¿Qué ha pasado con los DDoS? (Repaso histórico)

Siempre me he quejado del abuso de las modas en ciberseguridad. Cada año una amenaza o riesgo se convierte en la conversación estrella y parece que es lo único que preocupa a las organizaciones. Se olvida todo lo demás y se invierte en productos o servicios que al poco tiempo quedan en el olvido.

Un caso extremo ha sido el de los ataques de denegación de servicio distribuidos o DDoS. Hace unos años eran el terror de las organizaciones y ahora la mayoría de responsables los han olvidado. Ya no son noticia de portada, ya no mueven tanto dinero, ya no dan tanto miedo.

¿Sera porque las organizaciones ya no son vulnerables a este tipo de ataques?

NO. La mayoría son igual de vulnerables que hace un par de años, unas cuantas han realizado inversiones en equipos o servicios para protegerse, pero muy pocas han entrenado y han puesto realmente en forma sus defensas.

Mientras tanto los “malos” si han mejorado sus técnicas y profesionalizado sus estrategias.

Los DDoS han seguido el proceso habitual de evolución de la mayoría de amenazas importantes a nivel de ciberseguridad. También las tecnologías de protección asociadas, aunque tal vez con un ritmo mayor del habitual:

Fase inicial: Finales de los 90 y principios de los 2000

Es difícil encontrar cual fue el primer ataque DDoS a gran escala. Por aquella época ya eran habituales los ataques distribuidos contra servidores de IRC.

La amenaza era poco conocida, solo algunos aficionados empiezan a probar el potencial de daño de estos ataques. Las técnicas son muy básicas y hay pocas herramientas disponibles y son muy sencillas (pruebas de concepto en su mayoría).

En 1996 se publica el primer exploit para hacer ataques de Ping-of-Death, que se basa en el envío de paquetes ICMP de gran tamaño y cuya técnica luego será utilizada como base en multitud de ataques DDoS.

También en 1996 se publica la primera prueba de concepto para realizar ataques de TCP SYN-FLOOD, aunque esta técnica se conocía ya anteriormente.

En 1997 se publica el código original del ataque SMURF (DDoS mediante reflexión de ICMP).

Ejemplo de ataque SMURF, uno de los primeros ataques DDoS por reflexión:

Fase de impacto: Mediados de los 2000

Algunos sitios importantes tales como Yahoo, eBay, CNN, Amazon o ZDNet, son víctimas de ataques realizados por aficionados o pequeños grupos. Todavía la finalidad de muchos de estos ataques no es económica.

Se empiezan a organizar unos pocos grupos profesionales que realizan los ataques de forma planificada y causan un gran impacto en sus objetivos ya que estos no están aún preparados ante el nuevo tipo de ataques. Las técnicas siguen siendo básicas, pero las herramientas empiezan a ser más avanzadas.

La mayoría de ataques son aun de tipo volumétrico pero empiezan a utilizarse cada vez más ataques a nivel de aplicación.

En 2004 se publica la primera versión de LOIC una herramienta para hacer DDoS de manera colaborativa. Esta herramienta y algunas de sus variantes han sido utilizadas habitualmente por grupos hacktivistas.

En 2005 se produce el primer ataque DDoS realizado mediante reflexión de DNS.

En 2006 se publican varias herramientas para realizar ataques mediante reflexión de DNS y NTP.

Fase de revolución: Finales de los 2000 y principios de los 2010

Los cibercriminales descubren la facilidad de realizar ataques DDoS y empiezan a monetizar de forma masiva los mismos mediante extorsión.

Los grupos hacktivistas también empiezan a utilizar de forma habitual los ataques DDoS de manera organizada.

Demostrado el gran impacto de esta amenaza, todo el mundo quiere subirse al carro. Por parte de los atacantes, se crean muchos grupos de aficionados y profesionales que quieren sacar partido de este ataque de moda. También aparecen multitud de vendedores de productos y servicios para intentar solventar el problema. Las técnicas empiezan a mejorarse, pero siguen siendo relativamente básicas. Se produce un aumento en el número y la complejidad de las herramientas disponibles.

