Share
Google+LinkedInPinterest

Cómo mitigar los ataques DDoS DNS

Un ataque de denegación de servicio (DDoS) es un intento malicioso para hacer que un servidor o un recurso de red disponibles para los usuarios sean, por lo general, interrumpidos temporalmente o para suspender los servicios de un host conectado a Internet.
dosxLos ataques DDoS se han incrementado en un 240% en el año 2014, de acuerdo con la Security Watchdog. Por su parte, un estudio del Instituto Ponemon estima que el costo promedio de un minuto y el tiempo de inactividad debido a un ataque DDoS es de 22 mil dólares, mientras que el tiempo de inactividad promedio es de aproximadamente 54 minutos. Por fortuna, se pueden mitigar los ataques DDoS tomando algunas medidas preventivas.
Hay tantas maneras en las que los hackers pueden atacar a los servidores DNS como formas en las que los administradores de sistemas pueden mitigar algunos de estos embates. Por desgracia, los usuarios no pueden hacer mucho para modificar los servidores DNS a fin de atenuar los ataques, aunque deben tener en cuenta algunas precauciones.
ipxEl principal problema está en el propio protocolo DNS, que permite a los hackers utilizar direcciones IP diferentes a la del usuario cuando hacen una consulta DNS, por lo que la respuesta se envía a otra persona; es decir, la víctima.
El estándar DNSSEC propone modificar el protocolo DNS para permitir la firma del DNS raíz, lo que bloquearía la modificación de los registros DNS para que apunte a otros sitios. El Internet Corporation for Assigned Names and Numbers (ICANN) asegura que algunos dominios de primer nivel, como .com, .se y .uk ya están protegidos con este mecanismo.

TIPOS DE ATAQUES

DDoS DNS

En un ataque DNS DDoS el hacker falsifica la dirección IP de la consulta DNS. Supongamos que éste quiere acabar con un servidor DNS en la dirección IP 1.2.3.4, para lo cual puede usar cualquiera de las herramientas de hacking de libre acceso o una red de bots que puede alquilar a otros hackers a fin de enviar una consulta a cualquier servidor DNS con la dirección IP de retorno 1.2.3.4.
El servidor de DNS, si tiene ese registro en su caché o si es la fuente autorizada, envía la respuesta UDP al servidor DNS ubicado en 1.2.3.4. El atacante intentó enviar varias solicitudes de búsqueda a la víctima mediante el envío de las solicitudes a varios servidores DNS, tantas que el servidor 1.2.3.4 es incapaz de responder al tráfico legítimo debido al volumen del mismo.
Cuando un equipo consulta un servidor DNS y este último no tiene el nombre de dominio en su caché, consulta otros servidores DNS en la cadena. Cuando así se hace, éstos no usan la misma dirección IP falsa 1.2.3.4 del servidor que hizo la consulta; en su lugar, utilizan su propia dirección IP. El servidor DNS recibe la respuesta y a continuación reenvía la consulta al servidor DNS objetivo 1.2.3.4, así que el ataque no puede ser empujado hacia la cadena de confianza.
Una manera de minimizar este ataque DNS es verificando que la dirección IP simulada sea válida. Los administradores son reacios a hacer eso porque frenarían un proceso que ahora es casi instantáneo. Para hacer esta verificación pueden utilizar Unicast Reverse Sendero Forwarding (Unicast FPR) o rechazar las consultas que ya se encuentran en una dirección IP.

Amplificación de DNS

En el caso de un ataque de la amplificación, los hackers actualizan la información de zona DNS en un servidor de dominio TLD comprometida para alargar la respuesta (digamos 4,000 bytes); es más grande que el tamaño máximo del paquete IP, por lo que la respuesta se envía a través de TCP en vez de UDP a fin de asegurarse que los paquetes se devuelven en el orden correcto. La conversación SYN-ACK-SYN de TCP, por supuesto, lleva más tiempo que UDP, atando sockets y puertos y complicando aún más la situación. En este tipo de ataques los 60 bytes de la consulta inicial devuelta al servidor DNS objetivo 1.2.3.4 ha sido amplificada por casi 70 veces.

Inundaciones UDP

La otra manera de atacar a un DNS es mediante una “inundación UDP”. Las consultas DNS utilizan el protocolo UDP y el servidor DNS responde con una respuesta de ICMP. Una manera de mitigar esto es limitando la tasa de respuestas ICMP al utilizar RRL DNS.

