Nueva investigación en Internet muestra 30,000 ataques de suplantación de identidad por día.
La idea de que una red 'segura' puede ser engañada para participar en
un ataque que apaga otra red, sin que los administradores de la red lo sepan,
no es solo la materia de las pesadillas, un grupo de investigadores de Internet
de élite con sede en San Diego descubrió.
Lo saben porque están perfeccionando una herramienta llamada Spoofer
que les permite medir qué tan fácil es engañar a las redes para que participen
en esos ataques, y qué tan vulnerable es la red para resistir tal bombardeo.
Lo que los investigadores del Centro de Análisis de Datos de Internet
Aplicados (CAIDA) han encontrado hasta ahora es que muchas redes, tanto las que
controlan su conexión directa a Internet como los dominios que pagan a los ISP
más grandes para proporcionar esa conexión, están bajo ataque constante.
Un estudio de CAIDA concluyó que había casi 30,000 ataques de suplantación
de identidad cada día, y un total de 21 millones de ataques en aproximadamente
6.3 millones de direcciones de protocolo de Internet únicas.
¿Cómo funciona la suplantación de identidad?
La falsificación se aprovecha de una forma subyacente en la que
funciona Internet, donde la información se envía entre los usuarios en paquetes
de datos que contienen tanto el remitente como las direcciones de Internet de
destino. En un mundo bueno, esos paquetes de datos de identidad son el comienzo
de una serie de comunicaciones entre redes. Los ataques de suplantación de
identidad se basan en estas comunicaciones simples. Sin embargo, en la
suplantación de identidad, la dirección del remitente está disfrazada y ha sido
reemplazada por la dirección de Internet a la que apunta el ataque.
La dirección que ve la red de destino no es la verdadera dirección IP
del remitente. La dirección de "devolución" se ha falsificado (ha
cambiado de identidad), por lo que cuando la red de destino envía una respuesta
al remitente, va a la dirección que proporcionó el remitente, el verdadero
objetivo del remitente.
Si el remitente puede falsificar suficientes direcciones de destino
para activar muchos, muchos paquetes mal orientados a un destino, ese destino
se inundará con paquetes que no solicitó. Si llegan suficientes paquetes
simultáneamente desde suficientes direcciones falsificadas, el ataque puede
abrumar a su víctima. El ataque se denomina ataque de denegación de servicio,
en el que se acumulan tantos datos que la red del objetivo no puede funcionar,
y ya no da servicio a Internet.
Eso es lo que le sucedió a Dyn Inc. hace dos años, cuando una
avalancha de datos desencadenados por direcciones web disfrazadas colapsó 85
sitios web líderes, incluyendo eBay, Netflix, PayPal y Sony PlayStation.
Durante el ataque de Dyn Inc., sus servidores fueron golpeados con hasta 1.2
terabits (1.2 trillones de dígitos) de datos por segundo.
Hoy en día, las empresas temen ser inundadas por las inundaciones de
paquetes provocados por direcciones falsificadas, y por una buena razón. Según
la configuración de las direcciones IP y los protocolos que utilizan, muchas
direcciones IP o dispositivos IoT pueden formar parte de un banco de atacantes.
Más específicamente, las direcciones IP que utilizan la menor cantidad de
filtrado para las señales salientes de su red pueden manipularse para atacar a
la víctima objetivo de otra persona el 24 por ciento de las veces, informó
CAIDA.
Aunque los ataques de suplantación de identidad suelen comenzar en el
sitio de un cliente, si la inundación de información electrónica a la red única
es lo suficientemente grande, también pueden acabar con los proveedores de
servicios de red más grandes, como Dyn, y con ellos, otros sitios de clientes.
La falsificación es un problema global, aunque las organizaciones
estadounidenses son objetivos clave. Las direcciones de protocolo de Internet
controladas por los EE. UU. Son responsables del 25 al 29 por ciento de los ataques
de suplantación de identidad conocidos. La siguiente nación objetivo más alta
es China, donde aproximadamente el 10 por ciento de los sitios están bajo
ataque, seguida por Rusia, Francia, el Reino Unido y Alemania.
"Muchos gobiernos están cada vez más interesados en limpiar su
ley", dijo Josh Polterock, gerente de proyectos científicos de CAIDA.
"Han empezado a decir que si vas a operar un sistema autónomo, debes
implementar la validación de la dirección de origen".
Aún así, en algunas noticias positivas, las compañías que confían en
las mejores prácticas para detener los paquetes salientes con direcciones IP
falsas han eliminado esa vulnerabilidad, según los datos de Spoofer.
