Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/10/2011
Analizan los cinco principales ataques DDoS de 2011
Mastercard, Visa, Sony, PayPal y la CIA presiden la lista de las principales empresas hostigadas por los denominados "hacktivistas".
Corero Network Security (CNS:LN), fabricante líder de Sistemas de Prevención de Intrusiones (IPS) y Sistemas de Defensa frente a ataques Distribuidos de Denegación de Servicio (DDoS), acaba de presentar un informe en el que se detallan los cinco mayores ataques DDoS acontecidos en 2011, al tiempo que propone sendas recomendaciones y buenas prácticas a las organizaciones que quieren mitigar el riesgo que representan estas amenazas.
Así, el estudio muestra un aumento en lo que se refiere a nuevos e inteligentes ataques DDoS en la capa de aplicación, los cuales son extremadamente difíciles de identificar para soluciones basadas "en la nube", y con frecuencia no se detectan con las tecnologías de Seguridad tradicionales hasta que ya es demasiado tarde.
Corero Network Security también ha evidenciado un incremento en los ataques contra empresas perpetrados por los denominados "hactivists" (hackers activistas) que perpetran ataques DDoS a sitios Web, actuando por motivos políticos e ideológicos en lugar de por un interés financiero. En este sentido, los embates ejecutados contra Mastercard, Visa, Sony, PayPal y la CIA encumbran la lista de Corero Network Security.
"El juego del gato y el ratón entre los administradores de TI, los delincuentes y los hactivistas se ha intensificado en 2011", afirma Mike Paquette, director de estrategia de Corero Network Security. “El número de ataques DDoS orientados a la capa de aplicación se ha disparado, al tiempo que el “hactivismo" político e ideológico se ha incrementado. Por ello, las empresas deben ser muy cuidadosas en identificar y luchar contra los intentos por deshabilitar sus sitios web, el robo de información privada y la manipulación de sus aplicaciones web".
El Top 5: La guerra de los ciberpiratas activistas
La lista elaborada por Corero sobre los cinco ataques DDoS de mayor impacto perpetrados en 2011 incluye los siguientes casos:
- Ataque contra los "censores" de WikiLeaks: Visa, Mastercard y PayPal (Grupo Anonymous) www.tgdaily.com
Ha sido, sin duda, el más importante ataque DDoS realizado en lo que va de año, afectando a Visa, Mastercard y PayPal, organizaciones tildadas por el Grupo Anonymous como "enemigas de WikiLeaks". Se trata, así mismo, del primer ejemplo generalizado de lo que ha sido bautizado como "cyber disturbios" en Internet, con transeúntes virtuales que deciden unirse al asalto de forma voluntaria.
- Red de PlayStation, Sony www.dailytech.com
Una impactante llamada de atención para muchos jugadores, clientes e inversores de la red de juegos de Sony. El ataque DDoS a PlayStation inició una serie de asaltos cibernéticos y de robo de información que dañaron económicamente a Sony, además de deteriorar su reputación.
- CIA y agencia SOCA (LulzSec) www.guardian.co.uk
La aparición de LulzSec en escena, destacó por los ataques de DDoS contra la CIA y la Agencia contra el Crimen Organizado Serio (SOCA, por sus siglas en inglés) de Reino Unido. Estos dos envites perpetrados contra ambos organismos de defensa levantaron las alarmas respecto a sí “alguien está a salvo en Internet".
- WordPress money.cnn.com
La plataforma de alojamiento de blogs más grande del mundo no se libró de sufrir una ofensiva DDoS masiva que bloqueó unos 18 millones de sitios web. El ataque impactó los centros de datos de la compañía, que se vieron inundados con decenas de millones de paquetes por segundo.
- Bolsa de Hong Kong www.techcentral.ie
Esta ofensiva DDoS tuvo un gran impacto en el mundo financiero, consiguiendo alterar la Bolsa de Valores en Hong Kong. Fue un ataque DDoS de alto grado, y afectó colateralmente a cientos de empresas y particulares.
