jueves, 21 de febrero de 2019

¡Alerta! 30,000 ataques de suplantación de identidad por día.

Nueva investigación en Internet muestra 30,000 ataques de suplantación de identidad por día.


La idea de que una red 'segura' puede ser engañada para participar en un ataque que apaga otra red, sin que los administradores de la red lo sepan, no es solo la materia de las pesadillas, un grupo de investigadores de Internet de élite con sede en San Diego descubrió.
Lo saben porque están perfeccionando una herramienta llamada Spoofer que les permite medir qué tan fácil es engañar a las redes para que participen en esos ataques, y qué tan vulnerable es la red para resistir tal bombardeo.

Lo que los investigadores del Centro de Análisis de Datos de Internet Aplicados (CAIDA) han encontrado hasta ahora es que muchas redes, tanto las que controlan su conexión directa a Internet como los dominios que pagan a los ISP más grandes para proporcionar esa conexión, están bajo ataque constante.

Un estudio de CAIDA concluyó que había casi 30,000 ataques de suplantación de identidad cada día, y un total de 21 millones de ataques en aproximadamente 6.3 millones de direcciones de protocolo de Internet únicas. 

¿Cómo funciona la suplantación de identidad?

La falsificación se aprovecha de una forma subyacente en la que funciona Internet, donde la información se envía entre los usuarios en paquetes de datos que contienen tanto el remitente como las direcciones de Internet de destino. En un mundo bueno, esos paquetes de datos de identidad son el comienzo de una serie de comunicaciones entre redes. Los ataques de suplantación de identidad se basan en estas comunicaciones simples. Sin embargo, en la suplantación de identidad, la dirección del remitente está disfrazada y ha sido reemplazada por la dirección de Internet a la que apunta el ataque.

La dirección que ve la red de destino no es la verdadera dirección IP del remitente. La dirección de "devolución" se ha falsificado (ha cambiado de identidad), por lo que cuando la red de destino envía una respuesta al remitente, va a la dirección que proporcionó el remitente, el verdadero objetivo del remitente.

Si el remitente puede falsificar suficientes direcciones de destino para activar muchos, muchos paquetes mal orientados a un destino, ese destino se inundará con paquetes que no solicitó. Si llegan suficientes paquetes simultáneamente desde suficientes direcciones falsificadas, el ataque puede abrumar a su víctima. El ataque se denomina ataque de denegación de servicio, en el que se acumulan tantos datos que la red del objetivo no puede funcionar, y ya no da servicio a Internet.

Eso es lo que le sucedió a Dyn Inc. hace dos años, cuando una avalancha de datos desencadenados por direcciones web disfrazadas colapsó 85 sitios web líderes, incluyendo eBay, Netflix, PayPal y Sony PlayStation. Durante el ataque de Dyn Inc., sus servidores fueron golpeados con hasta 1.2 terabits (1.2 trillones de dígitos) de datos por segundo.

Hoy en día, las empresas temen ser inundadas por las inundaciones de paquetes provocados por direcciones falsificadas, y por una buena razón. Según la configuración de las direcciones IP y los protocolos que utilizan, muchas direcciones IP o dispositivos IoT pueden formar parte de un banco de atacantes. Más específicamente, las direcciones IP que utilizan la menor cantidad de filtrado para las señales salientes de su red pueden manipularse para atacar a la víctima objetivo de otra persona el 24 por ciento de las veces, informó CAIDA.

Aunque los ataques de suplantación de identidad suelen comenzar en el sitio de un cliente, si la inundación de información electrónica a la red única es lo suficientemente grande, también pueden acabar con los proveedores de servicios de red más grandes, como Dyn, y con ellos, otros sitios de clientes.

La falsificación es un problema global, aunque las organizaciones estadounidenses son objetivos clave. Las direcciones de protocolo de Internet controladas por los EE. UU. Son responsables del 25 al 29 por ciento de los ataques de suplantación de identidad conocidos. La siguiente nación objetivo más alta es China, donde aproximadamente el 10 por ciento de los sitios están bajo ataque, seguida por Rusia, Francia, el Reino Unido y Alemania.

"Muchos gobiernos están cada vez más interesados ​​en limpiar su ley", dijo Josh Polterock, gerente de proyectos científicos de CAIDA. "Han empezado a decir que si vas a operar un sistema autónomo, debes implementar la validación de la dirección de origen".

Aún así, en algunas noticias positivas, las compañías que confían en las mejores prácticas para detener los paquetes salientes con direcciones IP falsas han eliminado esa vulnerabilidad, según los datos de Spoofer.

