"La vejez es la pérdida de la curiosidad"

[ José Martínez Ruiz Azorín - Novelista y crítico español - 1873-1967 ]


Boletín 177 - Evitar ataque de DDoS de Anonymous, entre otros - 17/09/2011



ÚLTIMAS VACANTES para el curso de "Modelado de Amenazas aplicado al Ciclo de Vida del Desarrollo del Software orientado al OWASP Top 10" que dictaré en la ciudad de ROSARIO (Argentina) el próximo 23 y 24 de septiembre.

El grupo Anonymous sigue asolando distintos sitios gubernamentales de todo América Latina tal y como puede consultarse en nuestro Blog.

En este Boletín te contamos cómo evitar los ataques de DDoS a los cuales se ven expuestas estas organizaciones.

Además te explicamos las distintas vulnerabilidades, errores y "funcionalidades" que hacen de Facebook una herramienta peligrosa para tu privacidad e intimidad.



1. Evitar ataque de DDoS de Anonymous, entre otros
2. Los "errores" en Facebook hacen pagar a los usuarios con su privacidad
3. Segu-Info busca autores
4. Apoya a Segu-Kids, Juntos en la Red
5. Desafío de la semana



1. Evitar ataque de DDoS de Anonymous, entre otros

Los ataques de Denegación de Servicio Distribuidos (DDoS por sus siglas en inglés) siempre han sido una pesadilla para los administradores de IT y seguridad y desde la popularización de este tipo de ataques por parte del grupo Anonymous, utilizado como su principal herramienta de "protesta", miles de organizaciones públicas y privadas de todo el mundo han tenido que comenzar a pensar seriamente en alternativas para detectar, mitigar y/o bloquear la tormenta de tráfico desatada por estos ataques.

Algunos ejemplos de estos ataques recientes se pueden encontrar en el Blog de Segu-Info:

En forma general, un ataque de Denegación de Servicio (DoS por sus siglas en inglés) [1] se genera mediante la saturación o sobrecarga de un servicio o recurso, de forma tal que el mismo deja de responder, lo hace en forma intermitente o más lento que de lo normal.

Un ataque de DDoS se produce cuando cientos o miles de computadoras se conectan a un servicio y, como el servidor no es capaz de responder a cada una de las solicitudes deja de responder (denegación) y se vuelve inaccesible para los posibles usuarios legítimos. Generalmente las conexiones y ancho de banda consumido provoca la pérdida de la conectividad de la red de la víctima.

La eficiencia del ataque se basa en la cantidad de atacantes y en el ancho de banda utilizado por cada uno de ellos. En un ejemplo publicado por Microsoft suponen lo siguiente:

Con esto se puede generar 500 * 128 Kb/seg. = 64000 Kb/seg. = 62,5 MB/seg. Esto es aproximadamente el tamaño de 40 líneas T1 (1,544 MB/seg.). Por supuesto variando el número de atacantes y su ancho de banda promedio, se producen cambios en el volumen de tráfico y así se podría inundar fácilmente redes de cualquier tamaño.

Si bien el ataque más conocido y realizado en la actualidad es al servicio web, se puede realizar sobre cualquier recurso de la víctima, desde el correo electrónico (e-mail bombing), tiempos de procesamiento, espacio de almacenamiento, teléfono, fax, etc.

La saturación simplemente obedece a afectar de alguna forma la ejecución normal de tareas por parte del afectado, lo cual finalmente impacta en su imagen y en los beneficios del negocio.

En caso de una entidad pública o gubernamental este tipo de ataques puede afectar seriamente a las operaciones que la entidad brinda a los ciudadanos y por eso se utiliza como medio de reclamo y protesta ya que el impacto es público, masivo y multiplicador.

NOTA: es importante destacar que existen otros tipos de ataques de DDoS más sofisticados y/o efectivos [2] pero que quedan fuera de este artículo por no ser utilizados masivamente por Anonymous o por no "estar al alcance" de un usuario normal.

En la actualidad estos ataques se pueden realizar de diversas maneras pero se destaca el uso y alquiler de Botnet: la infección de miles de usuarios permite utilizar esos recursos como herramienta de ataque por parte de un delincuente en el momento que se desee. Básicamente cualquier usuario, infectado por un troyano del tipo Bot, puede formar parte de un ataque dirigido a una organización y, sin saberlo ser "cómplice" de la comisión de delitos con alcance internacional.

Por otro lado se ven potenciados y facilitados por el uso de herramientas (point-and-click) diseñadas para tal fin y sin ningún nivel de sofisticación. Este es el caso de las aplicaciones Open-Source HOIC (High Orbit Ion Cannon) y LOIC (Low Orbit Ion Cannon) [3] publicadas por parte de Anonymous y que, a través de canales IRC, coloca los ataques de DDoS al alcance de cualquier usuario sin conocimientos para que "se puedan realizar reclamos de manera masiva", como aquellos contra diversas empresas privadas (Visa, MasterCard, PayPal, Amazon, etc.) en el caso Wikileaks a finales de 2010 y contra organismos públicos de diferentes países en los últimos meses.

