Más información sobre los ciberataques de ayer

Más información sobre los ciberataques de ayer

por

Tal vez no desde China sino a través de China

Profundizando en la polémica nota de ayer sobre el masivo ciberataque chino sobre importantes sitios de EEUU, tenemos un poco más de información y vamos a intentar explicarla de manera ordenada y sin cometer muchos horrores técnicos.

Para empezar, el ciberataque chino no necesariamente fue chino. Las decenas de miles de IPs de donde provino el ataque correspondían a grandes universidades y al mayor ISP chino, pero ayer por la noche fue Anonymous, en su división de Sri Lanka, el que se atribuyó los ataques. Es posible, no lo ponemos en duda, que unos pocos habitantes de Sri Lanka hayan logrado hacerse del control de decenas o cientos de miles de equipos zombies para efectuar su ataque. Posible aunque improbable. Lo que no se puede negar, en cambio, es que si las universidades chinas, los ISP chinos, y el gran Firewall que hay entre China y el mundo son todos controlados por el gobierno chino, es my inverosímil la tesis de que un ataque como este se haya prolongado por 24 horas sin conocimiento de la autoridad central. La creencia entre los expertos es: si es que no fueron ellos, al menos dejaron que ocurriera.

Acá hay algunos de los destacados participantes en el ataque:

inetnum:      202.204.0.0 – 202.207.255.255
netname:      BJR-CERNET
descr:        China Education and Research Network
descr:        Beijing Regional Network

inetnum:      210.21.91.0 – 210.21.91.127
netname:      guangdong-info-fazhan
country:      cn
descr:        guangzhou city

inetnum:      59.46.40.0 – 59.46.47.255
netname:      SY-TIANTONGTONGXIN
descr:        SY-TIANTONGTONGXIN
descr:        SHENYANG

inetnum:      61.145.0.0 – 61.145.255.255
netname:      CHINANET-GD
country:      CN
descr:        CHINANET Guangdong Province Network

inetnum:      61.135.0.0 – 61.135.255.255
netname:      UNICOM-BJ
descr:        China Unicom Beijing province network
descr:        China Unicom

Segundo, se trató de un ataque DDOS (denegación de servicio distribuida) pero no contra una IP como puede hacer cualquier script kiddie utilizando LOIC. Este fue un ataque que se valió de la técnica DNS Snoop Poisoning, de la siguiente manera:

  1. Utilizaron un dominio (digamos dominiotramposo.com) del cual al parecer poseían control para generar la zona www como CNAME del dominio central estructurándolo de manera que el intento de resolver ese dominio generase un loop
  2. Esperaron a que los servidores DNS de empresas como Facebook, Symantec, Microsoft, Apple y Cisco (y, según nuestra información, también Oracle) guardaran ese CNAME mal formado
  3. Lanzaron un ataque mediante el cual cientos de miles de máquinas apuntaron sus DNS a los nameserver de las mentadas empresas e intentaron repetitivamente visitar www.dominiotramposo.com
  4. Las peticiones de resolución de DNS se enviaron como paquetes UDP con una cadena adicional que los hacía ligeramente erróneos, de manera que los nameservers no sólo intentaban fallidamente resolver www.dominiotramposo.com sino que por el protocolo se veían obligados a enviar otro paquete UDP de vuelta diciendo: “el paquete que ud. envió venía con un error”, duplicando el tránsito total y por tanto el efecto del ataque.

En otras palabras, no intentaron atacar directamente los sitios, sino darle tanto trabajo a los nameservers, pidiéndoles resolver algo que nunca tendría respuesta, de modo que no pudieran llevar el tráfico legítimo a los dominios para los cuales sí son autoritativos.

Contrariamente a lo que pensábamos, no había una manera sencilla de aislar el ataque. Para empezar, se volvía necesario un análisis de paquetes para ver de dónde provenía y qué estaba pidiendo. Eso requiere CPU y cuando se atacó el problema se había vuelto de una magnitud tal que no había suficiente poder de cómputo en los datacenters respectivos. En segundo lugar, no sólo las peticiones chinas sino millones de otras peticiones se estaban acumulando en la cola de espera pasándose de ISP en ISP, dispuestas a seguir rebotando hasta la expiración del TTL que puede demorar varias horas. Por esto, incluso cuando paró el ataque siguieron recibiendo oleadas de peticiones que botaban todo.

¿Por qué ocurrió todo esto? Según un experto que no quiso dar su nombre, después de las declaraciones de Joe Biden de que “Estados Unidos nunca entrará en cesación de pagos” y el tímido optimismo de las bolsas occidentales durante esta semana, era inevitable que en algún momento alguien hiciera el intento de aprovechar la difícil situación utilizando un ataque cibernético ya sea para transmitir incertidumbre sobre la solidez de las firmas tecnológicas o incluso para paralizar las bolsas de comercio.

Sabemos que el ataque tuvo éxito y pudo sacar del aire a las empresas mencionadas durante horas, aunque muchas de ellas atienden mediante Anycast y lograron minimizar el efecto de los ataques al no sufrir la caída de la totalidad de sus espejos y cachés locales. Supongo que notaron, eso sí, que los servicios bancarios han estado particularmente lentos e inestables cuando no caídos, que varias transacciones en línea no pasaron y que incluso alguos bancos tuvieron intermitencia en el servicio de pago con tarjeta de crédito de forma presencial.

Aunque en menor medida, supongo que esta noticia despertará una reacción similar a la de ayer, preguntando “¿Y dónde está el link a la noticia?”. La respuesta es: acá. Nosotros somos el link. No esperen que EEUU admita esto en el corto plazo so riesgo de provocar más histeria colectiva.

PD: no tengo idea si expliqué correctamente el método. Transmito lo poco que le entendí a la persona que me lo explicó.