Si ayer intentaste acceder a Twitter, Netflix o Spotify, entre otros servicios, lo más probable es que hayas tenido dificultades: desde páginas que cargan lento o sin imágenes hasta servicios que directamente no funcionaban. No, no es un fallo de tu operador, como explicábamos, sino que se trataba de un ataque DDoS masivo contra Dyn, un importante proveedor de DNS que daba servicio a clientes potentes como los que mencionábamos al principio.
Todavía no se tienen muchos detalles sobre este ataque, que aún se está investigando (incluso por el FBI). Sin embargo, la firma de seguridad Flashpoint asegura conocer qué dispositivos están detrás del mismo: un "ejército" de cámaras IP y dispositivos grabadores infectados con un malware que permite a los atacantes controlarlos remotamente y dirigir tráfico sin parar hacia un objetivo (en este caso, Dyn). Sí, los dispositivos IoT se están convirtiendo en el arma preferida de los que organizan DDoS a nivel global.
Ejemplos de componentes que vende Xiongmai Technology
En concreto, Flashpoint apunta al fabricante chino XiongMai Technology, que hace componentes que luego vende a otros fabricantes. Entre los productos afectados se encuentran, principalmente y según dichos investigadores, cámaras IP y dispositivos de grabación de vídeo (DVRs). Si bien no se refieren a ningún fabricante concreto, Dyn también ha confirmado que "una gran parte" del tráfico del ataque procede de dispositivos IoT, algo que también asegura Level3.
No se puede decir que esto sea una novedad: también dispositivos similares fueron utilizados en uno de los ataque DDoS más importantes que se recuerda: 620 Gbps de tráfico contra el sitio web de un popular investigador de seguridad informática en septiembre de este año. OVH sufrió un ataque DDoS similar el mes pasado, que alcanzó 1Tbps según la compañía francesa y que por ahora parece tener el dudoso honor de ser el mayor DDoS registrado de la historia. Adivinad quién estaba detrás: más de 145.000 cámaras IP y dispositivos grabadores.
Un "ejército" de dispositivos IoT
¿Por qué usar dispositivos IoT en los ataques? La respuesta es sencilla: los hay de muchos tipos, son más fáciles de infectar que otros dispositivos más avanzados, funcionan durante todo el día (a fin de cuentas, nadie apaga sus cámaras de seguridad, ¿no?) y, a día de hoy, los fabricantes suelen descuidar bastante su seguridad.
Existe una herramienta, de nombre Mirai, que permite escanear Internet en busca de dispositivos desprotegidos o que utilizan las claves que el fabricante impone por defecto en sus productos, los infecta y permite controlarlos a distancia para coordinar ataques. El código fuente de esta herramienta se hizo público a comienzos de este mes. Si queréis leer más sobre ella, os recomiendo este análisis de Level3.
Estructura de una botnet "Mirai" (Foto. Level3)
Una de estas "Mirai botnet", como se les conoce en la industria, participó en el ataque de 620Gbps que os comentábamos antes y también, según Level3, se utilizó en el ataque a Dyn. No es el único software con fines similares: el propio Brian Krebs hablaba de Bashlight, que opera de forma similar y se filtró el año pasado.
¿Quién está detrás de estos ataques? Ésa es la parte más difícil de responder, ya que desconocemos si se trata de un mismo grupo o persona o, al ser estas herramientas públicas, puede tratarse de grupos distintos que aprovechan que cualquiera puede conseguir el software para realizar sus propios DDoS a la carta.
Imagen | Level3, Downdetector
Ver 25 comentarios
25 comentarios
whisper5
1) Los legisladores están dejando de lado la seguridad de una electrónica y software cada más presente entre nosotros. Las normativas que debe superar un coche son muchas, pero los conectan a internet y lo pueden hacer como les dé la gana. Los juguetes para niños siguen estrictas normas de seguridad, pero los conectan a internet sin cumplir unas mínimas normas de seguridad informática, y así con equipos de medicina personal, equipos deportivos, cámaras y un largo etcétera. Ya va siendo hora de que los legisladores creen las normas de seguridad informática mínimas que deban cumplir los equipos informáticos.
2) Relacionado con esto anterior, la actual arquitectura de computación que utilizamos no securizable. Deberíamos investigar para crear otra que garantice la robustez y la seguridad.
3) Es una pena, pero seguro que no tarda mucho alguien en aprovechar este incidente para airear el falso debate que enfrenta la seguridad, la privacidad y el control sobre informática y personas.
googlade
Interesante, ahora habría que saber el motivo real de este ataque en concreto y quien ha sido el más perjudicado, si la propia Dyn, o sus clientes. Porque quienes se toman las molestias de montar todo este tinglado, no creo que vaya a ser por simple diversión.
