DDoS de actualidad: IoT y los DNS de Dyn
Si la semana pasada escuchábamos a Phil Zimmerman en el 10 ENISE manifestar sus dudas respecto a la seguridad y la generalización del IoT, hoy llegamos al lunes tras un fin de semana de intensa información en medios generalizados sobre un nuevo ataque DDoS que ha captado la atención de manera generalizada.
En pleno Mes Europeo de la Ciberseguridad, hoy queda nuevamente patente que la seguridad de Internet es una cosa de todos. Pues a "casi todos" y todas las "cosas"(por aquello del IoT) se han visto de alguna manera implicados o afectados en las últimas semanas debido a las oleadas de ataques de denegación de servicio que han sufrido importantes empresas del sector.
Así, tras el ataque sufrido por la web KrebsOnSecurity.com con tasas de 620 Gbps y el aún mayor ataque de DDoS sufrido por la empresa francesa de hosting OVH que llegó a 1.1 Tbps, este viernes se produjo un ataque que, basado en las mismas técnicas, dejó fuera de servicio o con grandes problemas de disponibilidad a sitios tan relevante y conocidos como New York Times, Reddit, Twitter, Spotify o eBay.
Por qué es tan relevante este ataque
Porque sitios de relevancia tan alta como Twitter o Paypal estuvieron fuera de servicio al ser atacado una de las piedras angulares de Internet: el Sistema de Nombres de Dominio (DNS). Así, esta caída de servicio no se debió a un ataque directo contra estas grandes marcas sino a su proveedor de servicios digitales DYN, que gestiona el servicio de DNS de compañías tan importantes como las ya mencionadas. Así pues, aunque dichos sitios web no sufrieron ningún ataque directo y funcionaban correctamente, no era posible que los usuarios pudieran llegar a ellos debido al fallo del sistema intermedio responsable de traducir el dominio en la dirección IP correspondiente.
DYN informó que el incidente empezó el viernes 21 de octubre a la 13:10 hora peninsular española, enfocando el ataque de DDoS contra la infraestructura de la costa este de los Estados Unidos, informando a las 15:20 de la normalización de los sistemas. A las 17:52 se produjo otro nuevo ataque que habría tenido un alto de impacto en clientes de Iberoamérica y Europa, el cual fue mitigado una hora más tarde. También se informó de un tercer ataque, pero no habría tenido repercusión alguna para los usuarios. En este punto cabe destacar el ejercicio de transparencia de Dyn que fue informando puntualmente del estado de la incidencia y su evolución.
IoT y DDoS
Una de las características novedosas de este ataque ha sido el uso de dispositivos IoT o del Internet de las cosas. Aunque todavía no hay pruebas completas, las técnicas y métodos usados para realizar el ataque apuntan a que se habría usado la botnet Mirai, de la que seguramente tengamos más noticias al ser liberado su código fuente hace poco tiempo. Esta botnet está formada principalmente por dispositivos IoT como son cámaras IP de vigilancia, grabadoras digitales de video (DVR), y routers domésticos..
A pesar de la limitada potencia de procesamiento, estos dispositivos presentan al menos dos ventajas que parecen estar siendo convenientemente explotadas para su uso en este tipo de ataques:
- Carencias generalizadas de seguridad y de mantenimiento. Estos dispositivos suelen tener la característica común de que están expuestos o conectados a Internet sin estar debidamente protegidos. Podemos encontrar desde sistemas con credenciales embebidas por defecto, contraseñas débiles fáciles de atacar por fuerza bruta, configuraciones que erróneas por defecto o vulnerabilidades antiguas conocidas que por falta de mantenimiento no están solucionadas. Además, en muchos casos son dispositivos que una vez puestos en producción no serán actualizados.
- Gran número de dispositivos existente actualmente y sobre el que se prevé un importante aumento en los próximos años: se estima que para el 2020 haya más de 26.000 millones dispositivos conectados a Internet.
Los pronósticos derivados de ABI Research
Qué se puede hacer o qué debemos aprender
Un ataque de DDoS de estas características y con tal volumen de tráfico es, sino imposible, si altamente complicado de parar. Aunque existen técnicas para mitigar este tipo de ataques, en muchos casos lo único que se puede hacer es tener una estructura lo suficientemente sobredimensionada para absorberlos o contratar empresas o servicios especializados. La industria de la ciberseguridad se enfrenta aquí al reto que supone asumir el coste de unos recursos que deben ser proporcionales a la infraestructura del atacante.
Dentro de esta problemática, este incidente ha sacado a la luz ciertas vulnerabilidades o debilidades que tienen las empresas afectadas, como ha sido la falta de previsión al no contar con sistemas de respaldo o alternativos para este caso de situaciones y para unos sistemas tan esenciales como el DNS. Así, entre los clientes del sistema afectado de DYN, también había empresas que siguieron dando servicio debido a que tenían sistemas de DNS de respaldo.
Sin embargo, el crecimiento del número de dispositivos y de las capacidades de las redes de comunicaciones no hace sino aumentar el vector de ataque en este tipo de incidentes, por lo que cada vez será más complicada su mitigación. La única estrategia para deducir este vector de ataque es la mejora de la seguridad de los sistemas en general y del mundo IoT en particular. La ciberseguridad es cosa de todos.