Una breve historia de los ataques DDoS

Tarde o temprano sucedería: la definición de “DDoS” ha calado tanto en el léxico que a menudo no se escribe al completo en los periódicos de interés público. Bueno, puede que algunos aún no sepan qué significa la abreviación, pero todos saben que un DDoS es peligroso para un gran número de objetivos porque provoca que algo muy importante deje de funcionar y que los empleados se crucen de brazos durante el tiempo que la red no funcione y que los teléfonos de soporte técnico necesiten un baño frío por el sobrecalentamiento que experimentan al no dejar de sonar. Además, todos saben que un ataque DDoS es llevado a cabo por ciberenemigos desconocidos y misteriosos.

Los ataques DDoS han evolucionado muy rápido, como descubrirás leyendo esta entrada. Se han hecho más peligrosos y mucho más avanzados técnicamente hablando; de vez en cuando, adoptan métodos de ataque del todo insólitos; van a por objetivos nuevos; y rompen récords mundiales por ser el mayor y peor ataque DDoS jamás experimentado. Pero, en cambio, el mundo en que los DDoS se encuentran también ha evolucionado muy rápido. Todos los utensilios de cocina están sincronizados en la red: la cifra de dispositivos “inteligentes” conectados a Internet ahora supera la cifra de los antiguos ordenadores y portátiles.

El resultado de ambas evoluciones paralelas (de los DDoS y del panorama digital en el que residen) nos ha traído titulares igualmente evolucionados: botnets de cámaras IP y routers wifi han roto el récord de la magnitud de un DDoS (Mirai) y ataques masivos DDoS en bancos rusos.

Si antes las botnets eran de PCs zombis, pronto serán de neveras, aspiradoras, secadoras y cafeteras zombis.

brevity-comic

¿Y luego qué?

Nada bueno, eso seguro. En el pasado siempre fue mal a las víctimas involucradas. Pero ¿cuánto sufrirán las víctimas en el futuro? Para hacer la mejor suposición, debemos mirar hacia el pasado y, así, tendremos una idea mejor de lo que puede que nos depare el futuro. Por ello, demos un breve repaso a la historia de los ataques DDoS para vuestro esclarecedor deleite histórico y lector.

Les voy a presentar mi Top 8 de los ataques DDoS. “Top” no es en el sentido de “genial”, sino en el de “peor”, si saben a lo que me refiero. Los ocho causaron serios cortes, ya sea en buena parte de internet o en todo un servicio.

Antes de empezar, una advertencia: no todos estos son del todo “ataques DDoS” según su significado actual; sin embargo, el elemento “distribuido” estaba presente en todos, al igual que la caída de redes importantes.

1. El gusano Morris (1988)

Robert Tappan Morris – creator of the first computer worm on the Internet

Robert Tappan Morris, creador del primer gusano de Internet.

Mientras aún era estudiante, Robert Tappan Morris desarrolló su gusano con fines puramente de investigación (“para medir el tamaño de Internet”). Sin embargo, como siempre, había un error oculto en el código y, como resultado, el gusano no podía determinar si un sistema estaba “limpio” o si estaba infectado (¡por él mismo!). En lugar de un único ataque a ordenadores remotos, el gusano se copió en el mismo ordenador una y otra vez. Y una y otra vez. Y una y otra vez… La red cayó como resultado (todos sus 60,000 nodos). El ARPANET infectado (un prototipo temprano de Internet) ¡se autoatacó con un DDoS!

Morris se declaró culpable, arrepentido, y se le condenó a 400 horas de servicios comunitarios y a una multa de 10,000 dólares.

2. Melissa (1999)

David Smith, creator of Melissa, the mass-mailing virus that left Microsoft and Intel without email

David Smith, creador de Melissa, el virus que enviaba correos en masa que dejó a Microsoft y a Intel sin e-mail.

Un simple macrovirus de correo que afectó a los documentos de MS Office. Si un usuario abría un archivo, el virus se enviaba a 50 destinatarios de la libreta de direcciones de la víctima.

