miércoles, 21 de diciembre de 2016

La botnet Mirai usa dispositivos hogareños para ejecutar ciberataques

El ejército zombie de dispositivos conectados que puso en jaque a Internet.
Por Martiniano Nemirovsci publicado por Télam.

Millones de afectados en Estados Unidos y Europa, un país entero sin conexión a Internet y la caída de varios de los principales sitios y servicios online del mundo fueron la carta de presentación de la "botnet" Mirai, un malware que encuentra, infecta y domina a dispositivos hogareños para usarlos en ataques, que marcó un antes y un después en estos incidentes y obliga a fabricantes y gobiernos a elevar las medidas de seguridad.

IMAG0609
Visto en Flickr
La imagen no pertenece a la nota de Télam
"Alguien está aprendiendo cómo derribar Internet", alertó a comienzos de septiembre, en su blog, Bruce Schneier, uno de los principales referentes a nivel global sobre seguridad informática. El experto se refería a un incremento en los ataques distribuidos de denegación de servicios (DDoS) contra compañías encargadas de proveer "la infraestructura básica que hace que Internet funcione".

No daba cuenta de un nuevo tipo de ataque, ya que los DDoS se utilizan desde hace años para dar de baja servidores provocándoles la pérdida de conectividad, al saturarlos mediante una enorme cantidad de accesos que consumen su ancho de banda, los sobrecargan y los voltean. La alarma de Schneier, en cambio, alertaba sobre la magnitud de los mismos.

Su advertencia comenzó a tomar cuerpo ese mismo mes. El proveedor de hosting francés OVH quedó fuera de la red después de que a sus servidores ingresara un tráfico de casi 1,5 Tb por segundo; una semana después, el blog del periodista especializado en seguridad informática Brian Krebs fue blanco de otro enorme ataque de 665 Gb por segundo.

En ambos casos, la novedad residió en que los ataques no provinieron de PCs infectadas, sino de "Mirai", una botnet -una red de cámaras y otros aparatos hogareños conectados a la Internet de las Cosas- compuesta por más de 100.000 dispositivos, en la que los hackers aprovecharon vulnerabilidades de seguridad de esos equipos para dirigir su tráfico contra las víctimas.

Después de estos incidentes, un hacker conocido como "Anna-senpai" abrió el código de esta botnet y lo subió a Internet para que cualquier persona que quisiera pudiera usarlo.

Mirai aprovecha "una vulnerabilidad de dispositivos de Linux conectados a Internet", en referencia al sistema operativo que tienen muchos de los aparatos de la Internet de las cosas; primero "escanea todo, prueba y entra en todos los (dispositivos) que son accesibles", a los que infecta y domina, explicó a Télam Alfredo Adrián Ortega, desarrollador de software que trabaja para la empresa de antivirus Avast.

Así, esta botnet crea lo que especialistas denominaron un "ejército zombie de dispositivos conectados", que permanece latente hasta que se usa para lanzar un ataque.

Como sucedió el 21 de octubre, cuando Mirai se empleó contra los servidores de Dyn, un proveedor de direcciones DNS, y volteó durante casi un día entero no solo un gran número de conexiones en Estados Unidos -primero en la costa este, aunque luego se esparció hacia el otro extremo-, sino que afectó a sitios y servicios como Twitter, Netflix, Spotify, Reddit, The Guardian, The New York Times, CNN, Guardian.co.uk, HBO Now, PayPal, Pinterest, Playstation Network, Storify.com, The Verge, Fox News, Soundcloud, WSJ.com, time.com, xbox.com, dailynews.com, BBC, y CNBC.com, entre otros.

Ortega relativizó la advertencia de Schneier al señalar que Mirai "no puede tirar toda Internet", aunque afirmó que "sí puede tirar partes. Y por ahí son partes fundamentales. Partecitas que te joroban la vida". Como hacker, "vos detectás cuál es la parte crítica, tres o cuatro servidores. Rompés esos y afectás un montón de usuarios, por ejemplo de telecomunicaciones, servicio de energía, etcétera. Servidores críticos", remarcó.

