211service.com
El primer ataque DDoS fue hace 20 años. Esto es lo que hemos aprendido desde entonces.
Sra. Tecnología; computadora: Wikimedia commons
El 22 de julio de 1999 es una fecha siniestra en la historia de la informática. Ese día, una computadora en la Universidad de Minnesota de repente fue atacada por una red de otras 114 computadoras infectadas con un script malicioso llamado Trin00.
Este código hizo que las computadoras infectadas enviaran paquetes de datos superfluos a la universidad, sobrecargando su computadora e impidiendo que manejara solicitudes legítimas. De esta forma, el ataque dejó fuera de servicio la computadora de la universidad durante dos días.
Este fue el primer ataque de denegación de servicio distribuido (DDoS) del mundo. Pero la táctica no tardó en extenderse. En los meses que siguieron, muchos otros sitios web se convirtieron en víctimas, incluidos Yahoo, Amazon y CNN. Cada uno estaba inundado con paquetes de datos que le impedían aceptar tráfico legítimo. Y en cada caso, los paquetes de datos maliciosos provenían de una red de computadoras infectadas.
Desde entonces, los ataques DDoS se han vuelto comunes. Los actores maliciosos también hacen un negocio lucrativo al extorsionar el dinero de la protección de los sitios web que amenazan con atacar. Incluso venden sus servicios en la dark web. Un ataque DDoS de 24 horas contra un solo objetivo puede costar tan solo $ 400.
Pero el costo para la víctima puede ser enorme en términos de pérdida de ingresos o daño a la reputación. Eso, a su vez, ha creado un mercado para la ciberdefensa que protege contra este tipo de ataques. En 2018, este mercado valía la asombrosa cifra de 2.000 millones de euros. Todo esto plantea la importante pregunta de si se puede hacer más para defenderse de los ataques DDoS.
Hoy, 20 años después del primer ataque, Eric Osterweil de la Universidad George Mason en Virginia y sus colegas exploran la naturaleza de los ataques DDoS, cómo han evolucionado y si existen problemas fundamentales con la arquitectura de la red que deben abordarse para hacerla más segura. Las respuestas, dicen, están lejos de ser sencillas: el panorama de los bots baratos y comprometidos solo se ha vuelto más fértil para los malhechores y más dañino para los operadores de servicios de Internet.
Primero algunos antecedentes. Los ataques DDoS generalmente se desarrollan en etapas. En la primera etapa, un intruso malicioso infecta una computadora con software diseñado para propagarse a través de una red. Esta primera computadora se conoce como maestra, porque puede controlar cualquier computadora posterior que se infecte. Las otras computadoras infectadas llevan a cabo el ataque real y se conocen como daemons.
Las víctimas comunes en esta primera etapa son las redes informáticas de universidades o colegios, porque están conectadas a una amplia gama de otros dispositivos.
Un ataque DDoS comienza cuando la computadora maestra envía un comando a los demonios que incluye la dirección del objetivo. Luego, los demonios comienzan a enviar grandes cantidades de paquetes de datos a esta dirección. El objetivo es abrumar al objetivo con tráfico durante la duración del ataque. Los ataques más grandes de la actualidad envían paquetes de datos maliciosos a una velocidad de terabits por segundo.
Los atacantes a menudo hacen todo lo posible para ocultar su ubicación e identidad. Por ejemplo, los demonios a menudo usan una técnica llamada suplantación de direcciones IP para ocultar su dirección en Internet. Las computadoras maestras también pueden ser difíciles de rastrear porque solo necesitan enviar un comando para desencadenar un ataque. Y un atacante puede optar por usar demonios solo en países a los que es difícil acceder, aunque ellos mismos puedan estar ubicados en otros lugares.
La defensa contra este tipo de ataques es difícil porque requiere acciones concertadas por parte de una variedad de operadores. La primera línea de defensa es prevenir la creación de la red daemon en primer lugar. Esto requiere que los administradores de sistemas actualicen y parcheen periódicamente el software que utilizan y que fomenten una buena higiene entre los usuarios de su red, por ejemplo, cambiando regularmente las contraseñas, utilizando cortafuegos personales, etc.
Los proveedores de servicios de Internet también pueden brindar cierta defensa. Su función es reenviar paquetes de datos de una parte de una red a otra, según la dirección en el encabezado de cada paquete de datos. Esto a menudo se hace con poca o ninguna consideración sobre el origen del paquete de datos.
Pero eso podría cambiar. El encabezado contiene no solo la dirección de destino sino también la dirección de origen. Entonces, en teoría, es posible que un ISP examine la dirección de origen y bloquee los paquetes que contienen fuentes obviamente falsificadas.
Sin embargo, esto es computacionalmente costoso y requiere mucho tiempo. Y dado que los ISP no son necesariamente los objetivos de un ataque DDoS, tienen un incentivo limitado para emplear costosos procedimientos de mitigación.
Finalmente, el propio objetivo puede tomar medidas para mitigar los efectos de un ataque. Un paso obvio es filtrar los paquetes de datos malos a medida que llegan. Eso funciona si son fáciles de detectar y si los recursos informáticos están disponibles para hacer frente al volumen de tráfico malicioso.
Pero estos recursos son costosos y deben actualizarse continuamente con las últimas amenazas. Se quedan sin usar la mayor parte del tiempo, entrando en acción solo cuando ocurre un ataque. E incluso entonces, es posible que no puedan hacer frente a los ataques más grandes. Así que este tipo de mitigación es raro.
Otra opción es subcontratar el problema a un servicio basado en la nube que esté mejor equipado para manejar tales amenazas. Esto centraliza los problemas de mitigación de DDoS en los centros de depuración, y muchos los enfrentan bien. Pero incluso estos pueden tener problemas para lidiar con los ataques más grandes.
Todo eso plantea la pregunta de si se puede hacer más. ¿Cómo se puede mejorar nuestra infraestructura de red para abordar los principios que permiten el problema DDoS? pregúntele a Osterweil y compañía. Y dicen que el 20 aniversario del primer ataque debería ofrecer una buena oportunidad para estudiar el problema con más detalle. Creemos que lo que se necesita son investigaciones sobre qué fundamentos permiten y exacerban DDoS, dicen.
Una observación importante sobre los ataques DDoS es que el ataque y la defensa son asimétricos. Un ataque DDoS generalmente se lanza desde muchos demonios en todo el mundo y, sin embargo, la defensa se lleva a cabo principalmente en una sola ubicación: el nodo que está bajo ataque.
Una pregunta importante es si las redes podrían o deberían modificarse para incluir una especie de defensa distribuida contra estos ataques. Por ejemplo, una forma de avanzar podría ser facilitar que los ISP filtren los paquetes de datos falsificados.
Otra idea es hacer que los paquetes de datos sean rastreables mientras viajan por Internet. Cada ISP podría marcar una muestra de paquetes de datos, quizás uno en 20,000, a medida que se enrutan para que su viaje pueda reconstruirse más tarde. Eso permitiría a la víctima y a las fuerzas del orden rastrear el origen de un ataque, incluso después de que haya terminado.
Estas y otras ideas tienen el potencial de hacer de Internet un lugar más seguro. Pero requieren acuerdo y voluntad de actuar. Osterweil y compañía piensan que ha llegado el momento de actuar: Este es un llamado a la acción: la comunidad de investigación es nuestra mejor esperanza y la mejor calificada para aceptar este llamado.
Ref: arxiv.org/abs/1904.02739 : 20 años de DDoS: un llamado a la acción