La polémica que se ha desatado con el ataque convocado por el grupo Anonymous de 4chan contra la SGAE y El Ministerio de Cultura, como se suele decir, ha generado "ríos de tinta digital" sobre los detalles del ataque e incluso en ciertas listas de correo se discutía sobre lo lícito o ilícito del mismo como forma de manifestación ante la actitud de la SGAE.

Ayer, Yago además nos contaba cómo había protegido ACENS (el ISP que alberga el sitio web de la SGAE), el resto de la infraestructura, al saber que iba a ser víctima de una muerte anunciada y segura por parte de un ataque DoS contra uno de sus clientes.

Asimismo, tuve la oportunidad de asistir a un webinar titulado "Stopping DDoS attacks: How to protect your services and generate new revenue" patrocinado por Arbor Networks, "un fabricante de equipos específicos para detectar y parar Ataques de Denegación de Servicio"

Según contaba en el webinar Tom Bienkowski, el director de producto, los ataques (D)DoS, cada vez tienen más sentido debido al auge del cloud computing, tendencia por la que los servicios se dan desde la nube, desde Internet. Se hace imprescindible proteger a los proveedores de estos servicios, pudiendo garantizar la fiabilidad y disponibilidad del servicio. En la presentación aparecía un gráfico de evolución de diferentes ataques de Denegación de Servicio, ordenados en el tiempo y se mostraba el ancho de banda utilizado. En 2009, se llegaban a ver ataques de hasta 50 Gbps!!!!


Fundamentalmente los ataques de Denegación de Servicio suelen ser de dos tipos:
  • Altísimo número de conexiones / agotamiento ancho de banda existente: Como los realizados a través de botnets en las que los administradores deciden utilizar una legión de ordenadores "zombies" para lanzar peticiones contra un único objetivo; o por convocatorias como las de 4chan en las que cada cliente, según esté o no de acuerdo con la causa, se baja un software que ejecuta en el momento en el que se convoca el ataque. El objetivo es consumir o el ancho de banda disponible para el servicio o los recursos de todo lo que haya por el camino: routers, switches, firewalls, balanceadores, servidores, etc,...
  • Consumo de la capacidad de procesamiento de recursos: Este tipo de ataque es más oculto. Se basa en atacar únicamente aplicaciones específicas como pueden ser protocolo (HTTP, DNS, VOIP, etc,...) mediante paquetes malformados que tardan mucho en procesarse y descartarse. En este caso con un número menor de ataques se logra que se bloquee el servicio igualmente. Un ejemplo conocido pueden ser los ataques de tipo LAND, Slowloris, envenenamiento de DNS, Smurf, etc,...
Los motivos de los ataques suelen variados:


  • Extorsión: Ya sean mafias o grupos de ciberdelincuentes, eligen un destino y exigen algo a cambio (en general, una suculenta suma) o su web quedará fuera de combate el tiempo que deseen. Un ejemplo de este ataque fue el sufrido por Genbeta hace un par de años por la publicación de una nota que no gustó a determinado grupo.
  • Fines ideológicos: Véase el caso de la convocatoria a SGAE/mcu.es/promusicae a través de 4chan.
  • Por contrato: "Tumbad la web de mi competencia que mientras yo venderé y haré negocio".
El impacto que una Denegación de Servicio tiene sobre el sitio objetivo, está claro: económico, pérdida de productividad, multas por fallo en un SLA, reputación e imagen....

Tom de Arbor Networks, insistía en que los productos tradicionales de seguridad perimetral (como firewalls, IDS e IPS) no pueden parar algunos ataques de DDoS puesto que tienen que permitir ciertos servicios de entrada, mantener tablas de estados, las firmas que utilizan no corresponden a ataques de DoS, y si permites un máximo de sesiones por IP origen, en cuanto el ataque es distribuido, tampoco vale de nada...

La solución según Arbor es complementar el parque con un elemento más llamado IDMS (Intelligent DDoS Mitigation System). Este tipo de equipos debe ir situado en la primera línea de defensa, incluso antes del firewall o en una ubicación externa, en un ISP con capacidad para procesar altas cantidades de tráfico de red. Estos equipos -los suyos- están especializados en la detección y bloqueo de ataques de una forma más inteligente, con diferentes motores, y añadiendo una capa más de protección.

Mi opinión
Después de escuchar atentamente la explicación del empleado de Arbor Networks, evidentemente la conclusión que saco es que por supuesto que sus equipos introducirán una capa más de protección ante determinado tipo de ataques DDoS o por lo menos reaccionarán ante fluctuaciones del tráfico considerado como "normal" dentro de una organización.

Sin embargo, y pese a que la muestra de equipos que ofrecen en el portfolio, van desde el 1,5 Gbps de procesamiento hasta los 40 Gbps, si los ataques registrados en 2009 ya llegaban hasta 50 Gbps, en determinados entornos, se quedaría corto.

Por otra parte, creo que con una combinación del resto de los componentes de seguridad perimetral existentes en el mercado (y en casi todas las organizaciones grandes) como firewalls, IPS, WAF, balanceadores y gestores de ancho de banda se pueden llegar a eliminar varios de estos ataques. Lo que está claro es que si no dispones de ancho de banda disponible, un DDoS por agotamiento del caudal disponible, te va a llegar igualmente, tengas el equipo que tengas. De hecho, no supo contestar a mi pregunta sobre si habían tenido algún caso de éxito contra un ataque convocado a través de 4chan publicándolo con gran orgullo y a los cuatro vientos, si hubieran tenido esa experiencia.

Como soluciones válidas para este tipo de ataques, sólo Akamai parece ser una solución fiable, gracias a la multitud de cachés por todo el Mundo y en momentos puntuales, y a fin de proteger el resto del ISP, la solución llevada a cabo por Acens eliminando la ruta hacia la web de SGAE cuando es una "Crónica de una Muerte Anunciada" como la de 4chan, parece de lo más inteligente. Al fin y al cabo, dejar sin ancho de banda disponible, con un poder de convocatoria como ese, seguro que lo consiguen, al menos, sacrificas el peón que sabes que muere igualmente y salvas el resto del tablero; pero desde el punto de vista de la defensa, desafortunadamente, siguen sin existir balas de plata que te garanticen que puedes dormir tranquilo al 100%


Publicado por Lorenzo Martínez en http://www.securitybydefault.com/2010/10/como-mitigar-ataques-de-denegacion-de.html