Simple y peligroso
Sorprendentemente, este modo de ataque de mano dura sigue siendo
prominente en la lista de amenazas. No es particularmente inteligente, es poco
más que una llamada y respuesta donde la respuesta está mal dirigida y
magnificada, sin embargo, aprovecha una vulnerabilidad que algunas redes tienen
pocos incentivos para solucionar: asegurarse de que los paquetes salientes
tengan una dirección IP válida .
"La forma de detener esto es la validación de la dirección de
origen, asegurándose de que el paquete del remitente se dirija con precisión",
explicó Polterock. Pero validar direcciones para paquetes salientes es
engorroso y hacerlo no beneficia directamente a la red, aunque sí beneficia al
resto de Internet.
En este momento, no hay datos públicos sobre cuántas redes, y cuáles,
están filtrando actualmente los paquetes que están enviando. Esa es la misión
de Spoofer.
Spoofer se propone probar el enrutamiento de la red de su host,
buscando qué sucede con los paquetes salientes. La dirección de origen falsa es
una de las selecciones y monitores de CAIDA, por lo que los paquetes que evitan
con éxito el filtrado vuelven del destino a la fuente supervisada por CAIDA. Si
los paquetes están bloqueados, CAIDA también se entera de eso.
"Sabe cómo enviar paquetes falsificados de muchas maneras, muchos
enfoques diferentes para intentar meter paquetes a través de la red",
explicó Polterock. "Si una red está configurada siguiendo las mejores
prácticas actuales, no permite que salgan paquetes falsificados".
Las versiones anteriores del software, primero diseñadas y dirigidas
por el estudiante graduado del Instituto de Tecnología de Massachusetts, Robert
Beverly en la década de 2000, solo probaron cómo se manejaban los paquetes
salientes. Más tarde, los investigadores de CAIDA agregaron pruebas de paquetes
entrantes para proporcionar información que ayude a las redes a mejorar su
filtrado entrante, y puede aumentar el incentivo para investigar parodias.
“Una cosa en la que están interesadas las redes es si puede volver a
falsear la red, y eso es algo que hemos agregado al software para que pueda
mostrar no solo si son buenos ciudadanos para el resto de las redes, sino que
también puede dar "Un poco de información sobre qué tan bien su red está
filtrando los paquetes falsificados entrantes", dijo Polterock.
El software Spoofer está disponible para los sistemas Microsoft, Apple
y Linux, y la subvención del Departamento de Seguridad Nacional se acaba de
renovar. La financiación está destinada a actualizar el software, mejorar los
informes y llevar el proyecto a más organizaciones.
Los investigadores del CAIDA creen que muchos de los sistemas
autónomos más grandes, particularmente los de los Estados Unidos, están
trabajando para validar las direcciones de origen de los paquetes salientes.
Aún así, no es una pequeña cosa para hacer las redes. "También les
preocupa que puedan filtrar el tráfico legítimo de los clientes", explicó
Polterock.
Aquí para el largo recorrido
A pesar de la cruda naturaleza de los ataques que involucran engañar a
una mafia electrónica para que ataque, los ataques de denegación de servicio no
desaparecen. "De alguna manera, los ataques de denegación de servicio se
están volviendo menos sofisticados", dijo Polterock. "Ni siquiera se
molestan en falsificar redes de computadoras cuando pueden usar la fuerza bruta
de millones de dispositivos de Internet de las cosas (IoT)".
Paul Barford, un destacado profesor de estudios de Internet en la
Universidad de Wisconsin, dijo que los ataques son relativamente simples de
montar y que incluso las personas que carecen de habilidades de programación
pueden encontrar a alguien que contrate para lanzar tal ataque en la web
oscura.
"Algunos ataques son ataques de showoff, pero también pueden ser
ataques de rescate", dijo Barford. "No es solo perder Hulu por unas
horas, puede estar perdiendo el control de la red eléctrica o los registros
financieros de un gran banco".
Barford dijo que él cree que la falsificación estará con nosotros
hasta que muramos. Además, las defensas contra los paquetes maliciosos
entrantes son a menudo onerosas e ineficaces. "Estos ataques están
habilitados por las limitaciones y omisiones de los ISP", dijo. "Confían
en la vulnerabilidad en el sistema host que no afecta al host cuando son
explotados".
Como bloquear una ráfaga de paquetes enviados a la víctima es muy
difícil, lograr que el host se involucre en evitar que salgan los paquetes
dañinos, reiteró, es la única protección efectiva.
Barford habló sobre el peso de sus estudios de toda la vida, como
alguien que ha desarrollado una carrera como profesor universitario y ha
fundado negocios que trazan un mapa de Internet . Para lograr un impacto
duradero, explicó, "tendrías que cambiar todo el internet".
Fuente: Dell EMC Technologies
Autor: Marty Graham, colaborador