Etiqueta: DNS

Los ataques DDoS más peligrosos de los últimos 20 años  

Los ataques de denegación de servicio (DDoS) han sido parte del arsenal de los cibercriminales durante 20 años, y estos ataques son utilizados para su diversión, o para obtener ganancias de algún tipo (extorsión), como desvío para otro ataque, o como actos de protesta. Sea por la razón que sea, los ataques siguen evolucionando a medida que los criminales utilizan nuevas tecnologías y perfeccionan sus tácticas para causar daños cada vez mayores. Aquí están seis de los ataques DDoS más históricos hasta ahora.

Mafiaboy

Se produjo el 7 de febrero de 2000 cuando un atacante de 16 años que se llamó Mafiaboy, lanzó uno de los mayores -si no el más grande- ataques de negación de servicio de la época.

El ataque de Mafiaboy interrumpió e incluso derribó grandes páginas web, como CNN.com, Amazon.com, Yahoo y eBay. El ataque duró alrededor de una semana y durante gran parte de ese tiempo las víctimas no pudieron hacerle frente. Según informes, Mafiaboy había penetrado 50 redes para instalar un software llamado Sinkhole.

Después del ataque, la policía de Canadá y el FBI de Estados Unidos investigaron y fue arrestado en abril de 2000. En septiembre de 2001, Michael Calce (alias Mafiaboy) fue sentenciado en el tribunal de menores canadiense a 8 meses de “custodia abierta”, pasando un tiempo en un centro de detención, acceso limitado a Internet y un año de libertad condicional.

Root DNS server

El 21 de octubre de 2002 se impuso un ataque contra todos los 13 servidores de nombres para la zona raíz del Sistema de nombres de dominio de Internet (DNS).

El ataque -el primero de su tipo- no tuvo éxito en causar estragos en Internet, pero sí que provocó que algunos de los servidores raíz fueran inaccesibles. Los atacantes usaron una botnet para lanzar tráfico falso, pero gracias a una configuración adecuada y a un considerable exceso de aprovisionamiento de recursos, el ataque no fue tan grave como ciertamente podría haber sido.

Algunos lo han llamado la primera ciberguerra. En abril de 2007, la nación de Estonia encontró que sus servicios gubernamentales, financieros y de medios de comunicación en línea estaban desconectados.

Estonia cyberattack

El ataque masivo de DDoS ocurrió simultáneamente con las protestas políticas de ciudadanos rusos que estaban disgustados por la reubicación de un monumento de la Segunda Guerra Mundial. Este virus coincidió no sólo con las protestas ya en curso, sino también con los desafíos políticos y gubernamentales de páginas web.

Los ataques cobraron un peaje extraordinario a Estonia, que en ese momento estaba a la vanguardia del gobierno electrónico, y operaba básicamente sin papel, con la ciudadanía llevando la mayor parte de su banca, e incluso votando, de manera online en ese momento.

Proyecto Chanology

En enero de 2008, un colectivo llamado Anonymous lanzó lo que llamó Chanology en respuesta a los intentos por parte de la Iglesia de la Cienciología de retirar de Internet un vídeo promocional de exclusivo uso interno donde aparece Tom Cruise, un conocido cienciólogo.

Para esta ofensiva, Anonymous empleó numerosos ataques como compartir documentos de Scientology de forma online, hacer bromas, piquetes, etc. El colectivo ciertamente se hizo creativo, llegando incluso a enviar faxes de páginas negras en bucles continuos a la Iglesia. Este ataque a principios de 2008 fue el primer acto espontáneo de activismo social online, que hoy en día es más común.

Operación Ababil

En el otoño y el invierno de 2012 y 2013, 26 o más bancos de los Estados Unidos fueron golpeados con tormentas abrumadoras de tráfico de Internet. Un grupo que se autodenominaba el Izz ad-Din al-Qassam Cyber Fighters se atribuyó la responsabilidad de los ataques DDoS y dijo que se llevaron a cabo en represalia por un video anti-islam. Por su parte, las agencias de inteligencia del gobierno estadounidense dijeron que creían que los ataques eran impulsados por las represalias estadounidenses en Irán.

