27.8.12

Anonymous: conoce su tecnología y su forma de atacar

Originalmente publicado por Luis Enrique Corredera, en elreservado.es,  13 de junio de 2011


Viernes 10 de Junio de 2011. 9.00 horas. Llego a las oficinas de FLAG Solutions, aún amodorrado por el sueño y el peso de la semana. Al más puro estilo “cámera café” paso por la cocina para ordeñar la cafetera en busca de la cafeína que me ayude a hacer frente al día, cuando mi socio Alberto me sacude una noticia que me deja un poco descolocado: “acabo de ver en el Twitter de Ana Pastor que han detenido a la cúpula de Anonymous, y que la policía dará una rueda de prensa a las 12h.”. ¡Qué interesante! ¿Qué cúpula? Anonymous se caracteriza por no tener “cúpulas”.

Llegadas las 12h., puntualmente empieza la retransmisión de la rueda de prensa [1] en el canal 24 horas, a la vez que hierve la información y la opinión Twitter. La rueda de prensa empieza fuerte, magnificando la hazaña, afirmando haber detenido a los tres máximos dirigentes de Anonymous en España, para posteriormente ir cediendo y reconociendo que han detenido a los tres administradores de un chat a través del cual se coordinaban los Anonymous para los ataques. Anuncian también que Anonymous es una peligrosa organización, considerada por la OTAN una amenaza [2] equivalente a la de Al-Qaeda, los Talibán, o Corea del Norte, y que su organización es a través de células independientes con una idea común. ¡Qué fuerte!

Detuvieron a estas tres personas justo antes de empezar un ataque contra los partidos políticos días antes de las elecciones municipales de mayo de 2011, apoyándose en la inteligencia recabada desde los ataques a la página Web de la SGAE y el Ministerio de Educación en octubre de 2010 como protesta contra la disposición final primera de la Ley de Economía Sostenible, llamada “Ley Sinde” para los amigos.

Los detenidos, que se encuentran en libertad, se enfrentan a cargos por la interrupción de servicio originada en los servidores, que es un delito penal, según la reforma que entró en vigor el 24 de diciembre de 2010. Podrían ser condenados con penas de 1 a 3 años de prisión, pena por la que seguramente no ingresen en prisión.

Según la policía, Anonymous está compuesta por expertos en informática y por gente normal, y juntos provocaban ataques de denegación de servicio DDOS. Y aquí llega la parte que más me gusta. Repasemos las técnicas que la Policia ha declarado que usaban los Anonymous:
- Usaban encriptación, que es un tema que hemos revisado juntos ampliamente en El Reservado [3,4,5, entre otros].
- Usaban redes WiFI cercanas a sus casas, tema que ya hemos comentado ampliamente y desmitificado en una interesante serie de cuatro artículos [6,7,8,9]. ¡Incluso dos de los tres no tenían Internet en sus domicilios!
- Provocaban denegaciones de servicio y usaban VPN para dificultar la detección: estos conceptos no los hemos tocado aún, pero ¿qué tienes que hacer hoy? Sólo tienes que seguir leyendo.

Denegación de servicio (en inglés Denial Of Service, DOS), es un tipo de ataque que se practica contra sistemas informáticos o infraestructuras de comunicación con la finalidad de impedir el acceso de los legítimos usuarios al servicio que esperan recibir. Traslademos esta explicación a un plano menos técnico: en lugar de un servidor, hablemos de un ascensor.

El ascensor nos presta diariamente el servicio de subirnos desde la planta baja al primer piso donde vivimos (shh ¡que no se entere el médico que usas el ascensor para subir al primero!). Una denegación de servicio del ascensor podría ser que el ascensor lo tiene abierto un vecino en su piso, y no deja cerrarse la puerta. Hay un atacante que te deniega el servicio: tu vecino.

