El «apagón» masivo del 21 de octubre: lecciones aprendidas
En las últimas semanas se han producido algunos de los ataques de denegación de servicio (DDoS) más grandes de los que se tiene registro hasta ahora. La web del investigador Brian Krebs primero, y días más tarde varias oleadas de ataques a DYN, que provocaron un enorme «apagón» de servicios tan populares como Twitter o PayPal. Nuestro Security & Privacy Lead, Juan González, nos explica en el siguiente post qué es lo que ha pasado y qué lecciones útiles podemos extraer.
Fuente de imagen: Techcrunch.com
Por: Juan González, S&P Lead de Gradiant
El pasado viernes 21 de octubre se produjo un ataque de DDoS (Distributed Denial of Service) que provocó el bloqueo de los servicios de DNS proporcionados por la compañía Dyn. El resultado fue la imposibilidad de acceder, principalmente desde la costa este de Estados Unidos, a Twitter, Spotify, Airbnb, New York Times, Netflix, Amazon y Paypal entre muchos otros.
El ataque se realizó en parte utilizando una botnet, denominada Mirai, de dispositivos asociados a Internet of Things (IoT) hackeados, como cámaras IP y dispositivos de grabación de vídeo (DVR). Mirai fue utilizada también el pasado septiembre para realizar un ataque de DDoS contra el blog del experto en seguridad Brian Kerbs, kerbsonsecurity.com. El tráfico registrado para bloquear el blog llegó a superar los 650 Gpbs, por lo que se consideró el mayor ataque de DDoS conocido hasta la fecha.
A raíz del ataque a Brian Kerbs, un usuario con el alias Anna-Senpai anunció la liberación del código fuente de Mirai, junto a las instrucciones para usarlo, en un conocido foro de hacking. Desde entonces el código de Mirai está disponible públicamente en GitHub. La liberación del código se produjo tres semanas antes del ataque a Dyn.
¿Cómo funciona Mirai?
El funcionamiento de Mirai se basa en cinco bloques de funcionalidades principales: descubrimiento de dispositivos vulnerables, infección, protección del dispositivo para evitar que sea eliminado de la botnet, control y ataque. Mientras que los últimos cuatro bloques poseen cierta sofisticación, el primero de ellos, el descubrimiento de dispositivos vulnerables es alarmantemente sencillo. Básicamente escanea direcciones IP al azar, se conecta al puerto de telnet y prueba una serie de usuarios y contraseña por defectos de dispositivos. En resumen, Mirai, utilizando una vulnerabilidad tan básica como no cambiar la contraseña por defecto, fue capaz de extenderse a cientos de miles de dispositivos.
El creciente ancho de banda en las conexiones a Internet, sumado a la explosión en el número de dispositivos conectados (IoT) provoca un mayor impacto de los ataques de DDoS. Un DDoS no es un ataque sofisticado, es un ataque de fuerza bruta que emplea tráfico ilegítimo para evitar que los usuarios legítimos puedan acceder a un determinado servicio. Un DDoS es una guerra de poder, aquel que tenga mayor capacidad de procesamiento y ancho de banda, atacante o defensor, será el vencedor.
Lecciones aprendidas
Aunque las ventajas de IoT son innegables por la ingente capacidad de datos que puede proporcionar y por sus sectores de aplicación (consumo, industria, infraestructuras, salud,…), es fundamental trabajar para garantizar la seguridad de los dispositivos. Ataques como el realizado desde la botnet Mirai nos enseña la creciente relación entre la seguridad en IoT y la disponibilidad de los servicios en Internet.
En el desarrollo de dispositivos deben primar prácticas conocidas como Security by Design. Los requisitos de seguridad deben formar parte del desarrollo desde la fase de diseño. En esta fase deberán establecerse los controles de seguridad que permitan la prevención, la detección, la respuesta y, en caso de fallo, la mitigación de las consecuencias. Por ejemplo, para evitar ataques de DDoS, se podría limitar, desde el diseño, el ancho de banda máximo que puede llegar a consumir un dispositivo.
Por otro lado, es fundamental la adopción de prácticas que permitan prevenir, detectar y responder de manera continua a potenciales ciberamenazas. En el ataque que nos ocupa el código necesario para llevarlo a cabo se había liberado con semanas de antelación y la información necesaria para utilizarlo se había publicado en un conocido foro de hacking. Gracias a esta información el US-CERT (Computer Emergency Readiness Team) pudo generar una alerta una semana antes del ataque. Probablemente esta alerta sirvió para mitigar los efectos causados por el ataque, aunque no pudiese evitarlo. Es necesario el desarrollo de herramientas automatizadas que permitan extraer datos de las fuentes adecuadas, como foros y mercados de hacking, procesarlos y generar información que permita a los expertos la detección de potenciales ciberamenazas. En estas herramientas juegan un papel fundamental tecnologías de análisis de datos como Procesado de Lenguaje Natural (PLN), Machine Learning y Deep Learning, tecnologías clave todas ellas en la apuesta estratégica de Gradiant por la seguridad y la ciberseguridad de cara al futuro.
Gradiant es Seguridad
Gradiant está presente en foros y organismos de influencia en el ámbito de la seguridad y la ciber seguridad a nivel internacional, como ECSO (European Cyber Security Organisation) en calidad de miembro fundador; o RENIC (Red de Excelencia Nacional de Innovación en Ciber Seguridad).
El recorrido de Gradiant en seguridad está avalado por por el desarrollo de un gran número de soluciones tecnológicas seguras, aplicando los principios de security & privacy by design. Soluciones como las basadas en el procesado de datos en dominio cifrado (que permiten realizar análisis mientras preservan la privacidad e identidad de los usuarios) que garantizan el procesado de datos confidenciales de forma segura. O soluciones basadas en cifrado homomórfico y módulos de seguridad hardware (HSMs), que permiten realizar operaciones en la nube con datos cifrados. Gradiant también ha aplicado el paradigma del IoT (Internet de las Cosas) seguro en escenarios reales, en los que la seguridad juega un papel decisivo. Gradiant desarrolla tecnologías biométricas basadas en reconocimiento facial, de firma o de voz. Gradiant trabaja en tecnologías embarcadas en drones y UAVs para evitar, por ejemplo, el spoofing (hackeo) de las señales GPS que guían los vehículos autónomos o tripulados remotamente. Además, el procesado y el análisis inteligente de vídeo que desarrolla Gradiant permite automatizar y simplificar la monitorización y vigilancia en entornos complejos (por ejemplo, videovigilancia o vídeo capturado en tiempo real por drones o UAVs).