Terminator 2016, la rebelión de los electrodomésticos

Por Arturo Quirantes, el 24 octubre, 2016. Categoría(s): Criptografia ✎ 8
Terminator 3
Estábais avisados, humanos insignificantes

Vigila tu nuevo frigorífico conectado a Internet. Puede estar conspirando contra ti.

Uno de los ataques informáticos más básicos se denomina Denegación de Servicio, o DoS (Denial of Service). Sucede cuando alguien impide el uso de algún tipo de servicio. El ejemplo más sencillo es el de la red telefónica. Si alguien decide llamarme cada minuto sólo para fastidiar, yo puedo descolgar, decirle de todo menos bonito a mi interlocutor y volver a colgar, o bien ignorar la llamada. En cualquier caso, mientras lo haga no podrá llamarme nadie más. El atacante me está negando el uso de mi servicio telefónico.

Los ataques DoS no están restringidos al mundo digital. Imagínese una sucursal bancaria. El hacker podría ir al banco y ponerse en cola una y otra vez, ahora sacando dinero, ahora viendo el saldo, ahora pidiendo una retirada. El banco puede liberarse de esta moleste cliente diciéndole que use el cajero, o bien utilizando su arma más poderosa: las comisiones.

¿Pero y si utilizamos compinches? En el libro de Arthur Hailey Traficantes de Dinero, escrito en 1975, un banco decide retirar fondos destinados a la rehabilitación de barrios pobres, y sus habitantes contraatacan “atacando” las sucursales bancarias. Entran, abren una cuenta, piden el saldo, retiran algo de dinero, bien solicitan información, ingresan algunos billetes… cientos de personas durante todo el día, y luego el día siguiente, y el siguiente. Los responsables del banco asisten atónitos a un ataque masivo que ralentiza las operaciones diarias e impide a los clientes habituales utilizar los servicios de las sucursales, por no hablar de la pérdida de imagen. Al final el banco cede.

Esto sería un ataque DoS con compinches, lo que en terminología informática se llama ataque de Denegación de Servicio Distribuido, o DDoS (Distributed Denial of Service). En este caso el volumen del ataque puede producir perjuicios de consideración al atacante. Volviendo a nuestro ejemplo, no siempre resulta fácil ejecutar un ataque telefónico DDoS con éxito. Miles de personas llamando una y otra vez al servicio de atención al cliente de un gran banco podrían causarles ciertas molestias temporales, vale, pero ¿qué hemos conseguido salvo incomodar a algunos llamantes legítimos y fastidiar a los pobres chavales que contestan al teléfono? La empresa, por su parte, tiene diversos medios para defenderse: mantener muchas líneas abiertas, poner a los insistentes telefoneadores en una lista de bloqueo, y por supuesto tomar medidas legales contra ellos gracias a que una llamada telefónica es muy sencilla de rastrear.

Vale, pues dejemos el teléfono y vamos a ver qué podemos hacer con las conexiones en Internet. Muchas personas intentando conectarse a eBay podría lograr que su web se viniese abajo, con lo que los clientes no pueden realizar compras y la empresa perderá una pasta en ventas no realizadas. En un plano distinto, una forma de protesta consistente en tirar abajo la web del Fondo Monetario Internacional llamaría la atención sobre los peligros de la globalización y etcétera. En un caso el ataque tiene fines económicos (sea fastidiar o beneficiar a otra empresa), en otro tiene fines sociopolíticos o de visibilidad mediática.

Los motivos pueden ser más insidiosos. En la película Jungla de Cristal 3, el malvado Simon escondió una gran bomba de gran potencia en un colegio de la ciudad. Mientras la policía de la ciudad desplegaba todos sus efectivos, Simon tuvo la ocurrencia de llamar a una emisora de radio y contar su plan. En el acto miles de ciudadanos deseosos de información colapsaron las líneas telefónicas de la policía, impidiendo que los agentes pudiesen coordinar sus esfuerzos; mientras tanto, el detective McClane se preguntaba por qué no podía llamar a sus compañeros para avisarles de dónde estaba la bomba.

Por supuesto, tanto el señor eBay como mister FMI o la policía de Nueva York saben a lo que se exponen y tiene todo tipo de defensas para evitarlo: sus servidores están preparados para absorber gran número de conexiones, hay filtros que detectan y bloquean ataques DoS. Pueden detener ataques de miles y miles de personas.

