Información de seguridad, semana 19, 2006

        

    
Security Information

Introducción: una breve descripción de la experiencia de Norman

Poco después de las vacaciones de Pascua, uno de los ordenadores de Norman se convirtió en el objetivo de un de Denegación de servicio distribuida (DDOS, por sus siglas en inglés) (1).

El ordenador en cuestión era el  Norman Sandbox Information Center , el servidor web que alberga las estadísticas del malware (programas malintencionados) que se envía a Norman para el análisis automático Sandbox, etc.

Si la situación se considera desde el punto de vista del agresor, el ataque fue un éxito ya que el Norman Sandbox Information Center tuvo que desactivarse durante algún tiempo debido a la sobrecarga provocada por el ataque.

El Norman Sandbox Information Center fue atacado por un gran número de ordenadores que utilizaron un ataque denominado SYN (2). Las investigaciones demostraron que estos ordenadores formaban parte de una BOTNET (3).

Norman se puso en contacto con su proveedor de servicios de Internet  (Ventelo Comnet) - enlace con su sitio web), que interrumpió el acceso al Sandbox Center en todo el perímetro. Norman también se puso en comunicación con las autoridades nacionales de seguridad noruegas (Nasjonal sikkerhetsmyndighet - hay que incluir el enlace con el sitio web) y también habló de forma informal con expertos en seguridad de todo el mundo. La reacción de todos ellos fue muy positiva y ofrecieron su colaboración con entusiasmo. Así pues, se obtuvo información muy valiosa procedente de distintas fuentes.

La red botnet agresora se desmanteló poco tiempo después.

Norman denunció el incidente a la policía noruega como delito y en la actualidad se está llevando a cabo una investigación. El resultado de esta investigación, que casi seguro implicará a otros países aparte de Noruega, todavía no se conocía al redactar este boletín de Información de seguridad.

Cómo actuar en una situación así

Cuando una empresa se convierte en el objetivo de un ataque que le impide prestar de manera satisfactoria sus servicios habituales, surgen algunos temas:

  1. La necesidad percibida de dar la menor publicidad posible al incidente para evitar los comentarios negativos de los clientes y de los medios de comunicación acerca de la falta de seguridad.
    Esta situación se puede mantener durante algún tiempo (al menos hasta cierto punto) ocultando el motivo por el que el ordenador u ordenadores no están disponibles, con mensajes del tipo “el sistema no está disponible porque se están realizando tareas de mantenimiento", etc.
  2. La necesidad de descubrir a los atacantes y de iniciar un procedimiento judicial contra ellos.
    Sin duda es difícil denunciar un delito si no se admite el hecho de que se ha producido tal delito.
  3. La necesidad de servir de ejemplo NO dejándose ofuscar por el incidente 
    A cualquier corporación del sector de la seguridad, aunque se incline más por seguir la línea de actuación 1 anterior, le interesaría NO quitar importancia al incidente y así servir de ejemplo para las demás empresas.

Respuesta de Norman al ataque

Norman optó por revelar el hecho de que la empresa había sido víctima de un ataque DDoS.

Tan pronto como se determinó la naturaleza del ataque, se publicó información al respecto en el sitio web de Norman (visible al intentar acceder al Sandbox Center)

Sandbox center unavailable

Norman tomó esta decisión política porque consideró que era importante mantener una postura abierta ante lo ocurrido para animar a otras empresas y usuarios individuales a actuar de la misma forma. En opinión de Norman, esta es una forma mejor de detener a los individuos y a las organizaciones que inician este tipo de ataques contra otras empresas y participan en ellos.

Después de todo, algunas de las empresas más grandes del mundo han pasado por lo mismo, con resultados similares. Si alguien con mala intención está dispuesto a dedicar el tiempo y los recursos necesarios para perpetrar un ataque así, es casi imposible a priori defenderse de él.

Lo más importante en un caso así es intentar conseguir registros que puedan utilizarse para determinar la causa del ataque, así como su origen. Esto es fundamental para poder detener el ataque temporalmente, localizar y bloquear los auténticos ordenadores atacantes y por lo tanto detener el ataque permanentemente y, por último, para emprender acciones legales contra las personas o las organizaciones responsables del ataque.

¿Por qué el Norman Sandbox Information Center?

Sólo podemos especular sobre el motivo por el que se eligió el Norman Sandbox Information Center como objetivo de este ataque.

Sin embargo, es un hecho que el Sandbox Information Center es una herramienta que utilizan las personas y organizaciones de seguridad de todo el mundo para analizar automáticamente los programas malintencionados y su comportamiento. Uno se siente tentado a pensar que un centro de este tipo podría haber molestado a los creadores de tales programas malintencionados, lo que habría provocado el ataque.

Se puede observar el mismo comportamiento en los delitos que se cometen en el mundo real, cuando los culpables intentan desactivar los dispositivos de seguridad y protección antes de cometer el delito en sí. 

Es de suponer que los recursos de seguridad en Internet están entre los objetivos de los ataques más graves. Es decir, ataques procedentes de entidades más serias que los "script-kiddes" (niños aprendices), ataques, por ejemplo, de organizaciones que utilizan el crimen en Internet como medio para ganar enormes sumas de dinero mediante actividades ilegales o semi-ilegales.

Como el malware (programas malintencionados) es cada vez más sofisticado y el crimen organizado está detrás de un porcentaje cada vez mayor de estas actividades, se espera que esta tendencia al alza continúe. 

Se incluye a continuación una breve explicación de algunos términos empleados en esta Información de seguridad.

(1) Ataque de Denegación de servicio distribuida (DDoS)
Ataque en el que varios ordenadores, potencialmente millones de ellos, participan en un ataque simultáneo contra otro ordenador o red. El objetivo del ataque es impedir que el ordenador o red objetivo lleve a cabo sus actividades normales.

(2) Ataque SYN
Tipo de ataque en el que un ordenador con una dirección IP simulada envía una solicitud de sincronización (SYN) a otro ordenador (servidor). El servidor en cuestión responde enviando un acuse de recibo (SYN-ACK) y espera el ACK correspondiente del ordenador inicial. Sin embargo, nunca se recibe el ACK de IP de este ordenador (porque la dirección IP original es falsa).

(3) BOTNET
Ordenadores de una red controlados por uno o más “bots" (robots). Los ordenadores de una botnet no suelen saber que forman parte de ella ya que de alguna forma ellos también son atacados. El ordenador atacado puede, en principio, utilizarse para cualquier cosa, desde envío de correo no deseado a ataques contra otros ordenadores.

La persona que controla la botnet suele utilizar servidores Internet Relay Chat (IRC) para controlar sus ordenadores (alias zombies). No es extraño que este servidor IRC sea otro ordenador atacado. Como puede haber muchos “bucles" distintos implicados en la cadena, normalmente resulta difícil dar con la persona o personas responsable de la botnet .