Entonces… te estarás preguntando dónde está la conexión con un DDoS…

Bueno, esos 50 correos enviados desde cada víctima causaron nada menos que una grandiosa pandemia gingantesca de la que se perdió el control: el ataque distribuido se extendió por todo el mundo. No se centraba en una víctima en particular, sino que en su lugar ¡se centraba en todo el sistema global de correo electrónico! Se las arregló para incrementar el tráfico mundial de correos considerablemente y forzó a muchas compañías a desactivar sus servidores de correo.

El autor fue arrestado, procesado y condenado.

3. El ataque DDoS a Amazon, eBay, Dell, CNN, entre otros (2000)

Este ataque probablemente sea el más duro, pues causó un daño inmenso; el causante apenas recibió castigo.

Esto es lo que sucedió: un hacker de 15 años bajo el nombre de Mafia Boy hizo desaparecer todos los portales principales de Internet, incluyendo Yahoo!, el entonces mayor motor de búsqueda (Google seguía en pañales). El daño financiero que causó MafiaBoy se estimó en 1,200 millones de dólares.

La razón por la que hizo lo que hizo era muy típica en aquel entonces: quería mostrar al cibermundo lo genial que era. No lo interesaba nada el dinero. Se trataba solo de su ego adolescente, apoyado e incitado por la inerte vulnerabilidad de Internet.

Debido a que todavía era menor, una corte canadiense solo lo sentenció a ocho meses en un correccional de menores.

4. Code Red (2001)

Este es otro que apareció antes de la era de la ciberdelincuencia como la conocemos hoy; como tal, no iba en busca de dinero. Era malicioso solo por serlo.

Code Red atacó ordenadores que ejecutaban el servidor web de Microsoft IIS. Dejó mensajes que decían “Hackeado por chinos” y también consiguió hacer caer la web de la Casa Blanca.

El gusano hacía tres cosas:

a) Sustituía el contenido útil de una página con la siguiente frase:

ddos-4

b) Se distribuía a sí mismo entre nuevos servidores web;

c) Llevaba a cabo ataques DDoS en una serie de direcciones web predefinidas, incluida la de la Casa Blanca, la cual cayó en un momento predefinido, como se preveía en el código.

Se estima que afectó a más de un millón de servidores web de todo el mundo, es decir, una considerable proporción de todo el Internet. Solo vivía en la memoria de la computadora de la víctima, sin crear ningún archivo.

Quién escribió Code Red y por qué se lanzó continúa siendo un misterio.

Lo particularmente interesante sobre Code Red fue que la vulnerabilidad del servidor web que explotaba el gusano había sido parcheada por Microsoft un mes antes del brote. Moraleja: ¡no se retrasen con las actualizaciones!

5. SQL Slammer (2003)

Era pequeño, pero MUY peligroso (en sus apenas 376 bytes, no es un error, nada de “kilo”, “mega” ni “giga”). En enero de 2003, infectó cientos de miles de servidores de todo el mundo en 15 minutos, incrementó el tráfico de Internet un 25 % y dejó a Corea del Sur sin Internet ni operadores móviles durante varias horas, reduciendo a la nada el país. Además, el agujero en Microsoft SQL Server 2000 que explotaba había sido parcheado, no un mes antes como con Code Red, sino ¡seis meses antes!

Luego se descubrió que había muchos sistemas plagados de errores y el mundo informático recibió un duro golpe. Aquella fatídica mañana del sábado no fue otro que nuestro (actual) experto Aleks Gostev, que lleva un mes en KL, el que tenía el turno del fin de semana. Recuerdo su entrada en el mundo de la detección de amenazas de primera liga bien y ¡nunca la olvidaré!

The jump in traffic looked something like thisLa subida de tráfico fue así

Entre otras cosas, está epidemia interrumpió el funcionamiento de 13,000 cajeros del Banco de América y dejó a 50 millones de personas del noroeste de EE. UU sin electricidad en agosto de 2003.

6. Estonia (2006)

En 2007, el gobierno de Estonia decidió mover el Soldado de bronce de Tallin, levantado en el lugar de varias tumbas de guerra, desde el centro de la capital hasta las proximidades del cementerio militar Tallin. La estatua es una conmemoración a los soldados soviéticos que cayeron en la segunda guerra mundial luchando contra las tropas nazis. La comunidad rusa de Estonia se opuso firmemente al movimiento, pero se continuó adelante, lo que causó dos noches de disturbios y arrestos. Esa es la historia resumida.