Pero si las defensas pueden alcanzar un nivel formidable, también puede hacerlo el ataque. Una manera de conseguir grandes cantidades de atacantes es infectando sus ordenadores con virus o troyanos para controlarlos a distancia. Puede que su propia máquina, amigo lector, esté infectada. El bicho le vino por adjunto a un correo electrónico, en un USB que le pasó su cuñado, en ese programa gratuito tan chulo que se descargó usted para hacer bitcoins o escuchar música, hay muchas formas. Una vez dentro el troyano no parece hacer nada, así que usted no sospecha nada; internamente su ordenador ha quedado esclavizado, y cuando reciba la orden comenzará a enviar datos al objetivo de forma coordinada con millares de otras máquinas similares.

El uso de grandes redes de ordenadores ha calado incluso en franquicias de cine como Terminator. Si en la primera y segunda entregas (1984 y 1991, respectivamente) Skynet era presentado como una gran máquina que alcanza consciencia y elimina la civilización humana, en Terminator 3 (2003) el enemigo está mucho más distribuido:

Para cuando Skynet fue consciente de su capacidad, se había esparcido por millones de servidores informáticos por todo el planeta. Ordenadores corrientes en edificios de oficinas, en cibercafés, en todas partes. Todo era software y ciberespacio. No había núcleo del sistema. No se podía desconectar.

Los ataques DDoS se caracterizan por su duración y sobre todo, su intensidad, que podemos cuantificar como la cantidad de datos recibidas por segundo por el sistema atacado. Para que se haga una idea, su pendrive USB 2.0 puede transferir datos al ordenador a una velocidad máxima de 480 megabits por segundo (Mbps), y los nuevos USB 3.0 pueden alcanzar velocidades de transferencia de hasta 5 gigabits por segundo (1Gbps). Bien, pues en el primer trimestre de 2016 ha habido 19 ataques de 100 Gbps o más. A comienzos de año la BBC y la web del candidato presidencial norteamericano Donald Trump cayeron bajo un ataque combinado de 602 Gbps, algo sin precedentes hasta la fecha.

Los ataques DDoS son muy difíciles de detener debido a las características de los atacantes. Como en las películas de zombis, no importa cuántos ordenadores infectados eliminemos, siempre quedarán algunos para volver a propagar la infección. La acción de los usuarios usando antivirus y negándose a abrir archivos sospechosos puede ayudar, por supuesto. Eso, junto con la acción de las fuerzas policiales y de las empresas especializadas, ayuda a limitar (raramente impedir por completo) este tipo de ataques.

Pero los defensores se enfrentan ahora a una amenaza mayor: la Internet de las Cosas (IoT). Esos futuros utópicos en los que todo estará conectado a todo, que nos venden como algo bueno y modernuqui, tienen su cara oscura. Algunas ya las tenemos en mente, como el espionaje tipo Gran Hermano (¿sigue usted sin cubrir la cámara de su ordenador, amigo lector?) o la aparición de nuevos virus que nos roben nuestra información sensible.

Hay una tercera posibilidad a la que apenas hemos prestado atención: ataques DDoS domésticos. Si llenamos nuestras casas con televisores, frigoríficos y mesitas de noche conectadas, ¿podría alguien usarlas para lanzar un ataque de denegación de servicio? Vale, una Thermomix o un termostato tienen mucha menos memoria y capacidad de cómputo que un ordenador, pero a cambio gozan de tres ventajas: tienen multitud de vulnerabilidades, carecen de protección de tipo antivirus… y son muchos.

Esta “rebelión de las máquinas” puede sonar a serie de Netflix pero en realidad es algo que ya ha sucedido, y más de una vez. En septiembre de 2015, por ejemplo, las redes de juego de Microsoft (Xbox) y Sony (Playstation Network) fueron tumbadas por ataques DDoS lanzados desde millares de routers domésticos. Este junio pasado se descubrió una red similar que utilizó cámaras de circuito cerrado (CCTV) para atacar una web durante días.

Más recientemente, entre el 19 y el 22 de septiembre de 2016, el proveedor de servicio francés OVH se tambaleó bajo una serie de ataques DDoS de ferocidad nunca vista: los picos llegaron a los 990 Gbps. Pocos días antes, y de modo similar, la web de seguridad KrebsOnSecurity recibió un ataque DDoS de más de 600 Gbps. KoS estaba protegida de este tipo de ataques por una empresa especializada llamada Akamai, pero ni siquiera ellos pudieron detener la oleada de datos y tuvieron que tirar la toalla. Krebs solamente volvió a operar gracias a Google, que proporciona servicios de protección DDoS a servicios de noticias gracias a su Proyecto Shield.

