Internet y nuevas tecnologias

REVISTA DE AERONAUTICA Y ASTRONAUTICA 860

REDES ATAQUES A TRAVES DEL “INTERNET DE LAS COSAS” Si tuviéramos que recordar cada número de teléfono, tendríamos un serio problema. Algo así pasa en internet, donde cada ordenador conectado a la red está identificado por una secuencia numérica, que llamamos "dirección IP". En lugar de cargar con un listín o agenda llena de estos números, la propia red se encarga de transformar el nombre de la página -más fácil recordar- en su correspondiente IP. Este servicio lo prestan los "servidores de nombre de dominio" o DNS (Domain Name Servers). La operación más habitual con el DNS es obtener la dirección IP correspondiente a un nombre de nodo, es decir al ordenador al que queremos acceder. Pero no es la única. Los servidores DNS guardan otros tipos de registros y realizan otras funciones, pero el servicio de traducción de nombres a IP es el más popular. Por eso los DNS son uno de los servicios más críticos en la Internet, ya que si quedan fuera de servicio se colapsa el tráfico en la red. Como en otros aspectos de los protocolos de internet, en los primeros tiempos la seguridad no era una cuestión principal. Con la popularización de la red a partir de los 90, el uso malicioso de las características de diseño de los servicios y protocolos hizo que estos se fueran modificando para protegerlos. Aunque existen ataques basados en cuestiones técnicas sobre el funcionamiento del mecanismo pregunta-respuesta y el sistema de distribución de la información a través del sistema global de DNS, recientemente han sido organizados ataques a servidores DNS populares basados en la fuerza bruta, consistente en enviar tantas peticiones que el servidor es incapaz de atenderlas, relentizándose primero y colapsándose más tarde, conforme crece el número de solicitudes. Este tipo de ataque requiere cientos o miles de ordenadores haciendo peticiones continuas al servidor y se denomina DDoS (ataque de denegación de servicio distribuido) pero, ¿Cómo puede conseguirse formar un ejército tan numeroso? La forma más frecuente de hacerlo es mediante una "botnet". Se trata de una red de ordenadores "esclavos" que han sido infectados con un software que permite hacerlos trabajar para el controlador de la red. Cuando éste decide iniciar un ataque da las 'órdenes' a los ordenadores que han sido infectados y estos se ponen a realizar preguntas al servidor que se quiere atacar. Pueden hacer esto sin que el propietario legítimo del "esclavo" note absolutamente nada anormal. El tráfico congestionado en el servidor DNS puede impedir el acceso a los servidores de su área de influencia ya que ninguna petición será atendida cuando el servidor se colapse. Si se trata de un servidor principal, puede tratarse de una parte importante de internet la que quede inaccesible. Sin embargo si lo que queremos es hacer caer un ordenador específico, en las preguntas que los componentes esclavos de la botnet dirigen al servidor se puede falsear los datos del remitente, de forma que el servidor DNS devuelva todas las respuestas a un ordenador específico que ante el alud de respuestas, que en realidad no solicitó, se ve incapacitado para atender a su trafico legítimo. Si para un usuario de un PC le resultaría difícil notar los síntomas de que su ordenador ha sido reclutado para una botnet, es fácil imaginar lo difícil que resulta detectar en un ordenador no atendido, que no está diseñado para interactuar con el usuario. Eso es lo que ocurre con los dispositivos que forman el llamado "internet de las cosas". Una webcam es un pequeño ordenador que controla una cámara puede enviar las imágenes que ésta capta a través de la red. Se han hecho bastante populares, por ejemplo, como sistemas de vigilancia doméstica. El 21 de octubre de 2016, grandes empresas de internet como Twitter, WhatsApp, Spotify, Netflix, Amazon y algunos de los grandes diarios estadounidenses empezaron a sufrir problemas debido a un elevado número de peticiones. Se trataba de un ataque DDoS, pero con unas características interesantes. La primera es que estaba realizado a través de los servidores DNS de la empresa Dyn, que presta este servicio a grandes compañías. La segunda que el ejército de atacantes esclavos, eran dispositivos del "Internet de las cosas". Estos dispositivos habían sido infectados con un malware denominado "Mirai" de fácil acceso en la red ya que su código es completamente libre. Que sea libre no lo hace más peligroso, de la misma forma que la disponibilidad de objetos contundentes como palos o piedras no supone una incitación a su uso como armas. Mirai permite integrar los dispositivos infectados en una botnet y en el mes de septiembre de 2016, había sido utilizado para uno de los mayores ataques DDoS realizados hasta entonces. De hecho, el agujero de seguridad básico en las webcams es que por negligencia de sus usuarios o instaladores, muchos de ellos conservan la clave de acceso a su configuración por defecto, es decir, la que viene de fábrica, que es la misma para todos los dispositivos de una marca y modelo. Esta contraseña se describe en el manual y se puede averiguar fácilmente en internet. En una investigación realizada por expertos, se encontraron 1.022 cámaras en España conectadas a internet, que mantienen su contraseña por defecto. Hay que recalcar que los dispositivos del internet de las cosas no son especialmente inseguros. El origen de la inseguridad es el desconocimiento o el descuido de sus usuarios. 142 Internet y nuevas tecnologías ROBERTO PLÁ Coronel de Aviación http://robertopla.net/ REVISTA DE AERONÁUTICA Y ASTRONÁUTICA / Enero-Febrero 2017


REVISTA DE AERONAUTICA Y ASTRONAUTICA 860
To see the actual publication please follow the link above