Por cierto creo que en el texto hay un 'tráfico' duplicado, 'objetivo' creo que sería la palabra que iba en esa oración.
stratacom
Esto mas q tecnico es un tema economico, a los fabricantes de modulos y electronica para la tan mal llamada IoT solo les interesa vender y vender cada vez mas sin preocuparse de la seguridad de estos elementos, en aliexpress proliferan estos equipillos a 5usd sin ningun tipo de control de acceso ni posibilidad de aplicar actualizaciones para corregir fallos.
Una forma de defendernos es simplemente cambiar las claves y usuario predeterminado que traen configurado de fabrica ya que esto ultimo segun entiendo fue una de las facilidades que tuvieron y tienen estos tipos para reclutar soldados para su botnet
manuelcr
Y con todos los smartphones que se quedan sin actualizaciones y son vulnerables, sobre todo en Android, veréis cuando los usen también para estas cosas y la gente vea que de repente sus datos se agotan o sus baterías se consumen.
Mucho conectar todo, mucha revolución tecnológica, pero luego permiten que nos dejen tirados sin actualizaciones.
lolo_aguirre
Bueno, vale, hay muchos fabricantes que sacrifican la seguridad, también hay usuarios que no se molestan ni en cambiar las contraseñas por defecto, pero teniendo en cuenta que eso es así y seguirá siéndolo siempre, ¿no se pueden proteger las grandes empresas de este tipo de ataques? Porque tenemos que tener muy claro que se van a seguir produciendo por muchas medidas de seguridad que traigan los dispositivos. La prueba es que mucha autentificación en dos pasos pero la clave más usada sigue siendo 12345
sergyop
Skynet es reaaaaaaaaaaaaaaal!
hamta
Y yo solo lanzo la pregunta:
¿así queremos coches "CONECTADOS" y "autónomos"?
¿asi queremos X objeto que nos ayude en casa?
De mi parte, una de las cosas por las que no me hago con un coche automático es por que no puedo permitir que "alguien mas decida por mi", me gusta tener el control. Aun que poco a poco veo como las empresas se empeñan mas en temas de seguridad y eso me deja un tanto tranquilo. Solo un poco (te estoy viendo, Toyota).
Digo, si como humanidad a penas estamos domando la mecánica, a la electrónica le falta mucho camino por recorrer. Y el internet, está en pañales.
Es triste saber que aun haya quienes disfruten de hacer el mal a otros. Sea por el medio que fuere.
Usuario desactivado
En teoria se puede realizar con cualquier dispositivo que se conecte a internet desde camaras, detectores de humo, alarmas, videoporteros y hasta con impresoras. Esto parece capitulo de "Person of interest"
userlooser
Se dice que China es el país desde el cual se lanzan más ataques.
Es una buena estrategia si estan interesados en ataques DDOS a gran escala:
Inundas el mercado con productos baratos que van conectados a Internet. Como son fáciles de infectar y/o de modificar su software o su firmware (sobretodo si el usuario final no protege su red y deja las passwords por defecto), cuando están distrubuídos por todo el mundo y tengo una gran red de dispositivos infectados, los utilizo para atacar a mi objetivo por DDOS.
Me quito el sombrero con los chinos. ;-)
Por si alguno no lo conoce, aquí hay un mapa de los ataques en tiempo real muy chulo de kaspersky:
https://cybermap.kaspersky.com/
pabloele1
Da gusto leer comentarios de lectores tan bien elaborados, que aporten y sumen, que se genere debate, y con los que se pueda aprender... No como en muchos otros artículos donde los lectores se dedican a pelearse o meter morralla en un espacio que debería ser para lo primero.
Enhorabuena para vosotros.
warp68
Pues el viernes por la tarde me di de alta en Netflix y fue como la seda.
De todas formas esto sólo irá a más. Los protocolos TCP/IP son inseguros y por más capas de "seguridad" que quieran ponerle, los cimientos son endebles como papel.
Esto irá a más y a peor. Yo que vosotros cambiará vuestros apreciados bitcoins por metálico. Cuanto antes, mejor.
gustavowoltmann
Me hubiese gustado un análisis mas detallado explicando las razones de éstos ataques, que tipo de beneficios buscan recaudar quienes los organizan.
finanzaspersonales
La seguridad electrónica no es una prioridad al crear dispositivos que se conectan a Internet. Solamente los sistemas operativos más potentes poseen herramientas de seguridad, de forma que este tipo de dispositivos pueden ser fáciles de utilizar remotamente para realizar ataques DDOS... Y la peor noticia es que este tipo de ataque sigue aumentando al haber cada vez más dispositivos vulnerables.