Los ataques golpearon a sitios como Bank of America, Capital One, Chase, Citibank, PNC Bank, y Wells Fargo, entre otros. Con un tráfico de 65 gigabits por segundo, estos ataques lograron interrumpir las operaciones de muchos bancos durante aproximadamente seis meses.

Miranet IoT botnet

Mirai es un malware que alimenta una red de internet de las cosas y que ha logrado causar estragos en el último año, incluyendo el lanzamiento de uno de los ataques DDoS más poderosos de todos los tiempos.

Esencialmente, Mirai funciona explorando Internet para dispositivos IoT conectados y vulnerables y se infiltrará usando credenciales comunes de fábrica, después de lo cual infectará aquellos dispositivos con el malware Mirai.

Descubierto en agosto de 2016 por la firma de investigación de seguridad MalwareMustDie, las botnets de Mirai han estado detrás de ataques como el Dyn de octubre de 2016, afectando a Airbnb, GitHub, Netflix, Reddit, y Twitter; entre otros.

George V. Hulme

 

Detectan que hay competencia entre ataques de malware: Mirai vs Hajime

Mirai, un notorio malware que ha estado esclavizando a los dispositivos de Internet de las Cosas (IoT), tiene competencia. Y es que, una pieza rival de programación ha estado infectando algunos de los mismos productos con una resistencia que supera a Mirai, según informan investigadores de seguridad, quienes han apodado al malware rival Hajime.

Desde que fue descubierto hace más de seis meses, Hajime se está extendiendo sin cenar y creando una botnet. El director de tecnología de BackConnect (un proveedor de servicios para protegerse de ataques DDoS), Marshal Webb, calcula que ha infectado cerca de 100.000 dispositivos en todo el mundo. Se espera que este programa malicioso podría lanzar ataques DDoS masivos que podrían eliminar sitios web o incluso interrumpir la infraestructura de Internet.

No hay que olvidar que Mirai ocupó los titulares del pasado octubre por el ataque DDoS dirigido a Dyn DNS, que frenó y cerró el tráfico de Internet de Estados Unidos. Lo más curioso es que Hajime fue descubierto por primera vez ese mismo mes cuando los investigadores de seguridad de Rapidity Networks estaban en busca de la actividad de Mirai. El nuevo malware también compromete el internet de dispositivos IoT mal protegidos -como cámaras, DVR y routers- intentado diferentes combinaciones de nombre de usuario y contraseña y luego transfiriendo un programa malicioso.

Sin embargo, Hajime no recibe órdenes de un servidor de comando y control como los dispositivos infectados por Mirai. En su lugar, se comunica a través de una red peer-to-peer construida fuera de los protocolos utilizados en BitTorrent, lo que significa que muchos de los dispositivos infectados pueden retransmitir archivos o instrucciones al resto de la botnet, haciéndola más resistente frente a cualquier esfuerzo de bloqueo. “Hajime es mucho, mucho más avanzado que Mirai”, dijo Webb. “Tiene una forma más efectiva de hacerse con el mando y el control”.

¿Quién está detrás de Hajime? Los investigadores de seguridad no están seguros. Curiosamente, no han observado que haya lanzado ataques DDoS, lo cual es una buena noticia. Sin embargo, podría ser capaz de lanzar una masiva similar a lo que Mirai hizo el año pasado. “Definitivamente hay un conflicto territorial en curso”, dijo Allison Nixon, directora de investigación de seguridad de Flashpoint.

Redacción

 

Ataques DDoS aumentaron en número e intensidad durante 2016

La firma de seguridad F5 Networks ha publicado los datos generados por su Centro de Operaciones de Seguridad (SOC), los cuales muestran un incremento tanto en el número como en la intensidad de los ciberataques sufridos en 2016.