Simple y peligroso 

Sorprendentemente, este modo de ataque de mano dura sigue siendo prominente en la lista de amenazas. No es particularmente inteligente, es poco más que una llamada y respuesta donde la respuesta está mal dirigida y magnificada, sin embargo, aprovecha una vulnerabilidad que algunas redes tienen pocos incentivos para solucionar: asegurarse de que los paquetes salientes tengan una dirección IP válida .

 
"La forma de detener esto es la validación de la dirección de origen, asegurándose de que el paquete del remitente se dirija con precisión", explicó Polterock. Pero validar direcciones para paquetes salientes es engorroso y hacerlo no beneficia directamente a la red, aunque sí beneficia al resto de Internet.

En este momento, no hay datos públicos sobre cuántas redes, y cuáles, están filtrando actualmente los paquetes que están enviando. Esa es la misión de Spoofer.

A partir de octubre de 2018, la herramienta de software Spoofer se ha descargado unas 66,000 veces y ahora se ejecuta en más de 6,000 redes. Lanza pruebas semanales e informa lo que encuentra a los investigadores que luego analizan la enorme cantidad de información.

Spoofer se propone probar el enrutamiento de la red de su host, buscando qué sucede con los paquetes salientes. La dirección de origen falsa es una de las selecciones y monitores de CAIDA, por lo que los paquetes que evitan con éxito el filtrado vuelven del destino a la fuente supervisada por CAIDA. Si los paquetes están bloqueados, CAIDA también se entera de eso.

"Sabe cómo enviar paquetes falsificados de muchas maneras, muchos enfoques diferentes para intentar meter paquetes a través de la red", explicó Polterock. "Si una red está configurada siguiendo las mejores prácticas actuales, no permite que salgan paquetes falsificados".

Las versiones anteriores del software, primero diseñadas y dirigidas por el estudiante graduado del Instituto de Tecnología de Massachusetts, Robert Beverly en la década de 2000, solo probaron cómo se manejaban los paquetes salientes. Más tarde, los investigadores de CAIDA agregaron pruebas de paquetes entrantes para proporcionar información que ayude a las redes a mejorar su filtrado entrante, y puede aumentar el incentivo para investigar parodias.

“Una cosa en la que están interesadas las redes es si puede volver a falsear la red, y eso es algo que hemos agregado al software para que pueda mostrar no solo si son buenos ciudadanos para el resto de las redes, sino que también puede dar "Un poco de información sobre qué tan bien su red está filtrando los paquetes falsificados entrantes", dijo Polterock.

El software Spoofer está disponible para los sistemas Microsoft, Apple y Linux, y la subvención del Departamento de Seguridad Nacional se acaba de renovar. La financiación está destinada a actualizar el software, mejorar los informes y llevar el proyecto a más organizaciones.

Los investigadores del CAIDA creen que muchos de los sistemas autónomos más grandes, particularmente los de los Estados Unidos, están trabajando para validar las direcciones de origen de los paquetes salientes. Aún así, no es una pequeña cosa para hacer las redes. "También les preocupa que puedan filtrar el tráfico legítimo de los clientes", explicó Polterock.

Aquí para el largo recorrido

A pesar de la cruda naturaleza de los ataques que involucran engañar a una mafia electrónica para que ataque, los ataques de denegación de servicio no desaparecen. "De alguna manera, los ataques de denegación de servicio se están volviendo menos sofisticados", dijo Polterock. "Ni siquiera se molestan en falsificar redes de computadoras cuando pueden usar la fuerza bruta de millones de dispositivos de Internet de las cosas (IoT)".

Paul Barford, un destacado profesor de estudios de Internet en la Universidad de Wisconsin, dijo que los ataques son relativamente simples de montar y que incluso las personas que carecen de habilidades de programación pueden encontrar a alguien que contrate para lanzar tal ataque en la web oscura.

"Algunos ataques son ataques de showoff, pero también pueden ser ataques de rescate", dijo Barford. "No es solo perder Hulu por unas horas, puede estar perdiendo el control de la red eléctrica o los registros financieros de un gran banco".

Barford dijo que él cree que la falsificación estará con nosotros hasta que muramos. Además, las defensas contra los paquetes maliciosos entrantes son a menudo onerosas e ineficaces. "Estos ataques están habilitados por las limitaciones y omisiones de los ISP", dijo. "Confían en la vulnerabilidad en el sistema host que no afecta al host cuando son explotados".

Como bloquear una ráfaga de paquetes enviados a la víctima es muy difícil, lograr que el host se involucre en evitar que salgan los paquetes dañinos, reiteró, es la única protección efectiva.

Barford habló sobre el peso de sus estudios de toda la vida, como alguien que ha desarrollado una carrera como profesor universitario y ha fundado negocios que trazan un mapa de Internet . Para lograr un impacto duradero, explicó, "tendrías que cambiar todo el internet".

Fuente: Dell EMC Technologies
Autor: Marty Graham, colaborador