Los ataques pueden tener diversas naturalezas, y uno de ellos es provocar una alta carga en los servidores para que se vuelvan lentos o no puedan atender a más clientes. Volvamos al ascensor. Tiene una placa que pone 4 personas, 300 Kg. Si un señor de 300 Kg montara en el ascensor y pulsara el botón del cuarto piso, el ascensor seguramente denegara el servicio durante el tránsito por estar sobrecargado.

¿Y qué es un DDOS? Pues es un ataque de denegación de servicio DISTRIBUIDO, es decir, que ocurre porque hay varios atacantes coordinados que sobrecargan el servidor. En nuestro ejemplo del ascensor el símil es directo: 4 personas, 300 kilos. Si montamos 6 personas de 80 kilos, se ascensor se “satura” y no funciona correctamente hasta que nos quedemos sólo 3 personas (240 Kg). Si montamos 20 personas de 80 kilos, seguramente se descuelgue el ascensor y tengamos un serio problema :-)

Pues con los servidores ocurre lo mismo: se saturan. En ocasiones esto mismo sucede cuando una página Web tiene un éxito no esperado y los servidores no se han dimensionado para ello. Este fenómeno se conoce en internet como el “efecto Slashdot”, pues cuando una página web era enlazada en Slashdot.com, le llegaban tantos usuarios que saturaban los servidores.

Anonymous votaba quién sería su siguiente objetivo a través de un chat de IRC [10] (es un tipo de chat), y usaban ordenadores de voluntarios coordinados, para ejecutar ataques DDOS, mediante un programa llamado LOIC [11], que instalaban los voluntarios, quedando sus ordenadores a merced de las órdenes que se emitieran por el chat de IRC.

¿Por qué la policía habla de cúpula al referirse a los administradores del chat? Porque las redes de ordenadores voluntarios (zombies en el argot informático) se coordinaban por las órdenes que recibían a través de ese chat.

La unión hace la fuerza, y eso es lo que convierte a los ataques DDOS en letales para quien los recibe. Además, como su origen es disperso, no puede bloquearse sin quitar el acceso a los usuarios legítimos, surtiendo el mismo efecto que si no se bloquea: denegar el servicio.

Respecto de las VPN y otras técnicas de ocultar el origen en Internet, es tema suficiente para dedicar un monográfico entero. No obstante, y para reflexionar, tened en cuenta que a pesar de las técnicas de ocultación e incluso de no tener ni siquiera conexión a internet en sus domicilios, han encontrado a las personas que administraban los ataques. ¿Crees que existe el anonimato en Internet? Bienvenido a 1984.
Referencias Web:
[1] http://www.rtve.es/noticias/20110610/anonymous-va-seguir-pero-hemos-desmantelado-principal-servidor-espana/438788.shtml
[2] http://arstechnica.com/security/news/2011/06/even-with-nuclear-weapons-nato-fears-anonymous.ars
[3] http://www.elreservado.es/news/view/220-noticias-espias/746-la-criptografia-de-julio-cesar-y-el-kamasutra
[4] http://www.elreservado.es/news/view/220-noticias-espias/678-la-trasposicion-como-evitar-que-el-enemigo-lea-nuestros-mensajes
[5] http://www.elreservado.es/news/view/220-noticias-espias/524-el-peligro-de-las-personas-con-acceso-fisico-a-nuestro-ordenador
[6] http://www.elreservado.es/news/view/220-noticias-espias/340-el-lado-oscuro-de-las-redes-wi-fi
[7] http://www.elreservado.es/news/view/220-noticias-espias/357-las-debilidades-de-las-redes-wi-fi
[8] http://www.elreservado.es/news/view/220-noticias-espias/440-las-mentiras-sobre-las-redes-wi-fi
[9] http://www.elreservado.es/news/view/220-noticias-espias/465-mitos-y-consejos-para-fortalecer-tu-wi-fi
[10] Fotografía del IRC capturada por la Policía: http://t.co/gqe9qrC
[11] LOIC: http://es.wikipedia.org/wiki/Low_Orbit_Ion_Cannon
[12] http://news.softpedia.com/news/Anonymous-DDoS-Tool-Gets-Botnet-Capabilities-158163.shtml

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.