Lo realmente sorprendente de esos dos últimos ataques no fue su volumen sino su procedencia. En lugar de ordenadores, los atacantes utilizaron otros dispositivos de menor potencia como cámaras IP, esas que usted puede ver por todas partes y que nos venden para asegurar nuestra casa o la habitación de los niños. Según Octave Klaba, de OHV, el ataque contra sus instalaciones fue realizado por casi 150.000 cámaras.

No hemos carecido de preavisos, así que prepárese porque la cosa no hará sino ir a peor. Los dispositivos de la Internet de las Cosas (IoT) están diseñados pensando en la eficacia de uso, no en la seguridad. Tanto su número como su variedad siguen en aumento: televisores, frigoríficos, grabadores digitales de vídeo, cámaras de vigilancia, sistemas domóticos, bombillas LED, robots de cocina, contadores eléctricos… la lista es interminable. Los ataques DDoS futuros usarán millones, quizá decenas de millones, de dispositivos IoT vulnerables, dejando en ridículo todo lo que hemos visto hasta ahora.

¿No me creen? NO hay problema. Sólo tiene usted que esperar un poco y los ataques DDoS de terabits por segundo serán moneda corriente. El día que entre a comprar en la web de Amazon y vea que está KO, ya sabe por qué.

 

APÉNDICE. Este artículo fue publicado a mediados de octubre, y estaba programado para publicarse el lunes 24. Tres días antes, el viernes 21, el proveedor de Internet norteamericano Dyn.com sufrió una serie de tres ataques DDoS. Este acto resultó particularmente devastador debido al hecho de que Dyn es un proveedor de servicios DNS (Domain Name System), que básicamente le dice a un ordenador dónde buscar una web cuando el usuario teclea una dirección www en el navegador; es decir, actúa como un gigantesco listín telefónico. Como resultado, algunas de las mayores empresas de Internet a las que Dyn presta este tipo de servicios sufrieron interrupciones, como Spotify, Netflix, Twitter… y Amazon.

mapa-de-eeuu-con-las-zonas-del-pais-mas-afectadas-por-el-ataque-ddos(Zonas de EEUU atacadas el jueves 21 mediante DDos)

El ataque del jueves fue uno de los más intensos desarrollados hasta la fecha. Como en los casos anteriores (OHV, Krebs), el principal vector de ataque fue la Internet de las Cosas.  Esta vez la situación ha ido a peor por varios motivos. Primero: los atacantes escogieron un servicio vital de Internet, capaz de tumbar algunas de las mayores empresas de comercio electrónico y redes sociales.

Segundo: los tres ataques que se registraron el día 21 fueron separados y procedían de distintas redes de “bots” (programas informáticos usados para el ataque). Dyn lo describe como “un ataque sofisticado altamente distribuido con decenas de millones de direcciones IP…con múltiples vectores de ataque” El primero de ellos afectó a la Costa Este de EEUU; los otros dos se extendieron por todo el mundo, convirtiéndose en uno de los mayores ataques a la infraestructura de Internet hasta la fecha.

Tercero: utilizaron el mismo tipo de “bots” que en los casos OHV y Krebs, lo que no es de extrañar ya que el código fuente de ese malware (conocido como Miral) es público; lo que significa que cualquiera puede montar su propia red de bots.

Cuarto: la escala de los ataques hace pensar en algún tipo de ciberterrorismo con mayúsculas, donde puede que estén involucrados países enteros. Aún no se sabe quién lo ha hecho o con qué objeto. Aunque un grupo hacker denominado New World Hackers se ha atribuido la responsabilidad de esta acción, gobiernos como el ruso o el norcoreano ya han mostrado su hostilidad hacia Estados Unidos en el ciberespacio.

La situación no está nada clara. El experto en seguridad informática Bruce Schneier se decanta hacia la posibilidad de que se trate de ataques hackers (ver aquí y aquí), pero al mismo tiempo afirma que los servicios críticos de Internet llevan dos años sufriendo ataques de sondeo, de forma similar a cuando EEUU enviaba aviones a la frontera rusa para sondear sus defensas durante la Guerra Fría (recomiendo su artículo Alguien está aprendiendo a tumbar Internet, de 13 de octubre).