En abril de 2007 se producen una serie de ataques de DoS coordinados contra Estonia, inundado los sitios web de las principales empresas y organismos. Los ataques fueron realizados mediante Ping floods, Smurf y otros ataques volumétricos. Este fue uno de los primeros ataques masivos atribuidos a una organización criminal promovida por un gobierno.

En 2009 se publica el código original del ataque Slowloris, ataque que demostró la posibilidad de provocar un gran impacto a nivel de aplicación incluso con un bajo flujo de conexiones.

Fase de madurez: Desde mediados de los 2010

Los cibercriminales tienen acceso a una gran variedad de métodos para realizar DDoS.

Se produce un proceso de selección en ambos bandos. Quedan menos grupos atacando, pero son más profesionales y el volumen de negocio prácticamente se mantiene. Quedan menos fabricantes y desparecen los “vendedores de humo”. Empiezan a utilizarse técnicas avanzadas pero las herramientas de código libre dejan de evolucionar o se hacen de pago.

A principios de 2013 se produce un ataque masivo contra Spamhaus que llega a picos de 85Gbps, generados mayoritariamente mediante amplificación de DNS.

También en 2013 se produce la caída de varios sitios web públicos de la OTAN, debido a un ataque DDoS realizado de forma organizada como resultado de las tensiones sobre Crimea. También atribuido a organizaciones criminales afines al gobierno ruso.

En Febrero de 2014 Cloudflare sufre un ataque que llega a picos de 325Gbps, realizado mediante reflexión de NTP.

En abril de 2015 se detecta un ataque que llega a los 334Gbps contra un operador de red de Asia, utilizando también técnicas de amplificación de protocolos UDP.

A finales de 2015 el grupo Anonymous reclama la autoría de un ataque de 40Gbps contra servidores en Turquía, en represalia por su supuesto apoyo al Daesh. Este es uno de los múltiples DDoS organizados por este grupo en los últimos años, aunque no suelen ser ataques demasiado exitosos en comparación con los realizados por organizaciones profesionales.

En enero de 2016 se produce un ataque contra varios sitios asociados a la BBC, alcanzando picos de 602Gbps, supuestamente utilizando servidores hospedados en Amazon AWS.

Evolución del volumen máximo de los ataques DDoS publicados:

 

Desde el punto de vista de la ciberdefensa el uso de DDoS con motivaciones políticas o terroristas empieza a ser habitual, aunque queda eclipsado en los medios de comunicación por los ataques realizados con fines económicos que suelen ser más voluminosos, aunque de menor duración.

A la hora de prevenir estos ataques es necesario conocer sus diversas formas y motivaciones, con el fin de disponer de los medios técnicos necesarios para contrarrestarlos en caso de que se produzcan.

 

 

Ciber-BDA: Evaluación de daños de ciber-combate.

Nuevas operaciones APT, variantes de malware o descubrimiento de vulnerabilidades son la tónica habitual en los titulares de prensa del día a día. Esto nos podría hacer pensar que la ciberdefensa es un campo relativamente maduro. Sin embargo aunque la escalada tecnología ha sido notable, la seguridad informática ofensiva sigue teniendo mucho de artesanal y poco de proceso formal.  O como tratábamos en nuestra anterior entrada, en ocasiones basado en la anécdota y la excepción en lugar de la regla. Si en un futuro se desea equiparar el empleo de medios ciber-ofensivos estos deberían de ir más allá del último exploit o vulnerabilidad. Integrándose junto con otras capacidades militares como un medio mas para la consecución de los objetivos asignados. 