Envenenamiento de DNS

dnsxIntoxicación significa sobrescribir un registro DNS legítimo con uno falso. Hay varias formas de ejecutar un envenenamiento de DNS; una de ellas es poner en peligro un servidor DNS de nivel superior (TLD) y modificar el DNS TTL (time to live información). El servidor DNS no purgará ese registro DNS hasta que transcurra el tiempo TTL; por lo tanto, no podrá modificarse la dirección IP “tuempresa.com”, por ejemplo, para que apunte a una dirección que no es la correcta, por lo que la gente que busque “tuempresa.com” no la encontrará durante algún tiempo o será dirigida a un sitio diferente que aloja malware.
Una forma de mitigar este tipo de ataque es cambiando el puerto que el servidor DNS escucha en el valor predeterminado de 53. Al intentar atacar el servidor DNS, el hacker debe adivinar el número de puerto hasta que encuentre el correcto. El problema con este enfoque es que se suele traducir este regreso al puerto 53 por defecto, frustrando así la táctica para mitigar el ataque.
La otra cosa que puede hacerse es externalizar el tráfico DNS a una empresa como DYN.com, que también ofrece servicios de gestión de tráfico; asimismo, es posible usar Prolexic (http://www.prolexic.com) que cuenta con una amplia infraestructura para ayudar a mantenerse al día con el volumen de consultas DNS a fin de que las búsquedas sean legítimas, además de que puede filtrar una parte del tráfico ilegítimo.

Open resolvers

Un “solucionador abierto” es aquél que responde a una consulta que está fuera de su propio dominio. El problema es que la mayoría de los servidores DNS de todo el mundo no se vigila de manera adecuada. Para proteger servidores DNS más pequeños contra eso (es decir, dominio propio e infraestructura en la nube) habría que coordinarlos con otros servidores DNS a fin de bloquear solucionadores abiertos y sin garantía, lo cual no es tan difícil si se restringe la búsqueda a clientes o a los rangos propios de la IP de la empresa.

Nombre de dominio, extensiones de seguridad

Las extensiones de seguridad DNS son una extensión del protocolo DNS que agrega una clave y una firma para el paquete DNS; es compatible con versiones anteriores, por lo que puede utilizarse sin romper nada. Pero esto sólo funcionará si los administradores configuran DNSSEC totalmente hasta llegar a la cadena de confianza, por ejemplo “cuenta.tuempresa.com”, “tuempresa.com” o “.com”. Esto tomará algún tiempo para asimilarlo, a pesar de su adopción por parte de los administradores de servidores DNS.
En resumen, no hay una solución 100% eficaz para la denegación de ataques de servicio DNS; ayudaría en algo si los usuarios pudieran obtener el control de botnets, pero la mayoría de quienes cuentan con un equipo no sabe si éste ha sido hackeado, por lo que de alguna manera son cómplices involuntarios en este tipo de delito.
Muchas organizaciones que han luchado contra los ataques DDoS en sus sitios web u otras partes vitales de sus infraestructuras de red están moviendo algunos de sus recursos a la nube para aprovechar la seguridad y los beneficios operativos que ofrecen algunos proveedores de este tipo de servicios.

www.hdmexico.com.mx

www.hdlatinoamerica.com

Read More
207

Views

Share
Google+LinkedInPinterest

Las llamadas de WhatsApp son usadas por cibercriminales ¡Cuidado!

La popularidad de las llamadas de WhatsApp en los últimos días ha provocado que los cibercriminales las utilicen como gancho para realizar ataques.

WhatsApp_logo
El servicio de llamadas de WhatsApp, que recientemente se abriera a todos sus usuarios de Android ha cobrado popularidad en los últimos días y esto ha sido bien aprovechado por los cibercriminales. Según investigadores de Kaspersky Lab, se han detectado varias campañas que utilizan las llamadas de WhatsApp como ganchos para realizar ataques cibernéticos en Latinoamérica.
Estas campañas se distribuyen mediante mensajes en WhatsApp invitando a habilitar las “llamadas gratuitas de WhatsApp” pero que en realidad son enlaces para instalar apps sospechosas, generalmente Adware para Android que utiliza un esquema llamado “Pay-per-Install” o “instalaciones patrocinadas”.
Según detectó Kaspersky, el ataque empieza con un mensaje que llega en portugués o español, enviado por un contacto conocido. Los mensajes invitan los usuarios a que entren en un sitio donde supuestamente podrán activar las nuevas llamadas de WhatsApp.
mensaje-para-activar-llamadas-de-whatsapp-falso
Si la página se abre en un dispositivo móvil, esta adaptará su formato para la pantalla móvil. Para “activar” el servicio la víctima debe invitar a sus amigos, distribuyendo el mensaje a 10 contactos en WhatsApp. Después de que la víctima envía el mensaje a sus amigos se abrirá una página que, dependiendo del país y localización, tendrá un contenido diferente, pero en casi todas va a ofrecer la instalación de apps maliciosas conocidas como Adware, programas de propaganda o “scareware” (falsos antivirus o falsos limpiadores del teléfono).
mensajes-para-activar-llamadas-de-whatsapp-falsos
Aunque sea un ataque que se base en la ingeniería social para dispersarse, mucha gente ha caído en su trampa y está enviando los mensajes de manera masiva a sus contactos. Por el momento los criminales distribuyen Adware, pero es solo una cuestión de tiempo para que empiecen a distribuir programas maliciosos más agresivos como troyanos bancarios, bots o troyanos SMS que pueden robar dinero directamente de las víctimas“, explicó Roberto Martinez, Analista de Seguridad para Kaspersky Lab.