Podemos afirmar que, como dije al final del artículo, esto sólo va a ir a peor. A estas alturas no me atrevo a seguir haciendo predicciones. Sólo puedo hacerle un ruego a usted, amigo lector, que puede aliviar la intensidad de estos ataques en el futuro: si tiene un instrumento IoT en casa, por favor, por favor, CAMBIE LA CONTRASEÑA. Gracias.



8 Comentarios

  1. IoT roza lo ridículo en muchos casos. Recomiendo fervientemente seguir el twitter @internetofshit para hacerse una idea. Personalmente creo (o quiero creer) que IoT es a internet lo que el Concorde fue a la aviación. Servicios que proporcionan una relativa ventaja o novedad, pero que en la práctica suponen tantos problemas y costes asociados que a la larga resulta que poca gente les encuentra una utilidad real. ¿Recuerdan cuando se decia que la domótica era el futuro en el hogar?

  2. Cierto es que una parte de la IoT es absurda y superflua pero hay otra que se esta introduciendo poco a poco, sibilinamente y que, con la excusa de «por nuestra seguridad», «nuestra salud» o «una mejor experiencia de ocio» tragamos sin percatarnos de los peligros inherentes.

    Nos choca o consideramos una gilipollez que el frigorifico se conecte a internet para realizar la compra de los que hace falta ¿y como carajo controla las latas de sardinas? o que lo haga la lavadora (internet no escoge, mete y saca la ropa, que es lo jodio de verdad) pero en otros dispositivos hasta nos ponemos de rodillas, suplicamos, para que se conecten.

    Cámaras de seguridad via IP para controlar nuestra casa o el parking del coche con el movil estemos donde estemos. Dispositivos controlados por internet para subir, bajar persianas, encender-apagar la luz que den la sensación de que vivimos. Televisiones que nos conecten con servidores donde estan nuestras series o pelis favoritas. Robots de cocina inteligentes que se descarga de internet receta de ingredientes y tiempos para preparar pasta a la putana. Caldera de gas (o cualquier otro dispositivo) que para mejor mantenimiento se conecta al wifi en caso de averia, de forma inmediata y comunicando la causa del fallo. Si estamos mayores, dispositivos de alerta para emergencia o biodispositvos que envian de forma remota datos sobre nuestra tensión o ritmo cardiaco, etc.

    Cada vez, aunque de forma lenta son más y no nos damos cuentas de los fallos de seguridad que hay o habrá en los cacharritos que nos rodean. Hasta que no cambien las alertas de seguridad no nos daremos cuenta.

    Ahora, cuando llega el verano, se suelta por todos sitios que no bajes todas las persianas, temporizador de luz, vecino que te retire las cartas, etc. En el futuro te diran que controles y actualices el software de las camaras pues si tu puedes ver el interior de tu casa, cualquiera que te la hackeé podrá hacer lo mismo.

    1. Algunas aplicaciones del IoT son útiles y otras son absurdas -tanto depender de la tecnología ademas acaba atontando-.

      Viendo los estragos que puede causarse con esos aparatos, es graciosa la gente que iguala una dirección IP con una persona para acusarla de violación de copyright al subir o descargar una pelicula -pasa en otros países y ya veremos lo que tarda en llegar aquí-.p

  3. Hay una cantidad tremenda de artículos con acceso a la red que se están vendiendo sin ningún tipo de control sobre el tráfico que realizan y su protección. Enchufes, bombillas y arroceras con acceso a wifi, reproductores de vídeo, móviles, decodificadores de satélite. Te puedes instalar el último firmware que se deja caer en el foro que andas consultando y lo instalas con total despreocupación. Hay que empezar a tomarse estas cosas en serio.

  4. ¡Vaya articulazo te has marcado! Ahora no hago más que pensar la nueva nevera que compré en Electrocosto se vuelva loca y me ataque por la noche.

    Fuera de coñas, la verdad es que da mucho miedo todo esto y creo que no estamos concienciados para lo que viene con todo esto del «Internet de las cosas». ¡Gracias por la información!

  5. Cada vez existen más artículos con conexión a la red que se están vendiendo.

    Ya habiamos comenzado con los Smartphones y ahora vamos sumando mas dispositivos sin ningún tipo de control sobre el tráfico que realizan y su protección.

    Pienso que esta bien por una parte ya que resuelven muchos problemas aunque deberían educar mejor a los usuarios finales.

    Saludos!

Deja un comentario

Por Arturo Quirantes, publicado el 24 octubre, 2016
Categoría(s): Criptografia
Etiqueta(s): , ,