Así, durante el año pasado, el SOC de F5 situado en Varsovia, que se encarga de proporcionar a las organizaciones europeas servicios de Web Application Firewall (WAF) y de detectar y mitigar actividades fraudulentas y ataques de tipo DDoS, además de llevar a cabo actividades de investigación relacionadas con la seguridad, ha controlado y atajado un total de 8,536 ataques DDoS.

Entre ellos destaca uno de los de mayor envergadura a nivel global, basado en una inundación por fragmentación UDP/ICMP a 448 Gbps y que pretendía utilizar más de 100.000 direcciones IP de múltiples zonas geográficas.

Ese incidente ha puesto de manifiesto la creciente capacidad de los ciberdelincuentes a la hora de coordinar recursos en todo el planeta con el fin de lograr el máximo impacto con sus ataques, utilizando, principalmente, IP con origen en Vietnam (28%), Rusia (22%), China (21%), Brasil (15%) y Estados Unidos (14%).

Así, de octubre a diciembre de 2016 y con respecto al mismo periodo de un año antes, el SOC de F5 ha incrementado en un 100% el número de organizaciones atendidas por ataques DDoS. Los clientes a los que se ha prestado servicios de Web Application Firewall crecieron en un 136% y los afectados por actividades fraudulentas en un 88%.

Las fragmentaciones del protocolo de usuario (UDP) fueron el tipo de ataque DDoS más común durante el último trimestre de 2016 (23% del total), seguido de DNS Reflections e inundaciones UDP (15%), inundaciones Syn (13%) y NTP Reflections (8%).

Fialmente, Gad Elkin, director de Seguridad de F5, afirma que “dado el aumento y la variedad de nuevas técnicas DDoS, a veces es complicado distinguir si una organización está siendo atacada. Por esta razón, es más importante que nunca llevar a cabo una monitorización constante del tráfico, con el fin de detectar cualquier tipo de irregularidad que se produzca en el mismo y poder dotar a las organizaciones con una capacidad de reacción inmediata. La mejor manera de avanzar es desplegar una estrategia DDoS de múltiples capas que proteja aplicaciones, datos y redes. Esto permite detectar los ataques y actuar de forma automática para pararlos.”

Redacción

 

IoT: La siguiente frontera en la lucha para proteger al Internet

El viernes 21 de octubre millones de usuarios despertaron para encontrarse con la imposibilidad de utilizar sus aplicaciones, acceder a sus archivos o conectarse a sus redes sociales. No solo las redes corporativas fueron afectadas. Muchos servicios de comunicación, entretenimiento, pagos y soporte como Twitter, Spotify, Netflix, Paypal y Heruku permanecieron inaccesibles por horas para muchísimos usuarios alrededor del mundo.

El problema fue causado por un ataque masivo de negación del servicio (denial-of-service, o DoS) concentrados en Dyn, uno de los proveedores más importantes del servicio de nombres de dominio (domain name service o DNS). Fuentes ligadas al Departamento de Homeland Security (DHS) de los Estados Unidos de América señalaron (sin confirmarlo) que estos ataques probablemente fueron causados por nuevas variantes de “malware” que utilizaron dispositivos del Internet de las Cosas (IoT) para lograr su objetivo.

¿Pero no es que todo mundo habla del IoT como el siguiente gran paso en la evolución del Internet? ¿Qué no nos habían dicho que los beneficios del IoT sobrepasaban sus riesgos? ¿Cómo entonces el IoT no me dejó ver mi serie favorita, pagar lo que compré, o hacer mi trabajo?

