima. En sí la eficacia del ataque se basa en la cantidad de atacantes y en el ancho de banda utilizada por cada uno de ellos. Por ejemplo: un número de 500 computadoras atacantes, cada una con conexión DSL y con un ancho de banda de 128 Kb/seg. se traduce aproximadamente en el tamaño de 40 líneas T1 (1,544 MB/seg.).
Según el número de atacantes y su ancho de banda promedio, pueden producir cambios en el volumen del tráfico, llegando a poder inundar fácilmente redes de cualquier tamaño. Debido a este alcance, cualquier compañía puede ser víctima de este tipo de ataques sin importar el tamaño de la organización o de la red, independientemente de los servicios brindados, los recursos disponibles o las herramientas utilizadas por parte de los atacantes.
Las amenazas de denegación de servicios cada vez se hacen más populares entre la sociedad y, especialmente, entre los activistas. Ya sean ataques aislados, parte del ciberterrorismo o la ciberguerra, está previsto que su implementación continué por bastante tiempo. En el último mes, las ofensivas a los sitios web en el país aumentaron 300 por ciento, principalmente de sitios relacionados con los partidos, candidatos e instituciones de gobierno.
Para detenerlos es necesario identificarlos
Existen dos tipos de ataque:
Lógicos: buscan vulnerabilidades en el sistema operativo o en una aplicación del equipo propenso a ataques de denegación de servicio. Un caso muy conocido fue la vulnerabilidad que afectaba a todas las versiones de sistemas operativos Windows.NET Framework en diciembre de 2011.
Inundación: generan un gran flujo de información desde varios puntos de conexión. Este tipo de ataques no siempre pueden detectarse fácilmente a través de enfoques basados en reglas ya que la diferencia entre una solicitud maliciosa y una legítima es mínima o nula.
¿Cómo estar protegido?
Al enfrentarse a un atacante avanzado debe pensarse en métodos estadísticos y contextuales. De esta forma se pueden realizar las siguientes actividades:
- Monitoreo: una detección pasiva que proporcione visibilidad en tiempo real de servicios, sistemas operativos, flujos de tráfico y vulnerabilidad, entre otros.
- Perfiles de tráfico: conocimiento de la red que permita analizar y definir una línea base que sea utilizada para la detección de picos inusuales e intentos de conexión.
- Modelado de flujos: con datos estadísticos es posible detectar conexiones inusuales, duraciones inusuales por números de bytes transferidos, es decir, el flujo relacionado con diferentes anomalías generadas.
Otras medidas a considerar son el limitar el número de conexiones desde un origen determinado, limitar las conexiones realizadas por segundo, bloquear/ignorar temporal o definitivamente las direcciones IP identificadas como posibles atacantes, y considerar políticas de filtrado de salida.
He aquí una serie de mejores prácticas que las empresas pueden implementar para mitigar el riesgo de sufrir ataques de denegación de servicio:
1. Crear un Plan de Respuesta: En un programa de respuesta idóneo se describen los pasos que las organizaciones deben seguir en caso de que su infraestructura de TI se vea comprometida.
2. Defensa contra ataques de Denegación de Servicio: Las soluciones de prevención deben ser instaladas inmediatamente frente a las aplicaciones y los servidores de bases de datos, para lograr una respuesta, así como para detectar y desviar los cada vez más frecuentes ataques orientados a la capa de aplicación.
3. Proteger la infraestructura DNS: El DNS es un sistema de nombres distribuido que permite el acceso a Internet mediante el uso de denominaciones reconocibles y fáciles de recordar. Si el atacante consigue alterar las operaciones del DNS, todos los servicios de las víctimas pueden desaparecer de internet.
4. Conocer el comportamiento del tráfico: La detección de los ataques más insidiosos requiere de un conocimiento profundo del comportamiento de los flujos (conversaciones), permitiendo establecer perfiles de tráfico legítimo para identificar el tráfico sospechoso y responder en consecuencia.
5. Mantener un plan de vigilancia continuo: Si se espera a que una aplicación deje de responder antes de tomar cartas en el asunto, será demasiado tarde.
Por Josué Hernandez, Ingeniero en Sistemas de Sourcefire México.