A través del uso de las herramientas mencionadas, todos los participantes del ataque realizan miles de conexiones HTTP (peticiones GET) TCP/UDP hacia los servidores víctimas, de modo que el servicio web deja de responder. La cantidad de atacantes necesarios dependerá del ancho de banda y recursos del servidor atacado, yendo de pocos cientos en el caso de un servidor de una PyME, a miles, en el caso de servicios de alta disponibilidad.

Cuando muchos o todos los usuarios cesan el ataque (o cierran la aplicación), el servicio se restablece, en teoría, sin ningún tipo de acción por parte de los administradores ni de daño físico ni lógico a los servidores de la organización.

En otros casos de ataques extremos, como el realizado contra WordPress en marzo, "se enviaron varios gigabits y decenas de millones de paquetes por segundo", lo cual podría obedecer a varios factores, desde la motivación política, el uso de herramientas gratuitas y, la combinación de Botnet con varios miles de usuarios infectados.

En la siguiente imagen de Akamai, puede verse claramente la forma en que el tráfico impacta en los servidores, lo que sucede cuando se toman las medidas de bloqueo y mitigación y cuando finaliza el ataque.

Volúmen de tráfico generado por un DDoS

Paradójicamente, las herramientas propuestas por Anonymous no son anónimas y lo que muchos "atacantes casuales" ignoran es que la dirección IP de quien utiliza estas herramientas es visible y se encuentra expuesta. Esto posibilita el rastreo por parte de las organizaciones víctimas y de las autoridades.

Para evitar este tipo de rastreo muchos usuarios se decantan por el uso de Proxies (como TOR y otros), ignorando que en realidad en este caso la denegación de servicio se está realizando sobre el proxy utilizado.

Por eso Anonymous ya promociona (supuestamente para este mes de septiembre) la publicación de una nueva herramienta posiblemente llamada "RefRef" [4] y que usaría JavaScript y SQL para atacar los sitios y aprovecharse de sus vulnerabilidades, además de que podría ser utilizada desde cualquier dispositivo, incluyendo smartphones.

Una vez conocido el impacto de los ataques de DDoS es necesario conocer los controles disponibles y que se pueden implementar para contrarrestar este tipo de ataques.

Comenzando por el caso más simple en que se desee implementar un nuevo servicio web, se podría considerar Lighttpd, un web-server para entornos *NIX muy liviano y concebido desde la seguridad y el cual es utilizado, por ejemplo, por YouTube y Wikipedia.

En servidores web ya implementados con tecnología LAMP, se puede considerar la implementación de BSD PF [5] y Linux NetFilter/IPtables para controlar el tráfico TCP/IP, limitar el ancho de banda disponible, realizar una inspección de paquetes a través de las capas del modelo OSI (Stateful Packet Filtering), entre otras muchas funcionalidades.

Teniendo en cuenta que cualquiera puede ser víctima de un DDoS (sin importar el tamaño de la organización o la red), dependiendo de los servicios brindados, los recursos disponibles y las herramientas utilizadas por parte de los atacantes, se podría considerar los siguientes puntos:

Algunos ejemplos de configuración de estas herramientas pueden ser encontrados en Lighttpd Traffic Shaping, PF firewall y Linux Iptables.

En entornos Microsoft, existe una serie de consejos y guías que deben ser adoptados [6] e incluyen desde la modificación de ciertos parámetros del registro hasta la instalación y configuración de los servidores de IIS, ISA, Exchange y Forefront TMG. En estas configuraciones se pueden observar y modificar los valores y límites por defecto de cada solicitud de conexión.

Por otro lado, si bien la mayoría de los dispositivos de networking actuales pueden ser configurados para bloquear muchos tipos de ataques clásicos, si se trata de ataques de DDoS orientado y masivo, se deben aumentar las medidas preventivas, con el consecuente aumento considerable de costos.

Por ejemplo la empresa Arbor, especializada en el estudio y combate de este tipo de ataques dice que sus aparatos "están diseñados para detectar los ataques volumétricos en el rango de los varios GB/seg." [7].

Otras empresas como RioRey, F5, Corero, IntruGuard, Cisco, Watchguard, TippingPoint y Checkpoint ofrecen soluciones similares con montos que pueden ascender a varios cientos de miles de dólares dependiendo del ancho de banda soportado. En rangos similares de costos, se ubican también los servicios de protección DDoS basados en la nube, en donde se suele pagar por ancho de banda consumido durante los ataques.