Entre las actividades de soporte ya existentes en el ámbito militar y que necesitaran una análogo ciber se encuentra el BDA. El Battle Damage Assement que podría traducirse por Estimación de Daños de Combate es una actividad surgida como consecuencia de las tácticas usadas en la segunda guerra mundial. El uso del bombardero aéreo ocasiono que al contrario que en las tácticas militares usadas en guerras anteriores, el efecto del ataque no fuera inmediatamente discernible. Fue necesario que desarrollar por tanto unas actividades específicas para determinar el impacto de los bombardeos sobre el enemigo de los ataques. Por ejemplo vuelos de reconocimiento que permitieran una comparación de la situación del objetivo antes y después. Por ello el BDA se conocía inicialmente como “Bomb Damage Assement”, y con su aplicación a otras armas como artillería o misiles se paso posteriormente a “Battle”.

El BDA es necesario para determinar si los objetivos atacados han sufrido los efectos deseados dentro de la estrategia general. En caso positivo se debe actualizar la inteligencia disponible sobre el enemigo en cuando a medios y capacidades. En caso negativo se pueden  plantear nuevos ataques para obtener los resultados deseados, posiblemente variando las tácticas o armas empleadas si se estima que las usadas han sido inefectivas.

En la doctrina de ciber-operaciones el CNA (Computer Network Attack) comprende las acciones realizadas para degradar o destruir la capacidad de las redes y los sistemas informáticos enemigos. Este puede realizarme de forma temporal como pueden ser ataques de red DoS y DDoS. O suponer una degradación más permanente, por ejemplo resultado del borrado de sistemas, cambio de configuraciones, corrupción de datos almacenados,  etc. Incluso ocasionando daños desde el software en sistemas físicos como fue el caso de Stuxnet. Como vemos en muchos casos el CNA se realizaría por medio de un acceso remoto obtenido mediante acciones CNE previas. Dado que hasta el momento no se ha producido ningún gran conflicto bélico entre adversarios con capacidades cibernéticas el protagonismo a estado en las actividades CNE de inteligencia protagonizadas por los APT. Pero en caso de conflicto abierto es de suponer que el CNA cobre protagonismo.

Si se desean disponer de una capacidades CNA efectivas serán necesarios medios de soporte para la identificación de objetivos, integración con actividades CNE, desarrollo especifico de herramientas y capacidades para provocar daños sobre sistemas industriales o de infraestructuras críticas, etc. Y tambien será necesario desarrollar metodologías y herramientas destinadas al ciber-BDA.

En el caso de ataques a sistemas SCADA o infraestructuras críticas que puedan tener un impacto directo en el mundo físico será factible el uso de sistemas de inteligencia tradicional. (IMINT, HUMINT) o datos abiertos de medios de comunicación (alertas a la población, noticias de resultado, etc.).

Los ataques que se desarrollen mas directamente en el campo ciber (ataques a sistemas C2, ISR,  datalinks, etc.) no podrán estimarse tan fácilmente, por lo que se deberán incorporar y desarrollar herramientas especificas para la realización de tareas BDA.

Algunos ejemplos de herramientas o tácticas que podrían usarse para el BDA son:

•  Sistemas distribuidos geográficamente capaces de realizar test de conectividad (ping, traceroute, dns, http, etc.), que permitan cuantificar el impacto de los ataques en la disponibilidad de la red desde diversos orígenes y destinos. Algo curiosamente muy similar a lo que conocemos a través de las filtraciones de Snowden de TREASURE MAP. De hecho entre los usos de este programa se incluye la media de efectividad de otras misiones.
   
  
• Capacidades de medida de red activos y pasivos en los implantes software RAT (Remote Access Tool). Esto permite usar las maquinas controladas previamente como sensores de funcionalidad dentro de la propia red del adversario.
   
• Capacidades de exfiltración de información en herramientas, malware o gusanos instalados en el objetivo, incluso aunque su finalidad no sea propiamente el CNE. Destinadas a realizar inteligencia de evaluación de daños de forma posterior a los ataques CNA.
    
• Entradas de información desde otros sistemas de inteligencia militar que puedan aportar datos del uso de sistemas de backup. Permitiendo deducir que el sistema principal objetivo ha sido efectivamente degradado. Por ejemplo el análisis de tráfico sobre sistemas de mando y control alternativos (radio HF, satélite, etc.) a las redes telematicas .

