El 6 de junio, será el lanzamiento definitivo de IPv6, la nueva versión del protocolo IP que resuelve problemas complejos, como el agotamiento de direcciones para asignar a la creciente cantidad de dispositivos que se conectan a la red. El año pasado se realizó una prueba exitosa y, mientras más nos acercamos a la época en la cual ocurrirá su mayor despliegue, también empiezan a aparecer algunos inconvenientes.

Según la encuesta que efectuó la firma de seguridad Arbor Networks entre distintos ISP de todas partes del mundo, durante 2011 ocurrieron los primeros reportes de ataques DDoS que aprovechan el nuevo protocolo. Si bien se trata de apenas el 4% de los encuestados, eso se debe en parte a la todavía baja adopción de IPv6 o el escaso interés que representa aún para los atacantes.

De todas formas, sirve como llamado de atención antes de que se logre la implementación masiva: aunque IPv6 traerá incorporado IPsec, lo cierto es que no garantiza por sí solo la protección de las conexiones. Por ejemplo, Windows no limita la cantidad de routers que escucha a través de la técnica de Router Advertisement, lo cual puede facilitar que un servidor sea tumbado en cuestión de segundos, pese a que sólo se esté utilizando IPv4.

Detalles como este, junto con otros como que finalmente la utilización de IPsec será opcional, obligarán a que las empresas diseñen planes de seguridad específicos para IPv6, incluso aunque no tengan planeado aún su despliegue. Igualmente, es lógico que se detecten estos inconvenientes previo a un cambio que afectará (literalmente) a todo el mundo y, sin dudas, consiste en una prueba más a superar antes de que el futuro de Internet se haga realidad.

Mientras prepara el llamado Marzo Negro, Anonymous está teniendo un febrero muy activo: en pocos días, reveló datos del gobierno sirio, marines estadounidenses y hasta publicó una audioconferencia entre el FBI y el Scotland Yard. Y ahora, llegó el turno de la CIA, cuyo sitio fue tumbado por el grupo de activistas, según declaró en una de las cuentas de Twitter que usa para comunicarse.

Al momento de escribir esta entrada, los servidores de cia.gov estaban innaccesibles, en lo que ya es una caída de más de tres horas. Desde @YourAnonNews, atribuyeron este hecho al colectivo, en lo que se trataría de una variante del ya habitual FuckFBIFriday, el cual por lo general consiste en ataques DDoS, que suelen venir acompañados de otro tipos de acciones:

CIA TANGO DOWN: cia.gov #Anonymous (via @RT_America) goo.gl/zBW2b

— Anonymous (@YourAnonNews) febrero 10, 2012

Aunque las actividades de este tipo, como por ejemplo tumbar las webs del Departamento de Justicia estadounidense, el FBI o incluso de las compañías discográficas más importantes, últimamente guardaron relación con el cierre de Megaupload, en otras de las cuentas relacionadas con Anonymous aclararon que ahora simplemente lo hicieron “por diversión”.

Esta no es la primera vez que la CIA sufre un ataque de este tipo, sino que el año pasado ocurrió lo mismo durante la serie de acciones que llevó acabo LulzSec a lo largo de casi dos meses. Si bien el motivo parece ser exactamente el mismo, al menos en base a sus propios comentarios, habrá que ver si tienen guardada alguna sorpresa para revelarnos.

Hace unos días comenzaba a circular un rumor por las diversas redes sociales. Anonymous, el conocido grupo hacktivista encargado de, entre otras cosas, coordinar y provocar varios de los ataques DDoS más grandes del pasado 2011, actuará el próximo 28 de enero contra Facebook. Por supuesto, al poco rato, surgían varias informaciones que desmentían el rumor.

Anonymous ha expresado abiertamente en repetidas ocasiones su intención de no atacar a Facebook, aún así, este tipo de rumores nunca se toman a la ligera, y esta vez parece que el rumor podría no ser tan rumor. ¿Por qué? Bueno. Parece ser que Facebook ha tenido problemas de acceso hace unas horas, y de hecho, estuvo caído durante aproximadamente 10 minutos para bastantes usuarios.

Todas las miradas apuntaban a Anonymous, que, en lugar de desmentirlo, indicaba que de hecho se trataba de un ataque de denegación de servicio promovido por ellos. Varias de sus cuentas en Twitter más conocidas, y que se consideran oficiales, efectivamente reportaron el ataque:

¿Se trata de un simulacro de cara a los ataques previstos para el próximo 28? ¿Puede Anonymous tumbar Facebook dicho día? A la primera pregunta he de contestar que, por supuesto, podría ser. No parece que dos de las mayores cuentas de Anonymous pudieran haber reportado lo mismo, aunque bien es cierto que otra, AnonOps reportó lo contrario. Y a la segunda, habrá que esperar. Quedan apenas 2 días para que llegue la fecha.

Este año los ataques informáticos han llegado a los medios tradicionales ya que grupos como Anonymous o LulzSec la tomaron con algunas entidades y sitios web en lo que ya se conoce como ciberactivismo. La mayoría de estos ataques fueron DDoS, ataques de denegación de servicio que consisten en un grupo de ordenadores realizando peticiones sin parar y generando un ancho de banda que saturaría los servidores de la víctima y los haría caer, dejándolos fuera de línea hasta que se pusiera solución.