Eso fue lo que pasó en noviembre, cuando la misma botnet se empleó para voltear toda la infraestructura de Internet de Liberia: con un tráfico de más de 600 Gbs apuntado contra las dos empresas copropietarias de la única fibra que entra al país africano, la conexión quedó inutilizada durante al menos la semana que duró el ataque.

Las siguientes víctimas fueron europeas. Entre los últimos días de noviembre y los primeros de diciembre, más de 900.000 clientes alemanes de Deutsche Telekom y alrededor de 100.000 clientes de las telcos británicas Post Office, KCom, TalkTalk, experimentaron dificultades en sus conexiones a Internet.

Según el especialista en seguridad informática Cristian Borghello, por la dimensión del ancho de banda empleado en estos ataques "Mirai efectivamente ha marcado un antes y un después en el tamaño de las botnets, en el tipo de dispositivos utilizados (ahora una cámara, heladera o un televisor puede formar parte del ataque) y en el volumen y ancho de banda utilizado".

Ninguna entidad reivindicó estos ataques, que tampoco derivaron en el robo de datos ni dinero. Según Ortega, detrás de estos episodios hay "amateurs": "Te das cuenta que son amateurs porque lo primero que hicieron fue atacar a Krebs, que es lo último que tenés que hacer. Estaban probando", analizó, y sostuvo que "estas botnets no son tan efectivas porque no se pueden usar para, por ejemplo, robar datos bancarios o información personal. Porque se usan con dispositivos como cámaras o routers, que por otro lado no tienen antivirus, lo que la vuelve muy persistente".

"Aún hoy continúan los ataques con Mirai, aunque parte de la botnet la han dado de baja. Hay clones no tan grandes que usan la misma vulnerabilidad", continuó el experto, para quien "lo interesante es que esto va a seguir y va generar que salgan leyes" que obliguen entre otras cosas a "poner password por defecto a los fabricantes". 

Es que estos aparatos tienen vulnerabilidades por ejemplo en "las contraseñas, que son texto plano y están hardcodeadas (incrustadas directamente en el código fuente)", y las medidas de seguridad no se incrementan por "una cuestión de costo-beneficio", una ecuación en la que "los fabricantes se centran en que a los equipos les dure la batería y no mucho más", sostuvo Fernando Spettoli, vicepresidente de Seguridad para Latinoamérica de Equifax.

Según Borghello, "se cree que en un futuro cercano los ataques DDoS podrían alcanzar anchos de banda superiores a los 10 Tbps utilizando dispositivos IoT". 

Mientras tanto, para mandatarios como la canciller alemana Angela Merkel, estos incidentes "son parte de nuestro día a día y debemos aprender a vivir con ellos". / Por Martiniano Nemirovsci publicado por Télam.--



Prevéngase del Aedes aegypti, el mosquito de la fiebre amarilla, del dengue, de la chikunguña, de la fiebre de Zika y el Virus Mayaro. Cuide su salud y la de los suyos. Asesórese como ayudar a combatir el Aedes aegypti. Comience con las medidas preventivas

___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

No hay comentarios.:

Publicar un comentario

Bienvenido al blog y muchas gracias por su visita. Espero que el contenido sea de utilidad, interés y agrado.
Los comentarios están moderados. Antes de colocar un comentario lea bien las condiciones, tenga en cuenta que no se permitirán comentarios que:
- sean anónimos y/o posean sólo un nickname.
- no estén vinculados a una cuenta.
- posean links promocionando páginas y/o sitios.
- no se admite propaganda de ningún tipo
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y
palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia.

Este Blog ni su autor tiene responsabilidad alguna sobre comentarios de terceros, los mismos son de exclusiva responsabilidad del que los emite. De todas maneras, por responsabilidad editorial me reservo el derecho de eliminar aquellos comentarios que considere inadecuados, abusivos, injuriantes, discriminadores y/o contrarios a las leyes de la República Argentina.