Cinco recomendaciones para mitigar los efectos de los ataques DDoS
Por todo el daño que los ataques DDoS han causado, Corero expone una serie de mejores prácticas que las empresas pueden implementar para reducir el riesgo. La defensa más eficaz requiere de una preparación especializada de los recursos de resguardo, vigilancia y monitorización permanente y una reacción rápida y organizada.
1. Crear un Plan de Respuesta DDoS.-. Al igual que ocurre con todos los planes de contingencia y respuesta a incidentes, la preparación anticipada es la clave para una acción rápida y eficaz. En un programa de respuesta idóneo se describen los pasos que las organizaciones deben seguir en caso de que su infraestructura de TI se vea comprometida por un ataque DDoS.
Y es que, cada vez más, Corero observa que los ataques DDoS contra objetivos de alto perfil son inteligentes, preparados y persistentes. Esta nueva generación de atacantes muy capacitados varía constantemente sus métodos, ya que cada nuevo intento puede ser contrarrestado o no. Por ello es esencial que el plan de respuesta DDoS defina cuándo y cómo recursos adicionales de mitigación se implementan y necesitan reforzar su vigilancia.
2. La defensa contra DDoS en el Centro de Datos es imprescindible.-. Las conexiones a Internet incluyendo servicios de tipo “Clean Pipe" proporcionadas por ISPs dan una falsa sensación de seguridad. Las soluciones de protección deben ser instaladas inmediatamente frente a las aplicaciones y los servidores de bases de datos, para lograr una respuesta granular a los ataques por inundaciones (flooding), así como, para detectar y desviar los cada vez más frecuentes ataques DDoS orientados a la capa de aplicación.
Para una defensa óptima, es necesario implementar soluciones de protección DDoS en los centros de datos en conjunto con servicios de monitorización automatizados, con el propósito de identificar y reaccionar inmediatamente ante ataques evasivos y sostenidos.
3. Proteger la infraestructura DNS.-. El DNS es un sistema de nombres distribuido que permite el acceso a Internet mediante el uso de denominaciones reconocibles y fáciles de recordar, como www.google.com, en lugar de direcciones IP numéricas (por ejemplo, 192.168.0.1) en las cuales la infraestructura de red enruta los mensajes de un ordenador a otro. Desde que el DNS es distribuido, muchas organizaciones utilizan y mantienen sus propios servidores DNS para que sus sistemas sean visibles en Internet.
Sin embargo, estos servidores son a menudo blanco de ataques DDoS, y si el atacante consigue alterar las operaciones del DNS, todos los servicios de las víctimas pueden desaparecer de Internet, causando el deseado efecto de Denegación de Servicio.
4. Conocer a los clientes reales.-. El uso de fuerza bruta (brut-force) o de inundación (flooding) para acometer un ataque DDoS es relativamente fácil de identificar, a pesar de que se requiere de un sofisticado análisis en tiempo real para reconocer y bloquear el tráfico malicioso mientras que se permite el legítimo.
La detección de los ataques más insidiosos que actúan en la capa de aplicación requiere de un conocimiento profundo de las conductas y acciones de buena fe de clientes y empleados que acceden a las aplicaciones que se protegen. De la misma manera que la detección del fraude de tarjetas de crédito puede ser automatizada, la defensa contra ataques DDoS delante de los servidores permite establecer perfiles de uso legítimo para identificar el tráfico sospechoso y responder en consecuencia.
5. Mantener un plan de vigilancia continuo.-. Los ataques DDoS son cada vez más inteligentes y sigilosos en sus métodos. Si se espera a que una aplicación deje de responder antes de tomar cartas en el asunto, será demasiado tarde.
Para una defensa óptima, un sistema de alerta temprana DDoS debe formar parte de las soluciones de protección de las empresas. La monitorización continua y automatizada es necesaria para reconocer un ataque, dar la voz de alarma y poner en marcha el plan de respuesta.