La gota DDoS no colmó el VAC*

Durante un poco más de una semana, OVH ha sido centro de atención en el sector tecnológico. Por una parte, cientos de miles de cámaras IP comprometidas, utilizadas para generar el ataque DDoS más importante hasta el momento, registrado el pasado 23 de septiembre, y que OVH ha podido resistir. Por otra parte, las cámaras y micrófonos de periodistas del mundo entero, ávidos de información sobre este ataque fuera de lo común, tanto por su intensidad (picos de hasta 1.0 Tbps) como por su modus operandi (más de 145 mil objetos conectados pirateados enviando solicitudes simultáneamente). Desbordado entre la preocupación de ofrecer transparencia a los clientes y el riesgo que implica el anuncio de un ataque de tal calibre, OVH ha emitido pocos comentarios al respecto hasta el momento. Las imprecisiones de algunos artículos publicados aquí y allá, nos obligan a tomar la palabra para determinar cuánto hay de verdadero en las noticias… ¡y aliviar a todo el mundo! *VAC: Combinación de tecnologías implementadas por OVH para mitigar los ataques DDoS

¿Es cierta la hipótesis de algunos artículos de que el objetivo de los ataques DDoS era el de “piratear” o “secuestrar” datos?

¡No! Existen tres tipos de ataques informáticos: los que intentan indisponer un servicio, los que persiguen el robo y/o la desaparición de archivos, y los que tienen como fin alterar los datos. Los ataques DDoS de finales de septiembre pertenecen al primer tipo: tienen como objetivo colapsar la disponibilidad del servicio. En realidad no ha sido OVH a quien se ha atacado, sino a un grupo de clientes cuyos datos se encuentran alojados en OVH, y cuyos sitios web se intentaba deshabilitar. El mecanismo de un ataque distribuido de denegación de servicio o DDoS (del inglés Distributed Denial of Service attack) es fácil de comprender. Se trata de sobrecargar el ancho de banda de un servidor (la “tubería” que conduce a la máquina) o de acaparar sus recursos hasta el agotamiento, a través del envío de un conjunto de conexiones simultáneas desde distintos puntos de la red (de ahí que sea distribuido). Por tanto, este tipo de ataque no tiene nada que ver con la infiltración o la destrucción de datos.

OVH recibe ataques de “máquinas zombies”, aterrador, ¿verdad?

Absolutamente, como en las ilustraciones empleadas para evocar este tema: una mano enguantada en cuero negro sobre el teclado, un gánster encapuchado acechando cerca de un rack de servidores...
Minimicemos un poco el drama: para lanzar un ataque DDoS, es necesario disponer de varias máquinas conectadas a internet. Para constituir dicha red de máquinas previamente coordinadas para ejecutar un ataque –la cual llamamos Botnet-, los hackers se apoyan en las fallas de seguridad de los equipos, y toman el control de los mismos con total discreción, con el objetivo de utilizarlos dado el caso.
Hasta entonces, tales “zombies” eran en su mayoría máquinas de gente ordinaria infectadas por correos spam o programas descargados desde sitios ilegales o de pornografía. De forma colateral, los servidores fueron puestos en marcha en Botnets, lo cual requería algo de ingenio según el caso, ya fuera simplemente aprovechar la negligencia de un administrador que no hubiera protegido su máquina correctamente, o explotar una falla de seguridad detectada en el sistema operativo o en alguna de las aplicaciones instaladas. Con la llegada del IoT, los smartphones, sus cámaras, los termostatos domésticos, los equipos de televisión, e incluso los automóviles… toda una gama de dispositivos se conectó a la red, sin que los fabricantes de dichos dispositivos se preocuparan por la gran vulnerabilidad de los mismos.
Esto causa una serie de problemas, comenzando por el respeto a la privacidad de los usuarios de dichos dispositivos. Ya en el año 2014, el sitio insecam.org fue lanzado por un hacker ruso con el objetivo de sensibilizar al público y a los fabricantes con respecto a la pobre seguridad de las cámaras IP. El acceso al flujo de las cámaras IP poco o no aseguradas, es posible de manera sencilla (e ilegal) en todo el mundo… Esta iniciativa, aunque respaldada por los medios de difusión masiva, no ha provocado el efecto previsto. Un año atrás, cuando los expertos en seguridad comenzaron a alertar sobre la amenaza de ataques informáticos llevados a cabo a través de objetos conectados comprometidos, muchos se divirtieron con la profecía de equipos de refrigeración o termostatos originando un ataque DDoS. En efecto, ¡la amenaza se ha concretado antes de lo previsto!
Por consiguiente: los objetos conectados están disponibles en todo momento (contrariamente a la PC), y son más fáciles de piratear -y en mayor número- que los servidores. Estos últimos son monitoreados, lo cual facilita la rápida detección de programas maliciosos. Por su parte, una cámara comprometida se convierte en esclava de la Botnet, y constituye también un agente contaminador en sí, ya que escanea la red en busca de nuevos dispositivos desprotegidos con el fin de propagar la infección… y de este modo se puede crear, en solo unos meses, toda una red de objetos conectados pirateados de gran envergadura, tal como la que ha atacado a OVH. Varios de los programas malignos que han causado estas infecciones han sido identificados en el transcurso de ataques recientes: Mirai (cuyo código fuente acaba de ser publicado, y cuyo autor afirma haber afectado 380 mil dispositivos) y también Bashlite (cuyo código fuente fue infiltrado a finales de 2015, y dio lugar a la aparición de variantes de su código inicial).