NOTA: CloudFlare [8] es un servicio de Cloud que brinda protección de DDoS en forma gratuita (también tiene un servicio pago) y que puede ser utilizado por cualquier particular o empresa de desee evaluar este tipo de alternativas.

Evidentemente los ataques de DDoS seguirán entre todos los usuarios y las organizaciones por mucho tiempo más y es hora de comenzar a pensar en si nuestra organización ya se encuentra preparada para afrontarlos, porque el ciberterrorismo y la ciberguerra ya están entre nosotros y deberemos decidir de qué lado jugar.


[1] DoS y DDoS en Wikipedia
http://es.wikipedia.org/wiki/Ddos
http://en.wikipedia.org/wiki/Ddos
http://en.wikipedia.org/wiki/Denial-of-service_attack


[2] Tipos de Ataques de Denial of Service (DoS)
Amenazas Lógicas - Tipos de Ataques - Denial of Service (DoS)
Global Information Assurance Certification Paper


[3] Herramientas HOIC, LOIC y d0zme
D0z.me Please, un acortador de URL que genera DDoS
Análisis de HOIC y LOIC, las herramientas usadas para los DDoS


[4] RefRef de Anonymous
Anonymous está desarrollando una nueva arma de ataque
Anonymous may be testing a new attack tool dubbed #RefRef


[5] BSD PF (Packed Filter)
PF: The OpenBSD Packet Filter
PF: El filtro de paquetes de OpenBSD


[6] Protegerse de DDoS en entornos Microsoft
http://technet.microsoft.com/es-ar/library/cc700847.aspx
http://technet.microsoft.com/es-ar/library/cc750607.aspx
http://technet.microsoft.com/en-us/library/cc722931.aspx
http://technet.microsoft.com/en-us/library/cc750213.aspx
http://technet.microsoft.com/en-us/library/bb794735.aspx
http://technet.microsoft.com/en-us/library/dd897007.aspx
http://technet.microsoft.com/es-ar/library/ee207140.aspx
Microsoft Forefront TMG Behavioral Intrusion Detection


[7] Arbor Networks
Arbor Networks
Data center anti-DDoS package on tap from Arbor


[8] CloudFlare, una posible solución frente a ataques DDoS
CloudFlare, Inc.
CloudFlare, una posible solución frente a ataques (D)DoS



2. Los "errores" en Facebook hacen pagar a los usuarios con su privacidad

Recientemente se ha publicado una serie de vulnerabilidades o errores en la popular red social, las cuales tienen una particularidad: Facebook considera que son funcionalidades importantes dentro de su entorno y por lo tanto no pueden eliminarse (solucionarse).

Inicialmente, el 18 de julio pasado un investigador español descubrió una vulnerabilidad que permite realizar una redirección abierta desde la plataforma móvil de la red social (m.facebook.com). Esto es que, llevando a cabo un procedimiento sencillo, es posible engañar al usuario para que piense que está ingresando a Facebook cuando en realidad puede estar ingresando a otro sitio. Los delincuentes podrían utilizar este método para cometer fraudes y estafas en Internet.

Facebook admitió este comportamiento anómalo pero dijo "que radica en una funcionalidad que necesitan y, por tanto, prefieren correr el riesgo".

Como consecuencia de este descubrimiento, otro investigador chileno publicó [1] la forma en que es posible obtener en forma automatizada (realizando miles de consultas en forma simultánea y sin control) si un usuario se encuentra registrado en la red social, simplemente conociendo su correo electrónico o número telefónico. Nuevamente la empresa expresó que "esta habilidad para localizar amigos a través del correo es parte del núcleo de Facebook y si bien puede ser una vulnerabilidad en un sitio financiero, aquí corresponde a una funcionalidad de la red".

Paradójicamente, en forma coincidente con estos hallazgos, Facebook lanzó el programa "Bug Bounty" cuyo objetivo es pagar 500 dólares a quienes descubran vulnerabilidades críticas en la plataforma, similar a lo que hace Google desde 2010. Sobra decir que ninguno de los dos descubrimientos anteriores fue recompensado, porque ni siquiera han sido reconocidos como fallos.

También a finales de julio, en países de habla hispana comenzó a circular un mensaje que informaba que la aplicación de Facebook para todos los smartphones comparte (aún lo hace) la agenda personal del usuario, por defecto y sin informarlo:

Atención, por motivos que se desconocen, todos los smartphones comparten la información de la agenda personal de uno con la empresa Facebook Inc, compruébenlo ustedes mismos.