A la hora que se movió el monumento, hubo un ataque DDoS que afectó a varias organizaciones estonias. No fue el mayor ataque DDoS de la historia, pero sí la primera vez que una botnet de spam amenazó la seguridad nacional de un país: la sección estonia de Internet estaba completamente colapsada. Bancos, proveedores de Internet, periódicos, webs del gobierno… todo dejó de funcionar. Dice que el estado ruso estaba tras ello, pero no podríamos confirmarlo. Solo sabemos que se trataban de botnets y de personas excesivamente entusiastas.

La lección principal del ataque a Estonia: la ciberdelincuencia se había convertido en una amenaza posible para la seguridad nacional e internacional y que el mundo digital que habíamos construido resultó ser extremadamente vulnerable.

7. DDoS en el sur de Rusia (2007)

Este es un ataque DDoS menos conocido, pero no menos importante por ello. En verano de 2007, en la región Krasnodar del sur de Rusia, las ciudades de Adygea y Astrakhan solo tenían cobertura intermitente de Internet; iba y venía, una y otra vez. La razón resultó ser un ataque DDoS que había hecho caer el proveedor de Internet de la región.

Naturalmente, cundió el pánico; los ingenieros daban vueltas, los routers y los cerebros echaban humo, palabrotas, los clientes (incluidos los VIP) empezaban a preguntarse cuando volvería a funcionar Internet y la policía se preguntaba a quién debía arrestar (y por qué).

Los ataques sucedieron en olas durante todo un mes, alcanzando la impactante velocidad (para 2007) de 10 gigabytes por segundo. Los ataques también eran inusuales: usaban botnets, pero utilizaban más webs de intercambio de archivos, lo que no se había visto fuera de proyectos de investigación. Nunca se descubrió quién lo causó.

Este ataque DDoS sucedió en un momento crucial para Rusia. Todo el Internet de toda una región estaba siendo apagado y encendido como una antorcha y no había nada que nadie pudiera hacer. Antes de este incidente, nadie prestó atención a las amenazas DDoS; después, fue lo contrario: se empezaron a tratar como amenazas graves que debían tomarse enserio. Nacieron tecnologías y las compañías telefónicas empezaron a instalar nuevos kits especializados. Nosotros también aportamos nuestro grano de arena al desarrollar nuestra propia solución.

8. DDoS político en Rusia (2011-2012)

Entre diciembre de 2011 y marzo de 2012, hubo mucha tensión política en Rusia: tenían lugar tanto las elecciones al parlamento, como las presidenciales y ambas iban acompañadas de muchas demostraciones políticas. Para poner la guinda, hubo un ataque DDoS entre fuerzas opositoras. Tanto la oposición como los sitios progobierno fueron atacados. Lo destacable: esta fue la primera vez que se aplicaban en Rusia métodos de ciberdelincuencia tan ampliamente con fines políticos.

¿Qué nos depara el futuro?

Los ataques DDoS no terminaron en 2012. De hecho, lo contrario: nació una industria criminal de ataques DDoS totalmente comercial. La motivación de ello es clara: dinero, ciberdelincuencia como servicio. Los hacktivistas también usan DDoS, así como los cibergenerales de todo el mundo.

Hoy en día es difícil imaginar una epidemia como la de Slammer (pero al haber tantos dispositivos “inteligentes” conectados a Internet y tanto intercambio de datos, todo es posible). Pero los malos no abandonan y el reciente ataque DDoS del Internet de las Cosas lo demuestra. Nuestra dependencia de Internet y los kits inteligentes está creciendo y también lo hace el potencial de daño de cualquier caída o interrupción, incluidas las creadas por el hombre.

Por ahora el mundo se ha detenido entre el oscuro pasado y el peligroso futuro. En el centro está el alarmante presente. Todavía hay razones para ser optimistas; sin embargo, me temo que aún veremos algún que otro desagradable ataque DDoS.

LEER COMENTARIOS 0
Deja una nota