Para que nos hagamos una idea del nivel de datos que se puede llegar a generar, la gente de Prolexic, expertos en el tema, han anunciado hace poco que durante el 5 de noviembre y el 12 del mismo mes varias oleadas coordinadas en lo que sin duda era un ataque DDoS llegó a los 45 Gbps en sus momentos más altos.

El ataque fue lanzado contra la sección de e-commerce de la compañía, que repetimos esta especializada en el tema y se dedica a proteger sitios webs y compañías de dichos ataques. Ellos mismos estiman que habrían sido unos 250.000 los ordenadores zombies que realizaron el ataque, muchos de ellos en China.

Dichos ordenadores llegaron a realizar más de 15.000 conexiones por segundo generando el altísimo ancho de banda arriba indicado, y aunque no sabemos las empresas afectadas ya que Prolexic ni quiere ni puede desvelarlo debido al acuerdo de confidencialidad, supuestamente son grandes corporaciones.

¿La razón? Desconocida, pero la compañía baraja un sabotaje entre compañías, algo aparentemente común en este mundo.

La policía del Reino Unido ha detenido a un joven de 22 años acusado de delitos contra numerosas empresas en la red. Según las fuerzas policiales, Peter Gidson, estudiante de Hartlepool, habría formado parte de los ataques que perpetró el colectivo Anonymous en los últimos meses.

El joven, detenido junto a otras cinco personas, ha sido acusado de conspiración por bloquear el funcionamiento de los equipos y obstaculizar el acceso a datos o programas. La policía hace referencia a los ataques dirigidos por Anonymous contra eBay, Sony y Visa a través de DDoS.

En este ocasión al menos la policía a evitado añadir que se trataba de la cúpula de Anonymous como ocurrió en España, donde las fuerzas policiales detuvieron a tres presuntos miembros. Esta detención se suma a las múltiples operaciones desplegadas por varios países en busca de miembros del colectivo como fueron en Turquía o Estados Unidos con la detención de personas.

La policía del Reino Unido también ha informado de que se encuentra en una investigación abierta en torno al grupo de hacker Lulzsec, acusados de llevar diferentes ataques contra diferentes organizaciones del país.

El colectivo ha anunciado que se encuentra desarrollando una nueva “arma” como alternativa mejorada a los DDoS. Al parecer, la medida adoptada se debe a los arrestos de los que han sido objetos varios individuos asociados a sus acciones, todos ellos derivados al defecto en el uso del LOIC que no permite ocultar la identidad del usuario. RefRef sería el nombre de esta nueva herramienta.

En el comunicado afirman que estará lista para el mes de septiembre, momento en el que comenzarán a operar con la misma. RefRef utiliza un enfoque muy diferente a los DDoS en las webs, mientras estos últimos se centran en los paquetes TCP y UDP, RefRef se basa en un nivel mucho más sofisticado diseñado para atacar a los servidores de los sitios por detrás, se trata de “agotar la propia capacidad de procesamiento del servidor”. Según Anonymous:

Lo que estamos es desarrollando una nueva herramienta DDoS. Hasta ahora lo que teníamos era una plataforma neutral que se aprovechaba del JavaScript y vulnerabilidades para crear el efecto en la web de destino. RefRef en cambio utiliza el poder de procesamiento del sitio de destino contra sí mismo, que el servidor se caiga como consecuencia de un agotamiento de los recursos

Sea como fuere, parece que una parte del colectivo intentan mejorar los sistemas de ataques tras las múltiples detenciones de jóvenes a los que se les relacionaba con las acciones del grupo.

Pasó ya mucho tiempo desde que WikiLeaks era el tema del momento, ya sea por la propia difusión de los cables diplomáticos o la detención de su fundador, Julian Assange. Pero en plena época donde las noticias sobre hackers están a la orden del día, parece que la historia resurgió aunque sea por un momento, debido a un nuevo ataque DDoS contra Mastercard.

Durante el día de ayer, fue imposible acceder al sitio o sus páginas cargaron con lentitud, algo que confirmó la propia compañía de tarjetas de crédito a través de un comunicado, donde también indicó que no se obtuvieron datos de sus clientes. A la hora de explicar las causas, se encargó de atribuirlas a problemas con su proveedor de servicios de Internet, aunque un hacker se atribuyó la autoría de este hecho.

Según explicó ibomhacktivist en su cuenta de Twitter, esto se debe a la decisión de cortar una importante fuente de financiamiento de WikiLeaks, tomada por la empresa en diciembre. Como represalia, en su momento ocurrió un ataque similar, impulsado por el movimiento Anonymous.

Sin dudas, es llamativo que esto ocurra tantos meses después, pero para The Register la explicación puede estar en las reorganizaciones que hubo entre los grupos de hackers. Con el cierre del ciclo de LulzSec ocurrido este fin de semana, los hacktivistas estarían divididos en dos bandos: Anonymous, los ex-integrantes de LulzSec, TeaMp0isoN y ahora se suma ibomhacktivist. En el extremo opuesto, encontramos a Th3J35ter y otros que rechazan las acciones de WikiLeaks.

Así las cosas, parece más una muestra de poder entre dos facciones que una verdadera iniciativa con un fin específico, como las que ya vimos en más de una ocasión. De todas maneras, queda claro que en este mundo, nada se olvida.