Efectivamente, al instalar la aplicación, Facebook automáticamente almacena (no comparte, como se ha informado en forma incorrecta) la información de contacto, fotografías del perfil y calendario con el objetivo de conectar a sus usuarios en algún momento. Al respecto Facebook en su sitio web informa:

Al activar esta característica se enviarán periódicamente copias de tus contactos del dispositivo BlackBerry a Facebook Inc. para vincularlos y conectarlos con tus amigos de Facebook. Las fotografías de perfil e información sobre ti y tus amigos de la red social también se enviarán periódicamente desde tu Facebook a tu lista de contactos y calendario de BlackBerry. Aceptas que el acceso a estos datos (por ej. mediante aplicaciones) dejará de estar sujeto a tu configuración de privacidad y la de tus amigos de Facebook una vez que se almacenen en tu dispositivo BlackBerry.

Facebook, a través de su página de fans, ha negado los "rumores" de que esa información sea compartida públicamente y ha dicho que "la posibilidad de ver la agenda ha existido durante mucho tiempo y ha sido diseñada para mostrar una única lista de contactos en vez de tener que visitar cada perfil".

Rumors claiming that your phone contacts are visible to everyone on Facebook are false. Our Contacts list, formerly called Phonebook, has existed for a long time. The phone numbers listed there were either added by your friends themselves and made visible to you, or you have previously synced your phone contacts with Facebook. Just like on your phone, only you can see these numbers.

Esta afirmación es cierta, ya que la información no es compartida abiertamente para todo el mundo, pero "desde hace tiempo" ha sido tomada del teléfono y almacenada en la plataforma de Facebook, sin informar adecuadamente al usuario.

La información ya compartida puede eliminarse y esta "funcionalidad" puede deshabilitarse [2], pero quien no preste atención a este hecho, al instalar la aplicación estará compartiendo abiertamente toda la información y, lo que es aún peor, también estará brindando esta información a la red social, sin el correspondiente permiso de sus dueños. Para corregir esto se debe ingresar a la red social a través del smartphone y allí hay una opción que debe deshabilitarse.

Finalmente, el motivo de considerar como vulnerabilidad a una supuesta funcionalidad radica en el punto desde donde se observe dicha comportamiento anómalo:

Independientemente si los hallazgos mencionados deben ser considerados funcionalidades o vulnerabilidades, lo más importante a destacar es que, según la empresa, estos comportamientos, y seguramente muchos otros, obedecen al crecimiento de la red social, lo cual evidentemente está por encima de la privacidad del usuario, que es quien en última instancia termina pagando su acceso, creyendo que es gratis.


[1] Búsqueda automatizada de cuentas Facebook por Fernando Lagos:
Búsqueda automatizada de cuentas Facebook asociadas a un correo electrónico o teléfono


[2]Configuración de privacidad de la agenda de contactos en Facebook
Ver nuestros contactos en Facebook
Eliminar todos los contactos importados



3. Segu-Info busca autores


Segu-Info siempre está abierto a la publicación de documentos de interés desarrollados por la comunidad por lo que;

Esta propuesta es para tí.

Segu-Info busca autores/escritores/redactores independientes que deseen compartir sus escritos/pensamientos/experiencias con la comunidad.

Para que Segu-Info siga siendo un lugar en donde la información es de todos y para todos, te invitamos a que seas parte. Si quieres compartir tus creaciones, contáctate con nosotros.



4. Apoya a Segu-Kids, Juntos en la Red


Segu-Kids, pone a disposición de todos información en forma libre y gratuita y, es el primer sitio pensado con el objetivo de apoyar y acompañar a la familia y a los educadores.

El nacimiento de Segu-Kids se debe a la gran cantidad de riesgos existentes en Internet y a la necesidad de crear concientización y educación sobre las formas de prevención y protección, haciendo uso responsable de las tecnologías existentes.

Segu-Kids busca la colaboración de todas las organizaciones a quienes les importa los menores y la seguridad en línea. Por eso, si formas parte de una de estas organizaciones o conoces a alguien vinculado, no dudes en ponerte en contacto con nosotros.

Te invitamos a conocer Segu-Kids y a dejarnos tus experiencias, para que sigamos creciendo juntos en la red.



5. Desafío de la semana


Solución al desafío del Boletín anterior:

Hay 24 cubos con un sólo lado rojo, 8 con 3 lados, 24 con dos lados pintados y 8 sin ningún lado pintado.


Respondieron correctamente: patsteeg@, jlquint@, sebarossi@, jft67@, pablopaga...@, hmo2007@, agonzalezr@, fernandome...@, rquisbert@, msebedio@, ccuello@, boxsys@, matiasgutierrezr...@, comunidadunder@, lisandrocopello@, nltmailorama@, berebere@, edo.serg...@, wilberhn7@, carlosensen...@


Desafío de esta semana:

Colocar los signos de suma y resta entre los números 1 al 9 (ordenados) para obtener 100 como resultado.



Actualidad

Virus-Antivirus