Por último, y no menos importante: los objetos utilizados para estos ataques, conectados a la red a través de redes domésticas, conectadas a su vez mediante instalaciones totalmente automatizadas. No obstante, algunas de estas instalaciones atribuyen dinámicamente las direcciones IP temporales a sus usuarios. Dicho de otra manera, si identificamos la IP de la cámara causante de un ataque DDoS, es posible que, unos días después, se descubra que dicha IP pertenezca a un usuario legítimo de la red...

¿Son las cámaras los únicos objetos conectados que lanzan los ataques? ¿Cuántas son? ¿A qué redes están conectadas?

Hemos hablado mucho de las cámaras, pues son tantas debido a la reducción de los precios. Sin embargo, hemos detectado además otros dispositivos infectados, tales como equipos DVR, NAS, enrutadores (xDSL) y Raspberry pi; todos conectados y con una característica en común: la presencia de fallas de seguridad que daban lugar a defectos en la concepción de su programa; la negligencia de un fabricante, que proporcionaba la misma contraseña por defecto a todos sus productos; o de quien los instalaba, que no se tomaba el trabajo de modificarlas durante su despliegue. También suponemos la existencia de puertas traseras, contenidas en algún programa comercializado en marca blanca a varios fabricantes. En este sentido, no podemos excluir la posibilidad de un ataque intencional. Estos equipos tienen definitivamente como punto en común la disponibilidad de potencia de cálculo, así como una gran capacidad de ancho de banda para enviar el flujo de solicitudes. De esta manera, uno de los ataques registrados por OVH provenía de dispositivos mal protegidos distribuidos a los usuarios por medio de instalaciones automatizadas españolas.
En resumen, si las cámaras zombies le han asustado (ciertamente porque no cierran un ojo en toda la noche, contrariamente a usted), prepárese para más escalofríos. Si nuestra investigación interna (aún en curso) ha identificado cerca de 145 mil objetos conectados infectados como causantes de los últimos ataques, se calcula un total de más de un millón; y esto es solo el comienzo, sin contar con el aumento constante de la capacidad de red, con la democratización del VDSL, el SDSL y la fibra óptica. De igual manera, hemos constatado recientemente que 60 cámaras conectadas provocaron un ataque en Finlandia (donde la conexión es muy buena), similar a otro ataque causado en Taiwán, donde se movilizaron no menos de mil cámaras.

“OVH ahogado por un ataque DDoS sin precedente”. ¿Quién sufrió en realidad?

Un ataque DDoS no dura mucho tiempo, raramente toma más de dos minutos. Sin embargo, con frecuencia se repite cada 10 a 15 minutos durante varias horas, días e incluso semanas. Como explicamos anteriormente, el objetivo de estos ataques consiste en indisponer un grupo de sitios web, pero los medios empleados en el ataque pueden provocar como efecto colateral la saturación de la red, en aquellos casos en que una parte o la totalidad de la infraestructura del proveedor de alojamiento ya no sea accesible para los internautas. Concretamente, esto puede ocasionar la interrupción del servicio: los paquetes enviados esperan en cola para ser transferidos, y como el ancho de banda se hace cada vez más pequeño, los paquetes expiran al no poder ser transferidos, y se pierden. Nuestra situación no llegó a la crítica pérdida de paquetes, por lo que podemos decir que logramos resistir los ataques.
No obstante, quisiéramos referirnos en específico al impacto que sufrieron algunos de nuestros clientes. Durante los ataques, los internautas procedentes de los países de Europa del Sur, experimentaron retrasos al tratar de acceder los servidores alojados en OVH, debido a que los ataques DDoS eran masivos en esa región. Hubo también congestión en la interconexión con una de las instalaciones automatizadas en España. Inmediatamente aceleramos las operaciones en nuestro punto de presencia de Madrid, y muy pronto la capacidad de tráfico en este PoP se multiplicará por diez.