La web de Movistar ha permanecido inaccesible durante unos 30 minutos, desde las 5 de la tarde, que ha sido el momento en el que se ha producido la carga más pesada del ataque contra los servidores de Telefónica. En ese momento, el canal de IRC de la operación contaba con unos 250 asistentes que también lanzaban peticiones contra el sitio web corporativo de la compañía, Telefonica.com, que aunque respondía con lentitud, parece que no ha llegado a caerse. Aún así, la web de Movistar tarda bastante en responder y, en más de una ocasión, ha aparecido como caída:

A partir de las 18:00 h. la web se ha recuperado, una vez que los participantes del ataque han dirigido las peticiones hacia telefonica.com, el segundo objetivo. En un primer momento telefonica.com ha dejado de responder pero se ha recuperado y en este momento funciona con normalidad. La operación ya se ha cerrado y las informaciones sobre el impacto final de ésta son bastante dispares.

Algunos medios informan que apenas ha tenido impacto, sin embargo, un vídeo en YouTube intenta demostrar que el ataque ha sido real y ha provocado una indisponibilidad del servicio:

¿Y por qué esta discrepancia? Parece ser que Telefónica habría estado preparándose para este ataque y, por tanto, habría mitigado el impacto de éste. Algunas voces han indicado por Twitter que, fruto del ataque, los servidores de DNS de Telefónica habrían caído, sin embargo, Anonymous no los tenía dentro de su objetivo (porque fastidiarían, principalmente, a los usuarios). Aún así, Telefónica había cortado el acceso a sus servidores DNS fuera de su red, como barrera preventiva, y esta sería la explicación de la gente los haya dado por caídos. Por otro lado, Telefónica habría balanceado sus sitios web, por lo que alguno podría haber caído y otros, sin embargo, seguirían sirviendo sus páginas web.

Según relatan en La Información, algunas voces apuntan a que Telefónica habría redundado su servicio usando los servicios de Akamai para cachear sus páginas.

Mientras tanto, Telefónica no ha confirmado que se haya producido ningún tipo de incidente en sus páginas web y, mucho menos, un ataque:

Se ha hecho lo que suele hacerse en este tipo de casos. Lo importante es que no hay ninguna incidencia en la red

Después de varios días en los que tanto LulzSec como Anonymous estaban provocando auténticos dolores de cabeza a empresas y gobiernos, parece que la policía británica se ha puesto manos a la obra para cazar a los culpables. Emulando a la policía española (que desarticuló a la “cúpula” de Anonymous en España), la policía británica habría detenido a un chico de 19 años sospechoso de formar parte de LulzSec y ser “el cerebro” de los ataques sufridos en estos días por la CIA y otras agencias y empresas.

La operación, que ha sido llevada a cabo por la policía de Essex en cooperación con el FBI estadounidense, se realizó anoche y llevó a la detención de Ryan Cleary (o eso informa SkyNews) que ha sido trasladado a las dependencias de Scotland Yard en Londres. La policía británica, oficialmente, no ha comentado que el detenido sea miembro de LulzSec, sin embargo, sí que han afirmado que esta detención está relacionada con el ataque sufrido en la web de la Agencia contra el Crimen Organizado (que sí fue reivindicado por LulzSec y cuyo servicio se restituyó tras la detención del sospechoso):

El arresto responde a una investigación en torno a las intrusiones y los ataques DDoS que han sufrido varias empresas y agencias de inteligencia que parecen haber sido perpetrados por un mismo grupo. […] Las investigaciones nos condujeron a una dirección en Wickford, Essex, donde realizamos una detención anoche que nos ha permitido acceder a una gran cantidad de material. […] Seguimos investigando y realizando exámenes forenses de todo el material incautado.

Como comentábamos, la policía no ha admitido que el detenido sea miembro de LulzSec, sin embargo, en Sophos sí que apuntan a que, posiblemente, sea miembro de la organización. Mientras tanto, Ryan Cleary permanece bajo custodia para ser interrogado y, según parece, se enfrentaría a una acusación de fraude y “mal uso” informático. Algunas voces habían afirmado que, con esta detención, LulzSec habría perdido al “cerebro” de la organización, nada más lejos de la realidad. LuzlSec, a través de Twitter, lo ha dejado bastante claro:

Parece que el glorioso líder de LulzSec ha sido arrestado, se acabó… espera… ¡Aún estamos aquí! ¿A quién demonios han arrestado?

Mucho me temo que Reino Unido ha seguido el mismo camino que la policía española, LulzSec es un grupo distribuido, por tanto, no creo que exista “un cerebro”.

En las últimas semanas, el grupo de hackers LulzSec acaparó la atención de los medios, a raíz de sucesivos ataques a los sitios web de distintas empresas y organismos gubernamentales. Si bien ayer les hablamos sobre las últimas acciones contra compañías de entretenimientos, esos no fueron los únicos blancos, porque también se guardó uno muy importante para el final del día: el sitio de la CIA.

Como ya ocurrió en otras ocasiones, el departamento de Inteligencia reconoció que sus servidores estuvieron fuera de servicio en las últimas horas de ayer, al mismo tiempo que la organización se atribuyó la autoría del hecho. De acuerdo con tweets publicados poco tiempo después, se trataría de una forma de apoyo a la causa de WikiLeaks.

