A principios de marzo de 2015, el popular repositorio de código para programadores GitHub fue víctima de un enorme de denegación de servicio. Todo apuntaba a China como atacante y a GitHub como presa por almacenar elementos de la web GreatFire.org dedicada a almacenar herramientas y tutoriales para que ciudadanos en China puedan saltarse los bloqueos locales y una copia de The New York Times.
Según un informe publicado por la Universidad de Toronto ya se sabe como ha funcionado este masivo ataque a GitHub.
Se ha confirmado que el ataque llega desde los responsables del gran cortafuegos de China, responsable del bloqueo de páginas en China contrarias a la política del país. Concretamente se sabe que el ataque por denegación de servicio (DDoS) se sirvió de código alojado en servidores del mayor buscador de China, Baidu.
Funcionaba de la siguiente forma. El gran cortafuegos de China localizaba las visitas desde el extranjero a Baidu. La gran mayoría de estas visitas pasaban sin problemas mediante una conexión no cifrada, pero en cambio un pequeño número de estas visitas «eran seleccionadas» para participar en el ataque a GitHub.
El sistema es capaz de inyectar un archivo JavaScript que contiene un código que simplemente pide archivos alojados en GitHub. Aunque se ha contabilizado que apenas el 1,75% de las visitas a Baidu desde el extranjero se usaron para ser parte en este ataque, fueron suficientes para tumbar este servicio ante la avalancha de peticiones a sus servidores.
Los investigadores responsables de este informe han bautizado este nuevo sistema como «Gran Cañon», por aquello del masivo tamaño y comparándolo con el «Gran Cortafuegos» de China.
El gran cañon no es una simple extensión del gran cortafuegos, sino una herramienta de ataque distinta que secuestra el tráfico a direcciones IP individuales, y puede reemplazar arbitrariamente contenido no cifrado para un ataque intermediario.
De esta forma los responsables de uno de los mayores sistemas de censura en Internet han pasado de crear un sistema pasivo de censura a tener un sistema preparado para atacar mediante ataques DDoS cualquier página que deseen. Aunque estos ataques suelen durar unas horas, este es el ejemplo de como pueden lograr tumbar o hacer intermitente su acceso durante días.
El informe determina que no hay duda sobre la autoría de China en estos ataques. Baidu declaró que sus sistemas no fueron alterados, lo que querría decir que el gobierno Chino estaría usando su acceso a estos servidores para sus ataques. Se han basado en que los ataques provienen de dos operadoras Chinas, cercanas al gran cortafuegos chino, además de compartir características técnicas y el tipo de ataque están provocando.
Foto (cc) Artem Marchenko
