Ataque a Twitter
¿Estamos bajo un nuevo tipo de amenaza?
Este viernes 21 de Octubre 2016 , ha marcado un nuevo punto con respecto a la forma de ataques a los sitios web.
EEUU sufrió un ataque a escala masiva dejando sin servicio varios sitios web , que al parecer fue estratégicamente planificado.
Los hacker están aprovechando las vulnerabilidades de las nuevas tecnologías, ya que según lo investigado hasta hace pocas horas es que el ataque masivos tanto de tráfico como de dispositivos al servidor de DYN fue por la vulnerabilidad de equipos IoT.
DYN es un proveedor de servicios de DNS en el cual tiene como clientes a emblemáticas empresas como Twitter y NetFlix entre otros.
TEMAS
¿ Que sucedió ?
¿Quién lo ha realizado?
Forma de ataque
¿ Como solucionarlo ? ó ¿ se puede evitar ?
¿ Que sucedió ?
Por medio de DDoS que es una forma de ataque que consiste en saturar el ancho de banda del servicio incrementando el trafico hacia el sitio web en particular.
Se sospecha que el ataque tiene relación con botnet Mirai que consiste en utilizar infectar dispositivos para luego dirigir el ataque remotamente y se ha estado utilizando en las últimas semanas.
Este tipo de ataque no es nuevo, lo que que es nuevo son la forma en que lo hicieron y en conjunto con métodos de ataque que se explican más adelante.
¿Quién lo ha realizado?
Durante las primeras 24 horas se manejaban 2 versiones.
Dos grandes grupos de hacktivistas, Anonymous y New World Hackers se habían adjudicado los ataques, pero luego fueron desmentidos por la firma de seguridad Flashpoint.
Hay quienes mencionan que el ataque es procedente de Rusia con el objetivo de sabotear las próximas elecciones presidenciales en EEUU., según mencionan están 31 estados dentro de los objetivos.
El FBI y el Departamento de Estado de EEUU aún están investigando la procedencia de los ataques para luego tomar acción, pero descartan que Rusia este implicada, el FBI ya habían advertido sobre el malware que había afectado a varios dispositivos IoT semanas atrás.
Forma de ataque
1. En lugar de atacar directamente un sitio en particular , como regularmente lo hacen , en está ocasión concentraron el ataque en el servidor proveedor de DNS, en este caso particular DYN
Al atacar al proveedor de servicios de DNS, hicieron posible tener un mayor impacto, porque lograron un alcance superior como no se había visto antes dejando de muchos sitios fuera de servicio entre los cuales se encuentra muchos sitios famosos como Twitter, Spotify, Amazon, PayPal , Wall Street Journal, entre otros.
2. Aprovecharon el IoT , según lo investigado promedio de un malware que fue difundido hace un par de semanas, lograron infectar a varios dispositivos como cámaras IP, dispositivos basados en CCTV (dispositivos de grabación), incluso algunos mencionan routers.
Según DYN el ataque se produjo por medio de un Botnets de DDoS
Todo ello consiste en controlar remotamente los dispositivo y enviar de forma masiva trafico hacia una IP , en este caso no se trato a una web especifica sino al servidor del proveedor de DNS afectando a todos sus clientes.
DYN resolvió en un par de horas ante los dos ataques que recibió, no informo como lo realizó , lo cual considero obvio en el sentido de seguridad, no revela la solución para evitar dar información a los atacantes.
Fuente de la noticia :
¿ Como solucionarlo ? ó ¿ se puede evitar ?
Antes de dar mi lista de solución y prevención es importante remarcar que parte del problema se debe a la vulnerabilidad por la falta de seguridad de los fabricantes de los dispositivos IoT mencionados, se debería de exigirles que certifiquen la seguridad de sus aparatos.
Ahora sí , como se puede solucionar o incluso ¿ Se puede prevenir ?
La solución parece simple pero en realidad es compleja, debido a que se debe de tener la determinación de tomar la decisión correcta en el momento correcto.
• Cambio de IP o Servidor
• Filtrar IP y bloquearlas
• Plan de contingencia
Cambio de IP o Servidor:
Como el ataque es dirigido a las IPs del servidor DNS, lo más obvio es cambiar las IPs o migrar de servidor.
Pero tomar la decisión en el momento adecuado es lo complicado, ya que la replica de dichas IP llevan tiempo que pueden durar hasta 48 horas , que puede ser mucho mas tiempo que el mismo ataque.
Filtrar IP y bloquearlas:
Otra alternativa es bloquear las IPs que son sospechosas de dirigir trafico hacia el servidor, pero lo complicado es que es un ataque masivo y se debe de tener un sistema muy complejo para bloquear masivamente , además que no se puede bloquear todas las IP al mismo tiempo ya que se debe de distinguir entre el atacante y el cliente común
Esta solución sería adecuada cuando son pocas los atacantes y los puedes identificar casi de inmediato.
Plan de contingencia:
Como parte de la solución siempre esta la prevención como mejor herramienta.
Te hablare de mi experiencia con mktsv.com , lo mejor es tener un plan de contingencia como lo hacen ellos a sus clientes como un servicio que puedes solicitarles.
Todo consiste en tener listo un plan B tomando en cuenta que el día de mañana tendrás el peor de los escenarios como el ocurrido a DYN y consideró que ellos ya lo tenían contemplado y por ello el tiempo de solución fue relativamente corto.
Tiempo corto , considerando entre:
• Análisis de la situación
• Tomar la decisión de activar el plan de contingencia
• Ponerlo en marcha
Son etapas críticas , pero que si tienes a tu proveedor de hosting y DNS con gente calificada y con experiencia en dichos planes puedes estar confiado que resultará.
Lo que recomiendan los expertos en mktsv.com es crear tu plan de manejo de crisis, ellos son expertos en el manejo de crisis y te puede apoyar a crear el apropiado a tu negocio.
No hay formulas mágicas todo depende de:
• La situación a la que se proyecta que enfrentar
• El tipo de negocio ( no es lo mismo la seguridad de un e-commerce a un proveedor de DNS )
• y lo más importante el nivel de alcance al que se quiere cubrir, aca no hay límites.
Es relevante conocer y tomar conciencia a lo que se esta expuesto y que cada día surgen nuevas formas de atacar y de estar vulnerables.
Por dicha razón es muy importante con quien tienes tus servicios tanto de hosting como de dominio.
Reflexiona lo que puedes perder cuando no inviertes con un proveedor que te dé la confianza y seguridad para situaciones como las ocurrida esté día.
Solo imagínate que el ataque haya sido a tu proveedor de servicios.
¿Consideras que ellos están preparados para resolverlo en corto tiempo?
Deja tus comentarios, nos interesa saber tu opinión.