Por otra parte, el VAC (una combinación de tecnologías implementadas por OVH para mitigar los ataques DDoS) protege a todos los clientes de OVH por defecto, y se activa solamente cuando se detecta un ataque, filtrando el tráfico ilegítimo para mantener la disponibilidad del servidor atacado. Algunos de nuestros clientes con necesidades específicas de protección, disfrutan de una opción que permite la activación permanente del VAC. En estos casos, el tráfico se filtra en su totalidad de manera continua, incluso cuando no hay riesgo de ataques DDoS. Durante la semana del 19 septiembre, desactivamos esta opción con la finalidad de liberar ancho de banda en el VAC y de ese modo recibir los ataques sin saturar los equipos de protección. Próximamente reactivaremos la opción de mitigación permanente para los clientes en cuestión. Antes de finalizar 2016, la primera generación de protección anti-DDoS que lanzamos en 2013, será reemplazada por una nueva tecnología desarrollada internamente sobre la base de FGPA (circuitos integrados programables) y de códigos elaborados desde hace 18 meses. Todo esto nos facilitará el lanzamiento de un VAC capaz de soportar picos de carga de hasta 5 Tbps sin ralentizar la capacidad de nuestra red.

Definitivamente, la potencia de los últimos ataques parece monstruosa a primera vista, pero es necesario comprender que pocos proveedores de alojamiento tienen la posibilidad de soportar tales picos de carga, por el simple hecho de que el backbone se saturaría incluso antes de darse cuenta. Nosotros contamos con la interconexión directa con casi todos los proveedores de servicios tecnológicos de Europa y los EE.UU., y con un ancho de banda de más de 7 Tbps de conexión a internet, lo cual explica nuestra capacidad para contrarrestar un ataque de 1Tbps, que rompió el récord de 600 Gbps que existía, sin saturar nuestras conexiones (salvo la de la instalación automatizada de España).

¿Qué ocurre en OVH? La prensa habla de equipos “movilizados 24x7”, con un nivel de vigilancia máximo. ¿Se ha activado el plan “Vigi-Pirate”?

Todo el mundo está en efecto en pie de guerra, hasta aquellos que no trabajan en los departamentos asociados directamente al desarrollo tecnológico. Aunque esta movilización 24x7 se debe más bien a que estamos a unos pasos de la cuarta edición del OVH Summit, que tendrá lugar el próximo 11 de octubre. Incluso si la intensidad de los últimos ataques ha sido sorprendente para todos, podemos decir que estábamos preparados… y estamos convencidos de que habrá otros ataques. Si un período de calma puede suceder a la rendición del autor del programa malicioso Mirai, que asegura haber trancado la puerta trasera que había utilizado para infectar las cámaras, podemos apostar que aparecerán otras versiones, aún más ingeniosas. La situación actual no tiene nada de excepcional, excepto por la notoriedad mediática que envuelve estos ataques.

OVH continúa innovando, manteniendo y mejorando los productos y servicios que ofrece a sus clientes… y mitigando los ataques maliciosos, que no son más que un fenómeno inherente a nuestra actividad de proveedor de. A diario, alrededor de 1200 clientes de OVH son protegidos por nuestro sistema anti-DDoS (VAC) sin siquiera percibirlo. Una vez pasado el ataque, es OVH quien les notifica al respecto. Contamos con un equipo dedicado en especial a este proyecto, encabezado por ingenieros de I+D; y consagramos una parte significativa de nuestros recursos en consecuencia. En resumen: ¡un ataque DDoS no es cosa grave! Todos tenemos, potencialmente, un competidor que estará tentado en algún momento de hacer algo para vernos caer. Es por ello que en OVH la protección anti-DDoS no es una opción, sino una solución que brindamos por defecto en todos nuestros servicios.

¿Quiénes son los malos de esta historia? ¿Y qué persiguen?

