Ataques en Internet
De dónde vienen, adónde van
Los ataques por Internet crecen y crecen, pero, ¿cuál es la dimensión real del problema? ¿Quién está detrás de estos ataques? ¿De dónde proceden? ¿Qué pretenden? Las incertidumbres son tantas como las vulnerabilidades de las redes, y las respuestas y soluciones adecuadas sólo vendrán después de conocer a fondo el problema y sus diversas manifestaciones. Este es el objetivo que IDG se marcó el pasado mes de julio, cuando, en colaboración con diversas entidades, llevó a cabo durante dos semanas una radiografía de las actividades maliciosas en Internet. Estos son los resultados.
Cuál es hoy el verdadero peligro de Internet? IDG, en colaboración con varias entidades, ha realizado recientemente diversas pruebas de campo de alcance mundial que ayudan a dar la respuesta correcta a la pregunta. Las pruebas se llevaron cabo durante quince días del pasado mes de julio en colaboración con diversas entidades y desde distintos ángulos: desde la propia backbone de Internet para visualizar el tráfico en bruto, desde el exterior de una red corporativa y a nivel de los cortafuegos de un grupo de clientes corporativos.
Para detectar el tráfico malicioso generado directamente en la backbone, la empresa de servicios de seguridad estadounidense i-Trap –con sede en Cleveland– realizó el seguimiento y análisis durante dos semanas de los datos ofrecidos por los tres sensores de detección de intrusiones Snort con que monitoriza la backbone de un ISP local. Estos datos ofrecen una visión pormenorizada de los ataques lanzados hacia las redes corporativas, una vez que los hackers ya han detectado sus debilidades y el modo de explotarlas.
En paralelo, se utilizó un sistema de rastreo y prevención de ForeScout Technologies instalado en el extremo de la red corporativa de 10.000 nodos de la Universidad de Tel Aviv, la mayor universidad de Israel. Así, se pudieron detectar y localizar los reconocimientos de red que se estaban realizando desde el exterior e identificar con exactitud a los hackers que volvían posteriormente para causar daños.
Asimismo, se hizo el seguimiento de los logs de cortafuegos de 24 clientes corporativos de la red de i-Trap.
Resultados alarmantes
El resultado de todos estas pruebas es alarmante, teniendo en cuenta el elevadísimo número de escaneos de red externos que se detectaron; la gran variedad de metodologías empleadas para intentar penetrar en la red; y, finalmente, la gran tenacidad mostrada por los hackers, que lanzaban sus ataques día y noche desde cualquier punto del planeta.
Las conclusiones son los siguientes:
- En algunos casos, en sólo seis meses el volumen del tráfico de Internet potencialmente peligroso se había triplicado.
- Las laborares de reconocimiento realizadas por los hackers son uno de los mayores causantes del “ruído de fondo” de la Red. Los seguimientos mostraron que casi el 55% de las actividades sospechosas identificadas en Internet son causadas por los escaneos realizados por los hackers para reconocer el terreno y preparar su posterior incursión.
- La mayoría de los intentos de intrusiones son consecuencia de ataques automatizados lanzados desde máquinas previamente hackeadas.
- Las principales razones de los hackers para atacar una red son la localización de equipos desde los que lanzar spam y la búsqueda de espacio de almacenamiento extra para archivos ilícitos, así como tomar el control de equipos para poder utilizarlos posteriormente como punto de partida para futuros ataques.
¿Quién está llamando a la puerta?
Entre la madrugada del 10 de julio y la medianoche del 23 del mismo mes, la red de la Universidad de Tel Aviv fue escaneada en 96.000 ocasiones en busca de puertos abiertos y tuvo que detener el paso a 86.000 hackers de 99 países que volvieron a buscar el modo de entrar a través de los puertos que anteriormente habían encontrado abiertos. Aunque estas cifras pueden parecer alarmantes, los responsables de TI de la Universidad están acostumbrados a ellas. No en vano, este volumen de ataques es la media que registran durante un periodo cualquiera de cada quince días en los 10.000 nodos, 128.000 direcciones públicas de IP y la conexión a Internet de 100 Mbps de su red.
Partiendo de la certeza de que el comportamiento común del hacker es “primero reconocer para luego entrar”, el sensor ActiveSocut se encuentra situado en el exterior del cortafuegos primario de la Universidad analizando el tráfico entrante y las rutinas de escaneado de la red que se realizan desde el exterior. Cuando detecta acciones de reconocimiento, engaña al merodeador suministrándole información errónea sobre puertos abiertos, falsos recursos y direcciones IP. Si el atacante intenta explotar alguno de esos falsos recursos, ActiveScout deniega el acceso a la red.