Pero esto no siempre es así, porque muchas veces actuaron por pura diversión. Para ello, basta con ver el lanzamiento de un número telefónico donde cualquiera puede recomendar una web a hackear, que supo recibir entre cinco y veinte llamadas por segundo. Todo según los datos que fue aportando LulzSec por medio de Twitter, claro está.

Personajes impredecibles que buscan divertirse y entretener a sus seguidores. Quizás esa sea la mejor definición de los integrantes de este grupo que suma víctimas prácticamente a diario, aprovechando vulnerabilidades (a veces muy sencillas) o recurriendo directamente a ataques de tipo DDoS.

Según el análisis del director técnico de PandaLabs, Luis Corrons, LulzSec “se está convirtiendo en un gran problema, porque al final del día, estas personas logran cualquier cosa que se proponen”. Y su conclusión es muy clara: “todavía debemos recorrer un largo camino para proteger nuestros sistemas e infraestructuras”. Quizás el mejor ejemplo lo tuvimos con los sucesivos inconvenientes que sufrió Sony en una serie de subsidiarias pero, claramente, son muchos sectores los que deben aumentar las medidas de seguridad. Incluso, el mismísimo Gobierno estadounidense.

Una de las noticias de la semana fue la detención en España de supuestos integrantes del grupo Anonymous, a quienes el Cuerpo Nacional de Policía calificó como miembros de la cúpula del movimiento. Esto no sólo disparó críticas y comentarios humorísticos en las redes sociales, sino que también trajo su consecuencia lógica: un ataque DDoS contra la propia web de la Policía.

La convocatoria fue realizada para anoche a las 23.30 desde la cuenta de Twitter @Anon_Central y pudo seguirse a través del hashtag #oppolicia. Durante la madrugada, la fuerza de seguridad reconoció que sus servidores se encontraban saturados.

En el comunicado desde el cual se lanzó la llamada Operación Policía, Anonymous contestó a las referencias que hizo la Policía sobre el grupo, donde se aludía a cúpulas y células:

No somos terroristas. Somos ciudadanos luchando por derechos que han sido coartados y somos únicamente responsables de la defensa de aquello que es justo. Con este proceso, por tanto, acrecentáis nuestros motivos para continuar nuestra lucha.

Además, se aclaró que el objetivo del movimiento es “luchar por los Derechos Humanos, la libertad de expresión y la transparencia” de manera pacífica, tanto en las calles como en las redes. Es decir, algo completamente distinto a una organización terrorista, de las cuales sobran ejemplos en distintas partes del mundo.

Claramente, el golpe de efecto que se buscó con las detenciones no dio el resultado esperado. No sólo porque quedó en evidencia el desconocimiento sobre las particularidades de Anonymous, sino que ocurrió una vez más lo que suele pasar en estos casos: cuando hay mucha gente involucrada con una causa, aún si existen líderes que son apresados, otras personas tomarán su lugar para continuar con la lucha.

Foto: MuySeguridad

En la nota se hablaba del resurgimiento de las movilizaciones ciudadanas pacíficas como respuesta a las actuaciones de la clase política y financiera, y aunque no se decía nada explícitamente, el grupo buscaba una respuesta en modo de ataque DDoS por parte de los simpatizantes que se uniera a su propio ataque.

El ataque se produjo y por supuesto las autoridades se pusieron a trabajar en ello. Hace unos minutos la Policía Nacional a anunciado la completa desarticulación de la “cúpula” de Anonymous en España. De momento no se sabe mucho. Sus tres responsables, incluyendo el que alojaba el servidor desde el que se coordinaron los ataques, han sido detenidos, y no se ha producido ninguna respuesta por parte de la comunidad ni ningún comunicado oficial más que el anuncio en Twitter por parte de las autoridades:

La Policía desarticula la cúpula de Anonymous en España. El 18 de mayo atacaron la Junta Electoral Central

Además, según informan en 20minutos.es, desde el domicilio donde se ha producido la redada también se atacaron los sitios web de BBVA, Bankia, la tienda de Sony Playstation, ENEL y algunas páginas webs gubernamentales de países como Egipto, Irán, Colombia o Chile.

RTVE publica un artículo en el que se habla de la estructura y la organización utilizadas por Anonymous para coordinar los ataques DDoS. Como muchos ya sabrán, se trata de una organización que se basa en células independientes que lanzan miles de peticiones de denegación de servicio en un determinado momento, provocando el colapso de servidores web. Esto no sólo se produce manualmente, sino que también se utilizan ordenadores zombies previamente infectados para lanzar peticiones.

¿Realmente se ha detenido a la cúpula? Anonymous se caracteriza por ser precisamente un grupo anónimo en el que cualquiera puede participar activamente, por lo cual decir que se ha detenido a la cúpula es algo muy aventurado. Seguramente haya muchas más personas fuertemente vinculadas y comprometidas con la causa. Respecto a la desarticulación del servidor desde el que se coordinaron varios ataques, no lo pongo en duda, pero se trata de un equipo facilmente reemplazable y sobre el que no recae el peso de los ataques, ya que estos se efectuan desde miles de ordenadores diferentes.

Actualización: Tras las anunciadas declaraciones, la página oficial de la Policía ya recoge un comunicado en el que se dan más detalles sobre la operación. Efectivamente se trata de tres detenciones y de la incautación de un servidor desde el que se realizaban los ataques, que supongamos que quieren decir que es el equipo desde el que se coordinaban.

Los motivos son el ataque el 18 de mayo a las páginas de la Junta Electoral Central, los Mossos d’Esquadra y de UGT. La investigación es la primera operación policial en España contra el grupo, y para ella la Brigada de Investigación Tecnológica ha analizado más de 2 millones de líneas en registros y logs de páginas web y chats.

Los detenidos utilizaban redes WIFI pirateadas ajenas, tanto abiertas como pirateadas, para llevar a cabo los ataques. En los pisos inspeccionados se encontró abundante software para el pirateo de las mismas y también programas para crear los llamados ordenadores zombies, como troyanos y otro tipo de malware.

Anonymous inició hace unas horas una nueva cruzada, en este caso, contra el movimiento neonazi y la extrema derecha que está teniendo gran acogida con la aparición de múltiples webs. La operación Blizkrieg está encaminada a iniciar ataques DDos en todas las webs que promulgan con la ideología neonazi y que utilizan como medio para organizarse. Además, se han recopilado los datos de los usuarios.

La iniciativa forma parte del colectivo en alemania, anunciando a través de una web el inicio de los ataques y la coordinación de los mismos. La primera acción tomada tuvo lugar hace unas horas y se hace referencia a las páginas de extrema derecha alemanas rocknord.net, thiazi.com, wolfsfront.com y 01mai2011.de.

Bajo el slogan: ¿Puedes aceptar la opresión y el odio fascista y la violencia y propaganda que hay en Internet?, el grupo lanzó la siguiente misiva:

Neonazis,

Vuestras acciones incomprensibles y la renuencia a aceptar la Libertad y la Igualdad que cada ser humano posee por derecho desde que nace origina el nacimiento del odio y el racismo en todo el mundo.

Después de la primera guerra mundial, vuestra ideología sumió al mundo en el caos. Debéis hacheros cargo de una plaga, conocida como el antisemitismo que se aseguró de que el racismo fuera perforado de nuestras conciencias colectivas con el fin de que la humanidad aceptara estas ideas en crudo como un hecho.

Vuestra política mal dirigida y cruzada llena de odio contra la humanidad, no sólo es una percepción borrosa, sino que también se ve afectado el mundo entero. Habéis robado evidencias de la historia, objetos valiosos de arte y estructuras arquitectónicas que pertenecen a la humanidad o fueron parte de la cultura y patrimonio de la humanidad. Estabais ansiosos por causar problemas entre los continentes, a que hubiese un colapso de diálogo entre los políticos.

El resultado, una guerra fría que se prolongó durante años y que todavía tiene eco en el mundo. El holocausto contra los judíos, a los gitanos sinti y a los rumanos, la llamada “eutanasia” impuestas a las personas con discapacidad… todos ellos se consideran el punto culminante y cruel de la Segunda Guerra Mundial, con un coste de 6.000.000 personas inocentes.

Todo esto son hechos, y sin embargo todavía continúan con la difusión de esos ideales, a fin de mejorar el simbolismo de ese odio tan despreciable que sigue causando lesiones y matando a gente, gente que no tiene nada en contra de vosotros, y sin embargo continuáis por repugnancia o simplemente por placer personal.

Intimidáis a la gente a que no salgan a la calle por la protesta de sus ideales, y atacáis a vuestros oponentes políticos, los que os niegan el derecho de libertad de expresión. Sin embargo, esto es muy hipócrita. Demanda este derecho es exactamente la misma libertad de expresión que de por sí vosotros tiráis por tierra en forma de agitaciones. Atacáis a los periodistas y a los medios de comunicación en general, a los refugiados, a los inmigrantes, que viven y trabajan en su “país de origen”. Esta gente simplemente tuvieron que abandonar sus países de origen debido a la represión y la miseria.

Este comportamiento no puede ser tolerado más. Ustedes son culpables de muchos crímenes contra la humanidad y habéis atraído la atención del colectivo conocido como Anónimo. En este caso, esta atención implica la toma de medidas decisivas en contra de sus acciones.

La conferencia anual de hackers que se celebra estos días en Alemania, la Chaos Computer Club (CCC), ha lanzado una bomba informativa por la importancia y el relieve de la información. BitTorrent, el protocolo P2P del que hoy más que nunca está en boca de todos, abierto el debate sobre su futuro en las democracias y la posición que adoptan los Gobiernos, podría ser (en un alto porcentaje) el próximo ataque dirigido DDoS a gran escala.

En una de las charlas ofrecidas en la conferencia titulada ‘La mentira de los vecinos’, se explicaron los fundamentos de esta conclusión. Bajo la premisa de la capacidad de BitTorrent para descargar los datos sin la ayuda de un servidor centralizado (también conocido como tracker BitTorrent), los hackers comenzaron la explicación de su análisis.

El protocolo se creó originalmente con un servidor central denominado tracker con el fin de ayudar a los usuarios interesados en el mismo archivo a que encontrarán entre sí la manera de facilitar la descarga. Con el tiempo, estos servidores de seguimiento se han convertido en el talón de Aquiles del protocolo P2P. ¿Por qué? porque una vez que se cae un servidor tracker, se cae toda la red. A través de la tecnología DHT Kademlia, varios programadores BitTorrent descubrieron los usuarios sin servidor.

¿Cómo? DHT se basa en clientes BitTorrent al azar, un tracker distribuido para emparejar clientes que comparten un archivo particular con el fin de establecer una especie de directorio distribuido. Durante la charla, un hacker bajo el pseudónimo de Astro, demostró que se pueden manipular algunos de los datos intercambiados por los clientes de BitTorrent para el tracker para a sí mismo presentar a muchos más clientes en la red de los necesarios. El siguiente paso sería decirle a los clientes que un archivo de los denominados “muy populares”, de los más famosos y posible descarga masiva, se encuentra disponible en una determinada IP.

El hacker dijo que es justamente ese momento en el que se produciría el ataque. Los usuarios podrían lanzar sin saberlo los datos públicamente disponibles en sitios como The Pirate Bay para encontrar los hashes (identificación o método de generar claves) de DHT para alguno de estos archivos populares y, básicamente, engañar a alguna de las descargas para atacar un objetivo determinado.

De manera simple y “bruta”, Astro lo explica así:

Imaginemos a decenas de miles de usuarios buscando y encontrando la versión HD de la película Origen. Si está disponible en una dirección (que realmente es el servidor web de una corporación), todos los usuarios inmediatamente intentarán descargar el archivo en esa dirección, bombardeando a un servidor de banco con peticiones falsas, en vez de descargar el archivo que creen

El riesgo salta a la vista. En primer lugar y el más importante, porque a diferencia de los ataques que se han realizado pro-WikiLeaks por parte de Anonymous, donde los usuarios participaban activamente siendo conscientes del ataque que realizaban, aquí la vulnerabilidad se puede esconder, son pistas falsas, engaños dirigidos y con origen desconocido. Ocurrió en esencia algo parecido con un ataque “anti-Sinde” que resulto ser un honeyput, ahora hablamos de palabras mayores.

Vía: New York Times

Uno de los comentarios que más se repitieron tras las polémicas declaraciones de Richard Stallman fue aquel en el que se hacía hincapié sobre la descarga de LOIC. El software utilizado en muchos de los ataques DDoS pro-WikiLeaks eran a juicio del fundador de GNU un problema:

Es mejor no descargarlo, ya que el código de la herramienta no es visible para el usuario. La ejecución de LOIC tiene un problema, si los usuarios no pueden compilar, los usuarios no deben confiar en ella

Pues bien, la mayoría decíais, con razón, que Stallman se equivocaba en parte, ya que aunque sea en .net se trata de un opensource, el código es libre. Ahora, resulta que muchos de los ataques que recibieron las webs de los partidos que apoyaban la Ley Sinde descargaron una herramienta DDoS que resultó ser un honeypot (software que simula y que realmente se trata de una herramienta para obtener información sobre los atacantes). Al parecer, al utilizar LOIC, los ordenadores de los usuarios entraban a formar parte de un botnet de forma voluntaria y contribuían así a saturar las webs de los partidos. El ataque que se había desarrollado permitía a cada usuario colaborar con un sólo click en la saturación de los servidores.

Poco antes de comenzar el ataque, las páginas objetivo pasaron a ser WikiLeaks.info o hacktivistas.net. y lo que pareció un hack a los propios internautas acabó siendo un honeypot con un mensaje desde la propia web:

No hemos sido hackeados. Este experimento desde el principio tenía como objetivo recabar datos de los ataques y atacantes (twitter traffic analysis, ip, navegadores, http referrer, etc) y evitar en la medida de lo posible el DDoS

Lo primero que hay que decir es que ni siquiera los propios ataques a otras web se libran del peligro o la posibilidad de ser atacadas. Aunque en este caso se debe más a la mala utilización del software disponible entre los usuarios, ya que la mayoría accedieron a herramientas de terceros para realizar el ataque DDoS. No se sabe realmente quien está detrás de estos ataques, si es una broma o algo más serio lo veremos en los próximos días.

Casualidades de la vida, las palabras de Stallman (aunque creo que en parte se debían a un desconocimiento) hoy parecen más premonitorias. Su desconfianza a la nube y el software que nos llegan (con Chrome OS), así como la utilización de LOIC o en líneas generales de aquellos que no podamos compilar, son, más que nada, una llamada a la calma y a tener mucho cuidado con nuestros datos y dónde nos metemos. Que nadie se crea un hacker porque está de moda o por apretar un botón, detrás de cada acción hay una reacción de este tipo. Y sobre todo, queda claro el riesgo que se puede correr participando en un ataque donde pasas de forma automática a una botnet. Al menos, para muchos que lo hacen sin conocimiento.

¿Cuánto le puede costar a una compañía como Google o Visa un ataque informático? ¿Cómo actúan las compañías ante tales ataques? Ahora que todos los medios comentan y parecen saber sobre los ataques informáticos, llegando a exponer de manera exhaustiva de qué se trata un ataque DDoS gracias a la relevancia de WikiLeaks, el New York Times ha conseguido unas notas de control interno del FBI detallando el coste de un ataque y su “curiosa” resolución. Las notas adquieren hoy un valor más relevante. Por un lado veremos cómo actúa una compañía como Google ante un ataque así, por otro, nos podemos imaginar que los acontecimientos de estas semanas, con los ataques a Mastercard, Visa o PayPal deberán estar dando más de un quebradero de cabeza a las compañías.

Las notas conseguidas se remontan al año 2005. No sé si os acordaréis del nombre de Santy. Se trataba de un gusano, un software malicioso que infectó miles de ordenadores introduciéndose automáticamente en las consultas de las búsquedas. Durante varios meses Google se vio abrumada, presentando el 22 de diciembre del 2005 una reclamación al FBI en el que explicaban el bajo rendimiento del motor de búsqueda por los continuos ataques.

Tal y como explica Google en el informe, durante 18 meses vieron como su sistema se plagaba de gusanos que utilizaban las consultas para encontrar sitios web vulnerables, aprovechando un agujero de seguridad que se encontraba. Lo curioso del caso es que Google intentó tapar estas acciones a la voz pública debido a las presiones de varios grupos de antivirus. Evidentemente, al final no ha sido así.

En una de las notas que expone el diario, una agente del FBI escribió en medio de la investigación abierta:

A medida que Google filtra ciertas frases en la cadena de búsquedas, en cuestión de minutos, los sujetos modifican la frase de búsqueda, evitando los filtros de la compañía

La compañía intensificó la defensa debido a la gravedad del ataque. Un equipo entero de ingenieros para contrarrestar las acometidas. Pues bien, se cifra en los datos filtrados que alrededor de 500.000 dólares fue el coste para la empresa en pérdidas de ingresos. Unos datos que si bien son altos, hoy no lo serían tanto para el activo de la compañía, aunque se trata del año 2005.

La resolución del caso fue, cuanto menos, extraña. El gusano Santy y sus variantes fueron finalmente contrarrestados. Al examinar el código de software utilizado, los ingenieros encontraron una ventana que les llevaba al responsable. En el código se incorporaba una dirección de Gmail para un contacto técnico. Se redactó la dirección de correo y se envió al FBI.

El FBI emitió varias citaciones para comparecer en el juzgado de San José, supuestamente los responsables de los ataques. Poco después, el 31 de enero del 2006, Google le dice a la agencia que ya no está interesada en continuar con la investigación y el FBI cierra el caso.

¿Por qué? Hasta ahí llega el diario y las notas reveladoras. Aunque todo son suposiciones, podría haberse tratado de un tema de espionaje entre compañías, unas vez hablado y solucionado entre ambas partes, lo cerraron. O bien se podría tratar de un ingeniero que actualmente trabaja en las oficinas de Google, no sería el primer caso ni el último.

Sin ir más lejos, hace unas semanas desde el mismo foro 4chan se organizó un ataque a organizaciones anti-piratería (que afectó especialmente a RIAA), muy similar al de esta ocasión. Incluso en nuestro propio post anunciando el incidente pueden verse comentarios del tipo “Ojala hicieran mas ataques contra mas entidades de esas, como nuestra amiga SGAE” o “Cómo se puede participar??? yo me apunto a uno a la sgae”. Bueno, parece que les hicieron caso.

En esta ocasión el ataque funcionó de manera muy similar: el grupo organizador anuncia la iniciativa, que se trataba de realizar un ataque de denegación de servicio distribuido al sitio web de la SGAE. Para participar, sólo era necesario descargar una aplicación y ponerla en ejecución, a la hora indicada por los organizadores. Aunque el ataque fue planeado para ayer a la media noche, desde varias horas antes ya los sitios comenzaron a tener problemas, y al momento de escribir este post los siguen teniendo. Otro componente interesante del ciberactivismo, los propios participantes hicieron lo que quisieron, más allá de lo indicado por la organización.

Lo interesante del ciberactivismo es que reabre el mismo debate moral que otro tipo de protestas: ¿está bien cortar una calle en reclamo por ciertos derechos? ¿está bien hacer una huelga en reclamo por ciertos derechos? En este caso, la pregunta es la misma: ¿está bien hacer un ataque de denegación de servicio reclamando por ciertos derechos? Obviamente no hay una respuesta correcta, y dependerá de la posición de cada uno y su visión de la moral, la ética y otros tantos temas complejos. Entonces, ¿qué opinan? ¿Se sumarían a un ataque de este tipo? ¿O les parece que está mal? Escucho sus opiniones…

Hace unas semanas, la compañía AiPlex Software, no muy conocida pero con una activa política anti piratería, reconoció que suelen perpetrar ataques de denegación de servicio contra los trackers de torrents que no cooperan con ellos en la lucha contra la piratería. Ejecutivos intentaron negar luego estas declaraciones, pero era demasiado tarde. A la comunidad mundial no le gustó ni un poco el hecho de que una compañía pudiese haber realizado un ataque DDoS a The Pirate Bay, uno de los pilares más conocidos del peer to peer. Convengamos además que no es una práctica digna de una empresa que lucha contra la ilegalidad.

El contraataque no se iba a hacer esperar y fue finalmente organizado y planeado en los foros anónimos de 4chan (¿dónde más iba a ser?). Allí un usuario anunció un ataque del mismo tipo contra el sitio de AiPlex, que cayó en cuestión de minutos. Pero era un objetivo fácil, por lo que también se planteó un ataque masivo a la MPAA (una de las asociaciones más activas internacionalmente en cuanto a la lucha contra la piratería y la defensa de la industria cinematográfica). Siendo un target más complicado, el usuario dejó en el mismo mensaje la IP en la que se encontraba alojado el sitio web.

Con la participación de vaya uno a saber cuántos usuarios, el sitio de la MPAA cayó también en cuestión de minutos y tardaron un buen par de horas en cambiar de IP, logrando volver a estar en línea. Como parte de la Operación Venganza (“Operation Payback”) los usuarios, molestos con las compañías y organizaciones que no sólo pretenden que no se suba el contenido con copyright sino que llegan a extremos como cerrar trackers y blogs e inician acciones legales contra los responsables, planearon un nuevo ataque, para el día de ayer, esta vez dirigido a la RIAA, el equivalente de la industria discográfica norteamericana a la MPAA. Apenas me enteré de la noticia quise entrar al sitio web y adivinen qué, no pude. “Oops! Google Chrome could not connect…”

¿Estamos ante una nueva modalidad de protesta? Prácticamente no hay manera de que puedan evitar un ataque DDoS sin un mínimo de consecuencias y de atrapar a los responsables. Además, no hace falta estar registrado en 4chan para enterarse y participar de los ataques, perpetrados por gente de todo el mundo. Pero aunque se hiciese algo en contra de 4chan, se reunirían en otra parte, aún en canales de IRC. Es imposible de evitar. Panda Security, en un artículo en el que hablaban de los ataques, consideraron a los mismos como “*el futuro de las protestas cybernéticas”.

Vía: TorrentFreak

Un usuario de Ubuntu Forums ha encontrado software malicioso en un salvapantallas descargado de Gnome-Look. El falso salvapantallas, que ni siquiera funcionaba, descargaba y ejecutaba un script desde Internet cada vez que alguien entraba al sistema.

El invento en cuestión tenía el inocente nombre de WaterFall Screensaver, y digo tenía porque por supuesto ya ha sido borrado en cuanto se ha notificado el problema. El script descargado parecía diseñado para hacer un ataque de denegación de servicio distribuido, aunque como se actualizaba a través de Internet en cualquier momento podría mutar a cualquier otra cosa.

A mí no me deja de resultar curioso que alguien con intenciones de realizar una actividad delictiva como esta vuelque sus esfuerzos en una comunidad de usuarios tan minoritaria, al menos en comparación con otras como la de Mac OS X o Windows.

Lo que está claro es que es un buen momento para que todos recordemos que por muy seguro que sea un sistema, nosotros siempre somos los responsables de que estas cosas ocurran. Por mucho que un programa diga hacer una tarea determinada, ni siquiera el sistema más seguro del mundo puede asegurarnos que efectivamente será así.

¿Qué nos queda, entonces? Los orígenes de software confiables. También en otros sistemas, pero especialmente en GNU/Linux, el software instalado en el sistema lo distribuye una serie de responsables en los que confiamos ciegamente.

El problema llega cuando introducimos software de orígenes inciertos, como este salvapantallas realizado por no se sabe quién y colgado en un lugar como Gnome-Look, donde nadie en quien confiemos nos asegura que el contenido sea el indicado y esté libre de malware.

Vía: Slashdot

Todos sabemos del ataque de denegación de servicio (DDoS) que sufrió la semana pasada Twitter, así como Facebook y algunas herramientas de Google. El que más lo sufrió fue sin duda Twitter, que estuvo fuera de servicio durante algunas horas y continuó con problemas menores posteriormente.

Ahora nos llega información de que Twitter obtuvo ayuda de Google para contener estos ataques. Dos de los fundadores des servicio de microblogging, tanto Isaac Stone como Evan Williams han estado vinculados laboralmente con Google por diversos motivos, de modo que esta relación permitió a los directivos solicitar la ayuda a su anterior empresa.

El caso es que Stone reconoció recientemente en una entrevista concedida a la PBS que sus fuerzas durante el año pasado estuvieron dirigidas a controlar el enorme crecimiento sufrido y no tanto a estar preparados para estas eventualidades. Además mencionó haber recibido asesoramiento para reforzarse en materia de seguridad en el futuro.

De esto obtenemos dos conclusiones importantes. Primero, que Google y Twitter se llevan bien, y ese es un primer paso si la “empresa multicolor” quiere adquirir “la empresa del pajarito”. Y segundo, cuanto más grande, famoso y usado eres, más preparado hay que estar para estos asuntos.

Vía: Wired

Ayer fue un día muy ajetreado para Twitter, Facebook, LiveJorunal y algunos servicios de Google, sufrieron un ataque de denegación de servicio coordinado. De todos los protagonistas los del servicio de microblogging fueron los más afectados, estuvieron completamente off durante unas dos horas.

Una vez pasado el huracán (Twitter sigue ranqueando) ya se empieza a tener más información sobre el caso. Al parecer el objetivo de los ataques era silenciar las opiniones de un tal Cyxymu sobre el conflicto Georgia-Rusia.

Max Kelly, jefe de seguridad de Facebook, ha comentado que el ataque DDoS salió de Rusia sin saber aún la fuente exacta. También dijo que equipos de todas las empresas afectadas por el ataque están trabajando estrechamente en las investigaciones.

Y otro caso más de efecto Streisand, intentan censurar la opinión de un usuario a cañonazos y realmente lo que consiguen es que el caso sea cubierto por muchos más medios de primer nivel por todo el mundo. Por otro lado otra conclusión que podemos sacar es que Twitter no está nada preparado para soportar ataques serios.