No faltó quien alegara que OVH había hecho de sí mismo un blanco de estos ataques, dado el crecimiento a grandes pasos y las ambiciones del grupo, pero la realidad es un poco más complicada.

Retomemos el comienzo: las Botnets son originadas por personas malintencionadas, que codifican programas maliciosos para infectar objetos conectados mediante la explotación de posibles fallas en la seguridad, y el control de objetos zombies desde el panel de administración de los mismos (C2), lo cual los convierte en esclavos de estos objetos zombies. Estas botnets, son puestas a disposición del mejor postor, a precios proporcionales a la potencia y a la intensidad del daño que sean capaces de generar, y como los fondos que generan, son numerosas y nunca dejan de funcionar.

Decir que OVH es un blanco privilegiado sería adelantarse demasiado a los acontecimientos. La verdad es que, dado el número de servidores y aplicaciones alojadas por OVH, es natural que algunos de ellos constituyan el objetivo de ataques de todo tipo. Este es un punto que tenemos en cuenta desde hace algún tiempo, pues estamos conscientes de que los ataques DDoS no son dirigidos necesariamente a clientes que prosperan en especialidades donde impera la competencia, tales como el videojuego, por ejemplo. La contrapartida de este volumen considerable de clientes está dada porque poseemos los medios para defendernos.

En fin, no se puede negar la evidencia, en la web existen proyectos respetables, entre los cuales se puede justificar la tentación de recurrir al lanzamiento de ataques DDoS en el marco de una competencia que, ante sus ojos, pudiera parecer justa. Nosotros pensamos que esto es un error, y continuaremos a invertir el tiempo y los recursos necesarios en el desarrollo de soluciones de protección cada vez más eficaces para que los ataques DDoS no se conviertan jamás en un medio de censura (un riesgo muy bien explicado por el norteamericano experto en seguridad informática Brian Krebs).

¿Por qué publicar los últimos ataques en Twitter?

Octave Klaba, director técnico de OVH, ha decidido anunciar en Twitter el ataque del 19 de septiembre, obviamente con el fin de atraer la atención de los profesionales especializados en seguridad de red, así como de las autoridades competentes en materia de la Botnet (la red de objetos conectados controlados por los hackers), hacia las causas del ataque DDoS, así como la intensidad de los picos de carga que OVH tuvo que contrarrestar.

OVH, como el resto de los actores importantes de la red, tiene la capacidad de resistir ataques de gran envergadura –que, como todos, recibe cotidianamente sin necesidad de hacerlos públicos. Pero este no es el caso de los operadores de talla más modesta o de empresas cuyo desarrollo tecnológico aún es interno, naturalmente debido a los costos de implementación de un sistema de protección, y a la capacidad de red que se necesita de forma permanente para enfrentar estos ataques.

¡Contrarrestar los ataques DDoS dirigidos a nuestros clientes es nuestro deber! Pero desactivar las Botnets cada vez más grandes no es nuestra tarea. Nosotros ni tenemos el derecho, ni probablemente los medios (salvo los requeridos para la neutralización de C2 alojados en OVH), lo cual implica la cooperación de muchos. ¿Qué podríamos hacer, por ejemplo, si los fabricantes de los equipos conectados no corrigen los defectos o las fallas en sus programas, o los revendedores no informan a sus compradores sobre las posibles infecciones del hardware?

¿Por qué no anunciar los ataques desde el inicio?

Un anuncio de ataque DDoS es algo muy delicado, y puede tener un efecto contraproducente. Además, resulta difícil explicar el desarrollo de dichos ataques, así como los procedimientos llevados a cabo para contrarrestarlos, sin dar información comprometedora que pudieran explotar los atacantes para inspirar a otros o simplemente destruir las evidencias de sus fechorías antes de que estas llegaran a manos de las autoridades competentes. Divulgar el hecho de haber resistido un ataque, con frecuencia conduce a motivar a los atacantes a redoblar esfuerzos y perfeccionar estrategias, y a inquietar a los usuarios, que en su mayoría creen que el verdadero objetivo de estos ataques es su proveedor de servicios. Por estas razones, OVH ha decidido adoptar una posición transparente pero discreta al respecto.

Artículo anterior

OVH: Novedades de octubre
Mi cuenta de clienteContact SalesWebmail OVHcloud Blog

¡Bienvenido/a a OVHcloud!

Identifíquese para contratar una solución, gestionar sus productos y servicios, y consultar sus pedidos

Conectar