Avalancha de “gusanos”
Las medidas de seguridad puestas en práctica en la Universidad del Tel Aviv mostraron una correlación entre escaneos y posteriores ataques hackers del 96,3%. En otras palabras, puede decirse que cada escaneo de vulnerabilidades en la red era el precedente de un ataque.
En un 90%, los ataques fueron gusanos (worms) debido a sus rápidos mecanismos de propagación automática y escaneo sistemático. De acuerdo con los datos de ActiveScout, estos gusanos se propagaban demasiado deprisa como para que el pequeñísimo lapso de tiempo entre el escaneo y el posterior ataque diera margen suficiente para que un ser humano pueda actuar. Además de rápida, la actividad de estos gusanos tiende a la repetición: buscan un puerto y repiten el ataque sobre él de forma masiva.
Cualquier puerto es válido
Una vez hecho el escaneo, la búsqueda de puertos abiertos fue la metodología más utilizada por los hacker para acometer sus ataques (96% de los casos). El segundo método más empleado es el escaneo del servicio UDP (3,7%). El porcentaje restante (0,3%), se reparten entre la búsqueda de contraseñas y nombres de usuario, información sobre el registro del Dominio NetBIOS y gestión de los datos SNMP.
Sin embargo, hay que destacar que la escasez de ataques registrados enfocados al NetBIOS de la Universidad de Tel Aviv es consecuencia de un filtrado anterior del tráfico NetBIOS realizado por un ISP. Para hacernos una idea de la importancia real que toman los escaneos de la NetBios en una red, la investigación realizada se extendió a una empresa virtual de California que en su infraestructura de red contaba con 255 direcciones IP públicas y conexión T1 (E1, 2 Mbps) a Internet. En este caso encontramos sustanciales diferencias con los datos obtenidos por la Universidad. El 50% de los ataques se registró vía escaneado de puertos, y un 20% a través de puertos UDP, mientras que el ataque mediante escaneado NetBIOS y el realizado en busca de contraseñas y nombres de usuarios alcanzo un 15% respectivamente. Es de señalar también que la actividad de escaneo reportada por este nodo creció un 260% de enero a julio pasados.
¿Adónde apuntan los cañones?
En el caso de la Universidad, los ataques de los hackers se efectuaron principalmente a través del puerto TPC 80 e iban dirigidos a los servicios de transferencia del sitio Web. Otro de los grandes botines buscados por los hackers fueron los servicios de red basados en Windows. La vía de penetración fue, en este caso, los puertos 135, 139 y 445.
Se triplica la amenaza
Los servicios
Cuál es hoy el verdadero peligro de Internet? IDG, en colaboración con varias entidades, ha realizado recientemente diversas pruebas de campo de alcance mundial que ayudan a dar la respuesta correcta a la pregunta. Las pruebas se llevaron cabo durante quince días del pasado mes de julio en colaboración con diversas entidades y desde distintos ángulos: desde la propia backbone de Internet para visualizar el tráfico en bruto, desde el exterior de una red corporativa y a nivel de los cortafuegos de un grupo de clientes corporativos.
Para detectar el tráfico malicioso generado directamente en la backbone, la empresa de servicios de seguridad estadounidense i-Trap –con sede en Cleveland– realizó el seguimiento y análisis durante dos semanas de los datos ofrecidos por los tres sensores de detección de intrusiones Snort con que monitoriza la backbone de un ISP local. Estos datos ofrecen una visión pormenorizada de los ataques lanzados hacia las redes corporativas, una vez que los hackers ya han detectado sus debilidades y el modo de explotarlas.
En paralelo, se utilizó un sistema de rastreo y prevención de ForeScout Technologies instalado en el extremo de la red corporativa de 10.000 nodos de la Universidad de Tel Aviv, la mayor universidad de Israel. Así, se pudieron detectar y localizar los reconocimientos de red que se estaban realizando desde el exterior e identificar con exactitud a los hackers que volvían posteriormente para causar daños.
Asimismo, se hizo el seguimiento de los logs de cortafuegos de 24 clientes corporativos de la red de i-Trap.
Resultados alarmantes
El resultado de todos estas pruebas es alarmante, teniendo en cuenta el elevadísimo número de escaneos de red externos que se detectaron; la gran variedad de metodologías empleadas para intentar penetrar en la red; y, finalmente, la gran tenacidad mostrada por los hackers, que lanzaban sus ataques día y noche desde cualquier punto del planeta.
Las conclusiones son los siguientes:
- En algunos casos, en sólo seis meses el volumen del tráfico de Internet potencialmente peligroso se había triplicado.
- Las laborares de reconocimiento realizadas por los hackers son uno de los mayores causantes del “ruído de fondo” de la Red. Los seguimientos mostraron que casi el 55% de las actividades sospechosas identificadas en Internet son causadas por los escaneos realizados por los hackers para reconocer el terreno y preparar su posterior incursión.
- La mayoría de los intentos de intrusiones son consecuencia de ataques automatizados lanzados desde máquinas previamente hackeadas.
- Las principales razones de los hackers para atacar una red son la localización de equipos desde los que lanzar spam y la búsqueda de espacio de almacenamiento extra para archivos ilícitos, así como tomar el control de equipos para poder utilizarlos posteriormente como punto de partida para futuros ataques.
¿Quién está llamando a la puerta?
Entre la madrugada del 10 de julio y la medianoche del 23 del mismo mes, la red de la Universidad de Tel Aviv fue escaneada en 96.000 ocasiones en busca de puertos abiertos y tuvo que detener el paso a 86.000 hackers de 99 países que volvieron a buscar el modo de entrar a través de los puertos que anteriormente habían encontrado abiertos. Aunque estas cifras pueden parecer alarmantes, los responsables de TI de la Universidad están acostumbrados a ellas. No en vano, este volumen de ataques es la media que registran durante un periodo cualquiera de cada quince días en los 10.000 nodos, 128.000 direcciones públicas de IP y la conexión a Internet de 100 Mbps de su red.
Partiendo de la certeza de que el comportamiento común del hacker es “primero reconocer para luego entrar”, el sensor ActiveSocut se encuentra situado en el exterior del cortafuegos primario de la Universidad analizando el tráfico entrante y las rutinas de escaneado de la red que se realizan desde el exterior. Cuando detecta acciones de reconocimiento, engaña al merodeador suministrándole información errónea sobre puertos abiertos, falsos recursos y direcciones IP. Si el atacante intenta explotar alguno de esos falsos recursos, ActiveScout deniega el acceso a la red.
Avalancha de “gusanos”
Las medidas de seguridad puestas en práctica en la Universidad del Tel Aviv mostraron una correlación entre escaneos y posteriores ataques hackers del 96,3%. En otras palabras, puede decirse que cada escaneo de vulnerabilidades en la red era el precedente de un ataque.
En un 90%, los ataques fueron gusanos (worms) debido a sus rápidos mecanismos de propagación automática y escaneo sistemático. De acuerdo con los datos de ActiveScout, estos gusanos se propagaban demasiado deprisa como para que el pequeñísimo lapso de tiempo entre el escaneo y el posterior ataque diera margen suficiente para que un ser humano pueda actuar. Además de rápida, la actividad de estos gusanos tiende a la repetición: buscan un puerto y repiten el ataque sobre él de forma masiva.
Cualquier puerto es válido
Una vez hecho el escaneo, la búsqueda de puertos abiertos fue la metodología más utilizada por los hacker para acometer sus ataques (96% de los casos). El segundo método más empleado es el escaneo del servicio UDP (3,7%). El porcentaje restante (0,3%), se reparten entre la búsqueda de contraseñas y nombres de usuario, información sobre el registro del Dominio NetBIOS y gestión de los datos SNMP.
Sin embargo, hay que destacar que la escasez de ataques registrados enfocados al NetBIOS de la Universidad de Tel Aviv es consecuencia de un filtrado anterior del tráfico NetBIOS realizado por un ISP. Para hacernos una idea de la importancia real que toman los escaneos de la NetBios en una red, la investigación realizada se extendió a una empresa virtual de California que en su infraestructura de red contaba con 255 direcciones IP públicas y conexión T1 (E1, 2 Mbps) a Internet. En este caso encontramos sustanciales diferencias con los datos obtenidos por la Universidad. El 50% de los ataques se registró vía escaneado de puertos, y un 20% a través de puertos UDP, mientras que el ataque mediante escaneado NetBIOS y el realizado en busca de contraseñas y nombres de usuarios alcanzo un 15% respectivamente. Es de señalar también que la actividad de escaneo reportada por este nodo creció un 260% de enero a julio pasados.
¿Adónde apuntan los cañones?
En el caso de la Universidad, los ataques de los hackers se efectuaron principalmente a través del puerto TPC 80 e iban dirigidos a los servicios de transferencia del sitio Web. Otro de los grandes botines buscados por los hackers fueron los servicios de red basados en Windows. La vía de penetración fue, en este caso, los puertos 135, 139 y 445.
Se triplica la amenaza
Los servicios