Las respuestas a esas preguntas son: si lo es; así es:

  • El IoT es al fin y al cabo la siguiente generación del Internet, y como tal utiliza muchos de sus mismos servicios. El DNS mencionado arriba es como las páginas amarillas del Internet, y sirve para que la información que se cruza por ella llegue a su destino de manera confiable y expedita. Es un gran sistema y funciona a la perfección la mayoría del tiempo.
  • Un ataque de DoS es un intento de inhabilitar el acceso un recurso de la red (internet) por parte de los usuarios, por ejemplo una página web. Un ataque Distribuido de DoS (DDoS) es cuando ese ataque se lanza desde múltiples direcciones de IP – o como en este caso, dispositivos – todos apuntando al mismo tiempo al mismo objetivo. Típicamente el objetivo se derrumba ante la cantidad de solicitudes de acceso y la enorme presión del tráfico generado.
  • Cuando se lanza un ataque de DDoS a un proveedor de DNS importante como Dyn es como si de repente se robaran las páginas amarillas del Internet, y entonces el tráfico no puede encontrar la ruta hacia su destino, no hay manera de encontrar ni la dirección de destino, ni la manera de llamar al destinatario para que se identifique. Caos informático en su más pura expresión.
  • Lo que sucedió este viernes pasado es exactamente esto… solo que los dispositivos de ataque no fueron PC´s o servidores infectados con algún malware, sino que APARENTEMENTE fueron dispositivos de IoT que no habían sido correctamente protegidos, asegurados y monitoreados.

El potencial de alcance de este tipo de eventos es increíble. Si nos creemos los datos de los analistas del mercado, el IoT es potencialmente una red de dispositivos alrededor de 100 veces más grande que el internet que conocemos hoy en día, con una tasa de adopción y crecimiento acelerada, 5 veces más veloz que el crecimiento de la red eléctrica o la telefónica, y con un alcance inaudito.

Pero también es cierto que estos dispositivos no son ni tan complejos ni tan poderosos como una PC o un servidor. De hecho son bastante sencillos, y asegurarlos y monitorearlos es una tarea que se puede llevar a cabo siguiendo lineamientos de seguridad, sistemas y soluciones existentes en el mundo de TI. El problema es que no los vemos como computadoras, y como muchas veces no son “problema” de TI, a veces hacemos caso omiso de ellos.

Cada medidor, interruptor, motor, controlador, luminaria, cámara, etc. que sea susceptible a conectarse al Internet o que esté ya conectado a ella debe someterse a los protocolos de seguridad, administración, control y monitoreo que sean pertinentes.  La posibilidad de crear un IoT seguro está a nuestro alcance, y con él todos sus beneficios.

En ho1a estamos convencidos que aunque los riesgos son reales, estos se pueden identificar, acotar, prevenir y remediar. Y lo más importante es que los beneficios y el potencial del IoT representan la oportunidad de crecimiento, diferenciación, rentabilidad y eficiencia más disruptivos que hemos visto desde el nacimiento del Internet.

 

 

roberto-de-la-mora-ho1a

Por: Roberto de la Mora,

Director de Mercadotecnia, Innovación

y Desarrollo de Negocios en ho1a.

@rdelamora

 

Aplican seguridad con firewall autónomo para IoT y redes 5G

La firma F5 Networks es la encargada de proveer seguridad a las protegerá redes de proveedores de servicios, ofrece bajo costo y al mismo tiempo les permitirá preparar sus redes para el futuro en su transición de 4G a 5G y NFV.

F5 Networks anunció la disponibilidad de su firewall escalable de alto desempeño enfocado en proveer seguridad integral en redes de proveedores de servicios. El firewall autónomo admite un máximo de 1,200 millones de conexiones concurrentes y más de 20 millones de conexiones por segundo.

Mallik Tatipamula, vicepresidente de soluciones para proveedores de servicios de F5, señaló, “hoy los proveedores de servicios responden al crecimiento exponencial de suscriptores, datos, dispositivos y la Internet de las Cosas rediseñando por arquitectura sus redes y asegurándose de que puedan escalar. Éstos son retos significativos cuando se trata de proteger la seguridad de estas redes.”

