MalwareIntelligence es un sitio dedicado a la investigación sobre todas las cuestiones relacionadas con criminología informática, seguridad de la información en general y seguridad antimalware en particular, siempre desde una perspectiva estrechamente relacionado con el campo de inteligencia.

13.2.08

CAIDOS POR LA LIBERTAD DE EXPRESIÓN (DDoS)

Piratas informáticos echan abajo varias webs para evitar la difusión de una noticia.

Las amenazas a la libertad de expresión en Internet provienen de los lugares más inesperados. Un blog español publicó una noticia en noviembre alertando de un posible fraude. El supuesto estafador, molesto con la publicidad negativa, amenazó con echar abajo la página web si no retiraban el texto. Y cumplió su ultimátum. La bitácora ha estado inaccesible varios días. Y junto a ella, otras páginas populares, como Menéame y Error500, han sufrido ataques por reproducir el artículo.

Genbeta, uno de los blog sobre tecnología más populares, publicó una noticia en la que alertaba contra un supuesto servicio para que los interesados supieran quién les había borrado de la lista de contactos del Messenger (uno de los programas de mensajería instantánea más popular). Para saberlo, sólo tenían que mandar su nombre de usuario y clave.

El mensaje se quedó ahí. Además de que dar estos datos a un desconocido es un "suicidio tecnológico", en palabras de Víctor Pimentel, el autor del artículo, la mayor parte de los lectores del blog saben que es sencillo averiguar quién les ha borrado de su Messenger. Pero en las últimas semanas, la noticia aparecía muy bien colocada en Google y a alguien le molestó la mala publicidad.

Amenazas por correo

Hace unos días, en Genbeta recibieron un mensaje amenazador. Si no retiraban la noticia, iban a tener problemas. "Si no sacan esta nota su página sufrirá una denegación masiva enorme, desde un datacenter de China, la cual no la podrán detener, y es tan fuerte, que podrá afectar toda la red donde alojan", afirmaba el correo.

El 3 de febrero, los responsables del blog vieron que algo no iba bien. El tráfico de su página crecía demasiado. El jueves pasado, sufrieron oleadas sucesivas de peticiones desde miles de ordenadores de todo el mundo. Su modesta página soportaba 100 millones de peticiones por segundo. La caída fue inevitable y la web no se recuperó hasta el sábado.

El director general de Weblogs SL , Julio Alonso, propietaria de Genbeta, lo explica: "A partir del jueves el ataque creció exponencialmente y ya no fue posible pararlo. Era capaz de tumbar el centro de datos de NTT (propietaria de los servidores que albergan Genbeta, y otras compañías, como Spanair) afectando a todos sus clientes en España. En ese momento, NTT cortó la conexión con Genbeta para evitar el contagio al resto de clientes".

El ataque sufrido por este blog es lo que en seguridad informática se llama DDoS (ataque distribuido de denegación de servicio). Consiste en realizar un elevado número de solicitudes a un servidor o web, hasta que llega un punto en que la máquina no puede procesarlas. Primero ralentiza sus respuestas y, finalmente, cae.

Tanto NTT Europe Online como Weblogs SL no quieren ofrecer muchos datos para no entorpecer la denuncia que han puesto, pero sus responsables están seguros de quién ha sido. Como dice el director general de NTT: "Se trata de un cracker [un hacker malicioso] profesional. Los ataques vienen de potentes ordenadores y desde muchos países".

Da la impresión de que es un trabajo por encargo. "Alguien pagó a un profesional para que lanzara el ataque", explica Alonso. Pero asegura que resistirán. No van a borrar la noticia, aunque les esté dejando sin visitas e ingresos por publicidad. "¿Qué sería lo siguiente si cedemos al chantaje? ¿Exigirnos dinero?", se pregunta.

Ataques por encargo

Por Olof Sandstrom, responsable de la Comisión de Seguridad de Asimilec

Cuando eres el objetivo de un ataque de denegación de servicio tiran abajo tu infraestructura con un exceso de transacciones.

Lo primero que hacen es tantearte. Antes del ataque definitivo, pasan unas semanas de investigación, haciendo pruebas contra tu infraestructura para comprobar su resistencia. Primero te suelen enviar millones de correos electrónicos en cinco minutos. Si tu servirdor lo aguanta, los vuelven a mandar, pero en un minuto. En el caso de que el sistema rechace estos envíos, dirigen la ofensiva contra la web y el servidor que la alberga.

Los ordenadores implicados en el ataque pueden ser miles y mandar millones de peticiones en una fracción de minuto. Casi nunca atacan desde su ordenador, lo hacen desde otros, para enmascarar su origen. Por eso es tan difícil detectar el ataque ni identificar al atacante.

La herramienta para combatirlos es cortar la conexión con esos ordenadores. El problema es que las peticiones se hacen desde ordenadores legítimos y, como no hay forma de detectar a los que están atacando, afecta a inocentes.

Desde hace dos o tres años existe todo un negocio, ilegal, pero negocio. Grupos mafiosos venden este tipo de ataques a quien quiera echar abajo una red o página web. La única manera de pillarlos es la coordinación de todos nosotros.

0 comentarios: