Ataques DDoS contra la blogosfera hispana

Buenas,

Sí, amigos míos, es la noticia de triste moda los últimos días. El problema comenzó en Genbeta, ya que se hicieron eco de un artículo en el que se criticaba y alertaba sobre un servicio para ver quién te tiene admitido en el Messenger. Comentan el caso en muchos sitios, por ejemplo, en el blog de Enrique. El texto de Genbeta era el siguiente:

¿Quieres saber quién te tiene no admitido/eliminado en el MSN? Pues no des tu contraseña a desconocidos

Parece mentira que después de tanto tiempo (¡años ya!) del invento de este fraude todavía haya gente que siga cayendo en él. Es muy simple, y seguro que muchos lo conocéis, simplemente se trata de páginas que ofrecen el servicio de mostrarte quién te tiene como no admitido o te ha eliminado del mésenyer a cambio de que les des tu datos de conexión, es decir, tu usuario y contraseña. Creía que este negocio ya estaba más que muerto, pero hoy mismo un par de contactos míos me han saltado con la típica ventanita que me acceda a una de esas páginas para que me lea el futuro.

Como norma general, dar la contraseña de tu correo a alguien que no pertenezca a tu familia ya es un suicidio tecnológico, y en este caso sería como darle la contraseña de tu tarjeta de crédito a una persona desconocida para que te muestre el dinero que tienes. ¿Quieres saber qué es lo que hacen? La mayoría de páginas, después de mostrarte esa información, se conectan a tu cuenta varias veces al día para molestar a todos tus contactos con spam descarado. Lo que es peor, esto puede colapsar tu cuenta y no sería raro que la perdieras para siempre, o al menos que la conexión sea pésima. Así que ya sabes, no des tu contraseña a ningún sitio web, o atente a las consecuencias.

Pero claro, ¡tú quieres saber quién te tiene como no admitido! Sorpresa: esos sitios, además de ser peligrosos, no funcionan. Microsoft cambió hace tiempo el protocolo para que los servidores de msn no difundieran esta información. Antes sí podías, pero ahora mismo ni siquiera puedes saber el estado de otra persona sin que ella te invite/admite o sin saber la contraseña de la cuenta (sin cambiar la configuración de la cuenta). Sin rebuscar demasiado, algunos sitios fraudulentos que siguen esta práctica serían: blockoo.com, scanmessenger.com, detectando.com, quienteadmite.info, checkmessenger.net, blockstatus, etc… Todos ellos son potenciales phishing, y ninguno funciona más allá de recolectar cuentas de correo.

Disculpad los lectores avanzados que ya habéis dejado atrás este tipo de engaños facilones hace mucho tiempo, pero es que hoy me he vuelto a conectar al messenger por obligación y me he dado cuenta de que las cosas han cambiado muy poquito.

Estos palurdos, que otro nombre no se me ocurre para definirlos, han ido a por más objetivos, y posteriormente tocó Menéame. Hace un rato veo que Antonio también está sufriendo estos ataques. Ni cortos ni perezosos, están exigiendo dinero a cambio de cesar la actividad de denegación. Curiosamente, yo también tengo un artículo donde recomiendo huir de estos servicios, ya que en su mayoría implican operativas de riesgo para el usuario. Hice este comentario el pasado 23 de noviembre de 2007.

¿Qué se puede hacer ante un evento de este tipo? Por desgracia, poca cosa. Analizar tramas de tráfico, ver cómo están inyectando los paquetes y tratar de dropar el tráfico causante de la denegación. Una buena batería de firewalls en el proveedor de hospedaje debería poder frenar estos problemas, pero no siempre se tienen a mano medios eficaces para la gestión dinámica de inundaciones de paquetes maliciosos.

Aún a riesgo de que estos ignorantes me seleccionen como objetivo, quería manifestar mi apoyo a los afectados, haciéndome eco del artículo original, y de las reacciones que están aconteciendo. Desde estas líneas me ofrezco a cooperar con los afectados en todo lo que pueda, así que si alguien necesita algo, que me contacte.

Esperemos que el temporal cese lo más pronto posible. El que tenga curiosidad, que eche un ojo a algunas IPs que han intervenido en el ataque. Hasta que todo pase, es recomendable filtrar estas IPs en las medidas perimetrales de los hospedajes, y dejar que las autoridades, que imagino han recibido las oportunas denuncias, muevan lo que deban mover para contribuír a que el ataque pase a menores.

Un saludo,

8 comentarios sobre “Ataques DDoS contra la blogosfera hispana

  1. Hola Sergio!

    vamos, que si tienes un servidor dedicado (o varios como WSL) y el proveedor no filtra el acceso no puedes hacer nada, ¿no?

    A nivel de servidor, me refiero, con iptables, tarpits, mod_evasive, mod_security…

  2. Si no tenemos control sobre el hospedaje, no hay nada que hacer.

    En caso de tener control, es cuando entran en juego el resto de medidas de «capeado de temporal», entre las que destaca el filtrado de tráfico, y el balanceo dinámico entre un pool de IPs, por ejemplo.

    De todos modos, sea como fuere, un ataque fuerte de DDoS es muy difícil de contener si no se filtran adecuadamente las IPs de origen, o en su defecto, de los servicios TCP o UDP que estén bloqueando el servicio.

    Saludos,

  3. pues vaya! :-(

    En este caso, según la última actualización del post de Julio parece ser que NTT no está filtrando como si parece haberlo hecho Ferca para meneame y error500.

    esperemos que se les solucione el problema pronto.

    Saludos y gracias Sergio!

  4. Me temo que los cortafuegos son de poca ayuda en estas situaciones. La única forma de detener el problema es hallar el origen del tráfico y cortarlo. La medida del cortafuegos es poco efectiva porque con ella no se elimina la inundación del tráfico.

    Por desgracia, la detección de la fuente y su bloqueo suele requerir la colaboración entre ISPs y posiblemente las fuerzas del orden.

  5. Imagino que de todo se aprende. Quizás unos hosting estén mejor preparados para manejar estas situaciones que otros. :)

    Espero que todo se haya solucionado de forma satisfactoria y se pueda actuar judicialmente contra los causantes de los ataques.

  6. Hola,

    DDoS es un asuntito bastante serio. A los afectados… les sugiero se informen bien sobre el tema, porque identificar a los verdaderos culpables y combatirlo tengo entendido que no es nada fácil.

    ¿Qué es «informarse bien» ?. Es la gran pregunta.

    No sé responderlo, pero para hacerse una idea -aparte de consultar a verdaderos expertos que los habrá- sugiero buscar una historia real [de lucha contra DDoS] que tuvo que abordar el dueño de www dot GRC dot com, creo que alrededor de 2002 (Mr. Gibson). Es el sitio web que aloja el servicio Shields Up!!. La pena no daros el link exacto de tal historia (que pone los pelos de punta), no lo he vuelto a encontrar; incluía un LOG de chat con los «malos» de la película.

    En cualquier caso, fué hace varios años; acaso con la tecnología actual es más fácil combatir el DDoS; lo desconozco.

    Lo que «recuerdo» (y creo que es útil) es lo siguiente, para el caso, muy ilustrativo:

    (a) DDoS llevado a cabo desde 400+ ordenadores secuestrados (zombies), repartidos en todo el mundo. Vamos, 400 IP’s distintas. Esta semana habrán usado decenas de ellas; la siguiente serán OTRAS decenas de IP’s distintas…. and so on. Hasta que se aburra el «controller» de la botnet.

    (b) Los dueños de esas IP’s no son los culpables, salvo de no cuidar sus respectivos PC’s o servidores, en algún caso (con antivirus, etc). Están infectados, bots controlados remotamente, sin conocimiento de sus dueños legítimos.

    (c) IP’s de distintos países, distintas leyes, calidad de cuerpos policiales o judiciales, seriedad, honestidad de los ISP’s, etc, etc. Evidentemente, algunas de esas IP’s… pueden ser dinámicas.

    (d) Mr. Gibson buscó que la policía e inclusive el FBI le defendiera. NO ENCONTRÓ LA FORMA. Entre oros detalles, más o menos le indicaron que si sus pérdidas no superaba los 200.000 dólares… no había recursos para atenderle (sus pérdidas creo que ‘sólo’ rondaban los 50.000 por aquél entonces).

    (e) Mr. Gibson pidió ayuda… a algunos de los ISP’s. Prácticamente tampoco recibió apoyo de ellos. Pero Gibson encontró la forma de enviar una especie de email broadcast dirigido a algunos de estos 400 IP’s… para ROGARLES le hicieran el favor de enviarle una MUESTRA del VIRUS /MALWARE/ BOT que había en sus PC’s.

    Él quería realizar ingeniería inversa de ese MALWARE.

    (f) Un alma caritativa desconocida (posiblemente uno de los 400) le hizo llegar esa muestra a Mr. Gibson, quien se empolló una RFC (la de IRC/chat) y pudo descifrar el código de aquél MALWARE.

    Está claro que esto sólo lo pueden hacer «algunos elegidos» :-)

    Llegó a descifrar tan bien dicho código, que hizo una VARIANTE para poder sniffar el servidor IRC desde el cual el «malo» daba las órdenes a los 400 BOT’s para realizar os ataques.

    (g) Mr. Gibson generó un LOG de 8 días contínuos de dicho servidor IRC (particular de los hackers). E identificó a un compañero (the ‘boss’, creo) del «malo». El diálogo que tuvo Mr. Gibson con el ‘boss’ es digno de encontrarlo en la web y leerlo con nuestros propios ojitos.

    Ruego si alquien lo localiza, lo ponga aquí, con la bendición de Sergio :-) (?)

    (h) El caso es que, en aquél entonces, Mr. Gibson, con habilidad PSICOLÓGICA llegó a convencer a los delincuentes de turno que le DEJARAN tranquilo.

    Resolvió su problema.

    Corolarios:

    (1) Eso fué hace tiempo; ahora hay más recursos… pero de ambas partes, es decir, la policía, los ISP’s, los proveedores de soluciones defensivas… pero lamentablemente, tambien hay más recursos para los «delincuentes» ¿no? Ej: Acaso la red de bots … es muy superior a 400. Rogad a dios que no sea así.

    (2) Entre las IP’s que muestra Sergio, las hay de Taiwan, Grecia, Turquía, Estados Unidos… y España.

    ¿España?? Un rango de IP’s bastante estrecho (whois/ dnsstuff). Estupendo. Estupendo para «tirar del hilo»
    Ojalá no hayan limpiado el BOT…

    Yo desde luego procuraría conseguir un ejemplar del malware. Y rezar para que no sea de esos cuyo CC (Command and Control, creo que se llama) no sea «dinámico», o de las variantes P2P más modernas (apenas tengo idea).

    Ojalá… se pueda capear el temporal filtrando esas IP’s. Pero tengo entendido que no es suficiente, «ni de lejos». Nope (ojalá me equivoque, en este caso).

    Imagino que una de las técnicas para capear el temporal (o lo fué alguna vez) es filtrar las peticiones HTTP en donde la URL destino es directamente IP numérica (ej: http://xxx.yyy.zzz.ppp, en lugar de http://www….com) o del tipo de navegador que hace la petición, como hacía Microsoft, por ejemplo.

    En fin, todo un tema. Desconozco si Sergio puede aportar más información, actual, sobre técnicas para:

    + Técnicas para combatir el DDoS en el momento de la tormenta. Indicar órdenes de magnitud reales.

    + Técnicas de Análisis Forense y Persecución Judicial (meses…años?)

    Bienvenidos comentarios, correcciones; datos más concretos :-)

Comentarios cerrados.