Una de las grandes amenazas a la que prácticamente cualquier organización presente en Internet está expuesta, es a los tan conocidos ataques de denegación de servicio, comúnmente abreviados como DoS (Denial of Service), que con el paso del tiempo evolucionaron al DDoS (Distributed Denial of Service).
Para quien no esté familiarizado con la terminología, la diferencia obvia entre uno y otro se encuentra en el término “distribuido”, que hace referencia a la característica de lanzar este ataque de manera coordinada desde diferentes ubicaciones o instancias. Es decir, múltiples ataques DoS a la vez de manera distribuida.
Los ataques de denegación de servicio distribuida
Esto se produce como consecuencia de la evolución de la tecnología y los sistemas que utilizamos para interconectar dispositivos. Las capacidades de dichos dispositivos así como el ancho de banda de los canales de comunicación que los unen han aumentado con el paso de los años, por lo que en la práctica a día de hoy casi cualquier ataque de denegación de servicio pasa por ser un ataque de denegación de servicio distribuida, ya que requieren de un número considerable de puntos de ataque para poder lograr tener un impacto considerable en el objetivo.
Recordemos que los ataques de denegación de servicio, como su propio nombre indica, buscan dejar indisponible un servicio que un sistema ofrece, para lo cual hay diferentes aproximaciones y posibilidades dependiendo de las condiciones específicas de cada situación.
La más habitual, es la de saturar o exasperar los recursos esenciales del sistema a atacar, entre los que se incluyen la capacidad de cómputo de la CPU, la memoria del sistema, el ancho de banda, acceso a sistemas externos, el espacio en disco, la alimentación… De hecho dentro de los ataques dirigidos a la saturación existen también diferentes posibilidades para acometer cada uno de ellos, dependiendo del tipo de recurso a atacar, así como las posibilidades de explotación en cada caso.
En este sentido hay una cantidad innombrable de ejemplos de ataques destinados a la saturación de recursos, pues son los más habituales. Gran parte de los ataques atribuidos a Anonymous encajan en esta aproximación.
Ejemplos de ataques de DDoS
Sin duda alguna, el ejemplo estrella a la hora de hablar de ataques de DDoS a día de hoy, destinados a saturar un recurso lo encontramos en el espectacular ataque que el proveedor de servicios DNS Dyn sufrió el 21 de Octubre del pasado 2016, que dejó fuera de juego a servicios tan importantes como Twitter, Amazon, Spotify, Netflix o CNN, durante unas cuantas horas, afectando por tanto a millones de usuarios. Dicho ataque pasó a la historia además de por afectar a servicios tan importantes para los usuarios , por la cantidad de tráfico que los servidores DNS de Dyn llegaron a acumular, que batió el récord establecido hasta ahora llegando a picos de 1.2 Tbps.
Una cantidad ingente de tráfico que fue originado desde no sólo dispositivos de escritorio o móviles, sino también desde dispositivos englobados dentro del Internet of Things, como cámaras o grabadores de vídeo. Se dice que el ataque empleó cerca de 100.000 dispositivos controlados mediante una botnet que desde entonces se ha hecho muy popular, y cuyo creador bautizó como “Mirai”.
Hay muchísimos más ejemplos de este tipo de ataques, que como ya se ha comentado son muy habituales, y por otro lado, son complicados de defender.
Ataques para modificar la configuración de algún dispositivo indispensable
Otro tipo de ataques buscan modificar la configuración de algún dispositivo indispensable, generalmente algún servidor o un router. Realizar cambios en la configuración de estos recursos pueden provocar efectos adversos en los sistemas involucrados, dejándolos por tanto fuera de servicio y logrando el objetivo inicial de los atacantes que no es otro que la indisponibilidad, para la cual hay muchos caminos.
Un ejemplo de este tipo de ataque puede ser el efectuado por el grupo Syrian Electronic Army contra el rotativo americano New York Times. Para lograr su propósito, este grupo hacktivista logró acceder a una cuenta con privilegios de administrador en el registrador de dominios utilizado por el periódico. Bastó posteriormente modificar los registros DNS para redirigir el tráfico a otro servidor. De este modo, consiguieron el objetivo de lograr indisponible su objetivo.
Ataques con objetivo de destrucción del sistema
Existen también los ataques cuyo objetivo es la destrucción del sistema objetivo. Esto implica en la mayor parte de los casos disponer de acceso físico al sistema, pero con la evolución de los sistemas de control industrial y su exposición a Internet en muchos casos esto es posible de lograr de manera remota. Existen también ataques destinados a la disrupción temporal de un servicio o a la obstrucción de la comunicación entre dos puntos.
Del mismo modo ,dependiendo de las técnicas utilizadas los ataques de DDoS pueden clasificarse también por la capa del modelo OSI a la que afectan, pudiendo distinguirse entre ataques a protocolos involucrados en la capa de red y de transporte, así como ataques diferentes que corresponden a la capa de aplicación. En este sentido el protocolo http es el más atacado, pero protocolos como NTP o DNS han sido habitualmente utilizados en los últimos años para lograr efectuar ataques de amplificación. Este apelativo se utiliza para calificar aquellos ataques que permiten utilizar servidores vulnerables que respondan a estos protocolos con paquetes de un tamaño X veces superior al de la petición enviada por el atacante, entendiéndose el valor de X como el factor de amplificación del ataque.
Como vemos, existen muchas maneras diferentes de atacar un sistema para dejarlo indisponible.
Deepak Daswani, Security Architect. Deloitte, S.L.
Formación Relacionada