• Análisis de fuentes abiertas, especialmente útiles para medir la efectividad de ciertas actividades CNA, como ataques DoS en internet. Usándose desde comentarios en redes sociales a datos públicos de organismos de gestión de internet.

Las otras guerras del IRC

El protocolo IRC es un veterano de los servicios orientados a proporcionar comunicaciones tipo Chat. Según explica la Wikipedia el IRC fue creado por Jarkko Oikarinen (alias «WiZ») en agosto de 1988 con el motivo de reemplazar al programa MUT (talk multiusuario) en un BBS llamado OuluBox en Finlandia. Oikarinen se inspiró en el Bitnet Relay Chat el cual operaba en BitNet (Bitnet era una antigua red internacional de computadoras de centros docentes y de investigación utilizando un protocolo de almacenaje y envío basado en los protocolos Network Job Entry de IBM)

El IRC se popularizo rápidamente como sistema de comunicación durante los 90 y fue especialmente favorecido por la comunidad de hackers, phreakers y traficantes de software pirata (warez en la jerga) de la época. Estos últimos, por ejemplo, intercambiaban ficheros mediante servidores ftp privados o hackeados a terceros para ser utilizados como almacén temporal, aunque también hacían uso de la función envió de ficheros DCC de persona a persona una forma primitiva de intercambio P2P.

Los hackers de aquellos tiempos comparados con los de la actualidad respondían a un tipo más romántico: motivados por el ansia de conocimientos y la superación de retos. Era común una fuerte competitividad entre grupos de hackers que acabo derivando en las llamadas guerras de IRC, pequeñas luchas en las que los contendientes intentaban principalmente hacerse notar más que los demás o incordiar a los grupos enemigos.

Estas guerras consistían en acciones para bloquear o hacerse con el control de las salas de chat de los rivales o de determinada temática, llamados canales de IRC. O bien en la realización de ataques de denegación de servicio contra usuarios para sacarlos temporalmente del servidor de IRC.

En aquella época, en la que un modem de 56Kbps era tecnología punta, la practica totalidad de los usuarios se conectaba mediante dial-up ppp lo que suponía conectar directamente su equipo a Internet. Y esta IP estaba normalmente visible para cualquier usuario del IRC o se podía obtener si la victima aceptaba una conexión tipo DCC. Así que no tardaron en aparecer diversos tipos de ataques de denegación de servicio que permitían desconectar a otros usuarios del chat bloqueando su maquina remotamente. Algunos atacaban al sistema operativo como los famosos Nukes (OOB,nestea,land,etc) que soliar provocar el temido "pantallazo azul". Otros ataques afectaban en cambio al cliente de IRC como el CTCP Flood, o incluso al propio modem como el caso del bug ATH+++.

Como en toda guerra se inicio una carrera armamentistica: Fueron surgiendo diversos scripts para añadir funcionalidades de ataque al mIRC , el cliente de IRC mas empleado. Estos script, que automatizaban las tareas de ataque y defensa, tenían nombres tan sugerentes como “TDP Power AZeZino" o "Borde Flooder".

Las guerras de IRC se fueron haciendo cada vez más sofisticadas. Se instalaban bots destinados a proteger canales de los ataques, se usaban los llamados bouncer para esconder la IP de origen. Incluso se comprometían servidores DNS de terceros o se explotaba el DNS Spoofing para acceder al IRC con resoluciones inversas que resultaran “cool”, cosas como “soy.muy.peligr.oso.com”. Algunos grupos mas avanzados técnicamente llegaron incluso a comprometer los servidores que soportaban las mismas redes de IRC para pinchar las comunicaciones de los rivales o a los administradores de las mismisimas redes de IRC los conocidos como IRcop.

Sala de chat del IRC Hispano visto con el cliente mIRC

Hoy en dia quedan relativamente pocas referencias en la web de aquella época, con excepciones como las "Tácticas de guerra en el IRC" de Romansoft (disponible en Hackstory) o la colección de scripts de Chevalierr.