La firma proporciona, un portafolio integrado en materia de seguridad:

Las redes centrales de los proveedores de servicios enfrentan amenazas desde múltiples puntos (dispositivos, redes y aplicaciones), mientras que los ataques a las redes impactan también al DNS, el plano de control y la señalización (incluyendo SIP y Diameter). La cartera de servicios incluye la integración de CGNAT, brinda seguridad integral y provee una solución en múltiples niveles para proteger la aplicación, el plano de control y el plano de datos contra APTs y ataques DDoS. Esto permite a los proveedores de servicios proteger su marca y conservar clientes mejorando la Calidad de la Experiencia de sus suscriptores y al mismo tiempo blindando su red para el futuro mientras evolucionan sus arquitecturas de red.

 Escala y desempeño masivos con el más bajo costo total de propiedad

Las redes 5G tienen características de ultra baja latencia para manejar el crecimiento asociado con la IoT. F5 ofrece a los proveedores de servicios ponderosas soluciones de desempeño que pueden escalar en conexiones concurrentes y conexiones por segundo (CPS) para satisfacer los requisitos de redes 5G y la IoT. Un estudio reciente realizado por la firma de investigación independiente ACG reveló que el firewall de F5 registró un costo total de propiedad hasta 80% menor que soluciones alternativas y al mismo tiempo proporcionó un retorno de la inversión 216% mayor.

Disponibilidad

El firewall autónomo estará disponible en el tercer trimestre del año calendario 2016. Sírvase ponerse en contacto con una oficina local de ventas de F5 para solicitar información adicional y datos sobre la disponibilidad de productos en países específicos.

N. de P. F5 Networks

Accenture implementa telemetría de datos en su plataforma de seguridad

La compañía presenta plataforma de ciberseguridad con la que pretende ayudar a las organizaciones a luchar contra los ciberataques, mediante la combinación de servicios de seguridad gestionada, inteligencia artificial, soluciones Cloud y Analytics.

Accenture se enfocará en la protección avanzada ante ciberataques para lo que acaba de anunciar su plataforma de Ciber-Inteligencia, la cual hace uso de una combinación de tecnologías, como inteligencia artificial, aprendizaje automático y análisis de datos constante para permitir que las organizaciones puedan identificar amenazas en tiempo real.

Para ser precisos, la plataforma examina la actividad en las redes para aprender, determinar y reportar comportamientos sospechosos atribuibles a ciberataques. Desde la compañía destacan el uso avanzado de tecnologías como Big Data para poder determinar y reportar comportamientos sospechosos atribuibles a ciberataques.

La compañía también se apoya en el potencial de otras herramientas, como Accenture as a Service, así como en la plataforma Cloud de Accenture, para agilizar su puesta en marcha. Desde su instalación inicial, la plataforma despliega un aprendizaje automático para observar los comportamientos dentro de las organizaciones y poder gestionar la seguridad, analizando y monitorizando en tiempo real los comportamientos sospechosos.

Según afirma Vikram Desai, managing director de Accenture Analytics Security, “los cibercriminales continúan evolucionando las técnicas de ataques haciendo uso de la tecnología de datos, y los clientes nos han pedido que les ayudemos a luchar contra las nuevas amenazas”.

La nueva plataforma hace uso del flujo de la red de la organización y de los datos DNS para moverse desde una detección proactiva de la amenaza, a otra predictiva.
La nueva plataforma hace uso del flujo de la red de la organización y de los datos DNS para moverse desde una detección proactiva de la amenaza, a otra predictiva.

La nueva plataforma hace uso del flujo de la red de la organización y de los datos DNS para moverse desde una detección proactiva de la amenaza, a otra predictiva

La analista de IDC y directora del programa de servicios de seguridad, Cristina Richmond señala que “la nueva plataforma de Accenture introduce un avance importante sobre los filtros tradicionales o patrones de seguridad ya existentes, ya que las compañías pueden ahora emplear telemetría de datos de red, con la que ya cuentan, para identificar de forma rápida los ciberataques en base a los comportamientos”.

-Alfonso Casas