CIBERCRIMEN

Caso: Mirai – Cuando Internet of Things se convierte en Internet of Nothing

Por: Tomás Gálvez / Equipo de Respuesta a Incidentes

attack-map

Imagen capturada de http://www.digitalattackmap.com el 09 de noviembre de 2016 a las 12:47 P.M.

Entre septiembre y octubre de este año han ocurrido ataques distribuidos de denegación de servicio (DDoS) que han hecho historia. El primero fue contra el sitio del experto en seguridad Brian Krebs, y alcanzó los 620 gigabits de tráfico por segundo. Akamai Technologies, una gigantesca empresa de comercio electrónico, patrocinaba a Krebs con mitigación de denegaciones de servicio... hasta este ataque. El costo de proveer la protección se volvió tan alto que Akamai decidió dejar de ofrecerla, y otras empresas de su tamaño pensaron dos veces antes de tomar su lugar.

Otro ataque de mayor magnitud afectó al proveedor de alojamiento de contenido web (i.e., webhost) OVH, alcanzando más de un terabit de tráfico por segundo. El ataque más reciente fue contra el proveedor de servicios de traducción de dominio (DNS), Dyn. Este ha sido también el ataque de mayor impacto ya que, debido a la naturaleza de la víctima, muchos sitios se vieron indirectamente afectados con inaccesibilidad.

Estos ataques fueron facilitados por un malware identificado como Mirai (cuyo código fuente está disponible al público desde finales de octubre). Mirai se caracteriza por explotar vulnerabilidades involucrando el protocolo “telnet” en dispositivos ejecutando la herramienta BusyBox. Esta herramienta provee funcionalidades comunes de sistemas operativos *NIX en versión compacta y modularizada, por lo que es muy popular en dispositivos portátiles cuyo sistema operativo se basa en el kernel de Linux. Esto significa que Mirai afectó principalmente dispositivos móviles con conexión a internet (como webcams y routers caseros), hoy en día agrupados en el ciot-dangeroncepto de Internet of Things (IoT). Y esto significa que el tráfico de los ataques de denegación de servicio mencionados fue generado principalmente por IoT en lugar de una botnet de computadoras como es habitual. Por si fuera poco, la publicación del código de Mirai ha abierto las puertas al desarrollo de versiones corregidas y aumentadas.

El adviento y lenta adopción de IoT viene, como era de esperarse, con sus riesgos. Potenciales víctimas de ataques DDoS apoyados en Mirai y sus variantes deben buscar servicios de protección y mitigación capaces de sostener fuertes cargas de tráfico (como los que ofrece la empresa Arbor). Por lo demás sólo nos queda esperar a que los fabricantes de dispositivos IoT implementen medidas de seguridad que ayuden a prevenir estos incidentes.

Fuentes:
http://betanews.com/2015/12/18/could-the-internet-of-things-spark-a-data-security-epidemic/
http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&time=17113&view=map
https://busybox.net/about.html
http://www.theregister.co.uk/2016/10/31/iot_botnet_wannabe/
http://arstechnica.com/security/2016/10/that-botnet-of-things-malware-is-getting-a-nasty-makeover/
http://arstechnica.com/security/2016/09/why-the-silencing-of-krebsonsecurity-opens-a-troubling-chapter-for-the-net/
http://arstechnica.com/security/2016/10/brace-yourselves-source-code-powering-potent-iot-ddoses-just-went-public/
http://arstechnica.com/security/2016/10/double-dip-internet-of-things-botnet-attack-felt-across-the-internet/
https://www.wired.com/2016/10/internet-outage-ddos-dns-dyn/

No hay comentarios

Agregar comentario