Sin embargo en la actualidad el IRC ha vuelto a tener relevancia en los medios al constituir la vía principal de comunicación de colectivos hacktivistas como Anonymous, que manejan su propia red de IRC Anonops, que emplean como punto de reunión para coordinar sus acciones reivindicativas, debatir nuevos objetivos y estrategias. Cada una de las operaciones de protesta de Anonymous suele tener su propio canal, ademas de canales que aglutinan a los Anonymous de un mismo país o idioma, como el caso de #Hispano.

Dada la familiaridad de los hackers con el protocolo IRC no es de extrañar que muchos troyanos y las primeras Botnet de maquinas zombies usaran este medio como sistema de comunicación y control con su creador. Exactamente el mismo canal de comunicación de LOIC , la herramienta de denegacion de servicio empleada por anonymous en sus ataques. LOIC puede funcionar de modo autonomo o bien mediante un sistema centralizado llamado HiveMind , conectándose a un canal específico de IRC para recibir los comandos que indican la web objetivo a bloquear.

Ahora bien no todos los usuarios de IRC son hacktivistas, intrusos informáticos y otra gente de mal vivir, algunos son simples internautas que disfrutan del chat de diversas temáticas en este vetusto protocolo, probablemente llamados por el minimalismo del chat en texto plano. Pero existen otros usuarios del IRC, digamos, mas especiales: por ejemplo los controladores militares que coordinan en estos momentos ataques aéreos desde aviones AWACS en Afganistan o Libia. Ya que por surrealista que pueda parecer en un principio las comunicaciones entre estos controladores y los centros de mando en tierra para autorizar y coordinar bombardeos aéreos se realizan mediante salas de IRC.

Una de las referencias más recientes de este uso militar del IRC la tenemos en un artículo del mes pasado de la prestigiosa revista Aviation Week, bajo el titulo Air Superiority For NATO Over Libya. Nos revela que los AWACS británicos y de la OTAN desplegados sobre Libia usan el IRC para conectar con el centro de operaciones aéreas de la OTAN CAOC-5 en Poggio Renatico, Italia. En conflictos belicos actuales donde los daños colaterales pueden tener un importante efecto ante la opinión pública que cada ataque debe ser convenientemente ser autorizado. En este caso lo más probable es que los controladores militares a bordo del AWACS y en comunicación directa con los pilotos de cazabombarderos y fuerzas especiales en tierra , hablan con ellos vía radio convencional al tiempo que solicitan permiso para el empleo de la fuerza mediante el chat IRC a instancias superiores.

No es la de Libia la única referencia a este mismo uso del IRC y si buscamos un poco podemos encontrar un artículo en la web de la USAF donde se comenta el uso operativo ya en 2008. Así como otras múltiples referencias en Irak y Afganistán.

Es evidente que estas comunicaciones se realizan en redes cifradas, altamente segregadas y por supuesto totalmente separadas de Internet. Pero ¿Se imaginan el caos que se podría crear si un grupo de hackers obtuviera acceso a este tipo de redes IRC y usara las "técnicas de guerra en el IRC" con consecuencias en conflictos del mundo real? ¿Y si en lugar de simples hackers fueran un comando de operaciones de intrusion informática enemigo?. Sin duda una de las implicaciones de la migración de protocolos propietarios militares hacia el uso de protocolos del ámbito civil, algo que ya tratamos en el artículo sobre vulnerabilidades COTS.

Aunque finalmente parece que igual que ocurrió con el IRC en el mundo civil este veterano protocolo empieza a ser reemplazado por otras alternativas más modernas. Así por ejemplo el interesante "paper" del organismo NC3A de la alianza atlántica Extending the Mission: NATO AEW Beyond Line-of-Sight Airborne IP Communications (Vista Rapida Google) ya contempla el uso de protocolos de chat basados en XMPP, un protocolo abierto basado en XML, para el que existen servidores y clientes libres. Es el usado por Facebook, Tuenti o GoogleTalk, por lo que aunque carezca de la aureola romántica del IRC a buen seguro no será un protocolo desconocido entre los hackers.