Las llamadas de WhatsApp solo están disponibles para Android

Hay que mencionar que las llamadas de WhatsApp solo están disponibles para usuarios de Android, aunque se espera que próximamente lleguen a otras plataformas, sin embargo, para activarlas no es necesario más que tener la última versión del cliente de mensajería que se puede instalar desde la Play Store. En algunos casos también es necesario que algún contacto tuyo que ya tenga el servicio de llamadas, te marque para que se active.

Read More
135

Views

Share
Google+LinkedInPinterest

Hackers utilizan Facebook y Google para incrementar ataques

Las redes sociales son utilizados por los hackers para extender y aumentar las amenazas digitales.

520430_hakers_facebook_google (1)
Las redes sociales y los servicios populares en línea son utilizados por los hackers para extender y aumentar las amenazas digitales, en especial los ataques de Denegación del Servicio (DDoS) que pueden ser amplificados y reflejados de forma significativa y masiva, afirmó Fernando Santos, director Regional-CALA de Radware.
“Cada día escuchamos numerosos incidentes de seguridad perpetrados por hackers que inundan las redes corporativas mediante ataques DDoS; lo que no sabíamos hasta ahora, es que los cibercriminales están comenzando a utilizar Facebook para vincular cargas con cuentas falsas”, alertó.
Y es que, dijo, hay incidentes reportados donde un hacker logró crear una inundación de 400 megabites utilizando únicamente Facebook Mobile, la versión para smartphones y tabletas de la popular red social.
Este nuevo ataque vía Facebook es similar a los ataques DDoS realizados en Google Docs reportados hace un par de años cuando las hojas de cálculo elaboradas mediante Google Docs eran utilizadas como un arma de DDoS.
Santos explicó que estos ataques utilizan un enlace web, o una lista de enlaces web o URLs que actúan en conjunto con las Redes de Despacho de Contenidos (CDN) para inundar los servidores con tráfico masivo de datos.
Aunque, dijo, este tipo de ataques no solo pueden realizarse con Facebook y Google, pues los hackers han comenzado a amplificar sus fechorías mediante Yahoo, al cargar vínculos utilizando su programa de email.
Así, al componer un mensaje es posible pegar links en el cuerpo del mensaje y el sistema automáticamente carga los links mostrando una vista previa. De esta forma es muy fácil pegar un enlace, pulsar Enter, pegar otro, pulsar Enter y así sucesivamente Yahoo irá mostrando el contenido del link y ajustando el tamaño de las imágenes, explicó el experto.
Resaltó que los hackers pueden automatizar este proceso mediante un guión en el navegador tal y como lo hace Grease Monkey y también pueden enlazar estos vínculos con notas en Facebook en un esfuerzo por amplificar el daño.
Este tipo de ataques puede implementarse fácilmente desde una red pública Wi-Fi (un aeropuerto, centro comercial, cafeterías, restaurantes) que ofrece el anonimato como una gran cubierta para el atacante, y debido a que estos servicios en línea hacen parte de listas negras, los ataques pueden pasar desapercibidos y mucha veces son confundidos con un error o un bug, subrayó en un comunicado.
Para Santos, la dificultad en la lucha contra este tipo de ataques es que a menudo, se elige la solución incorrecta.
“Los servicios DDoS que requieren que se filtre el tráfico desde su centro de datos hacia ellos para limpiar el tráfico son costosos y sólo debe utilizarse para casos de emergencia”, indicó.
Mientras tanto, las peticiones HTTP procedentes de Google, Facebook o WordPress tienden a ser clasificados como tráfico legítimo, por lo que es difícil mitigar ataques procedentes de estos sitios, señaló.

Read More
157

Views