Clicky

Anatomía de un hack: cómo bloqueó SEA el New York Times y Twitter

cómo bloqueó SEA el New York Times y Twitter

Ejército Electrónico Sirio (SEA) atacó el sistema de nombres de dominio (DNS)

El New York Times y el sitio Twitter del Reino Unido se desconectaron el martes para algunos usuarios como parte de un ataque que se atribuyó el Ejército Electrónico Sirio (SEA). El SEA es un grupo hacktivista pro-sirio cuyo líder es Bashar al-Assad, y tratan de tomar una ruta menos común para derribar sitios web - atacando el sistema de nombres de dominio.

La mayoría de los ataques públicos contra los sitios web son ataques de denegación de servicio (DOS), donde los atacantes reúnen un gran arsenal de computadoras para hacer ping a los servidores objetivo, sobrecargándolos. Pero recientemente los ataques - incluyendo ataques de denegación de servicio - han estado golpeando el sistema de nombres de dominio, para detectar un punto débil.

Para tener una idea de lo que sucede en un típico ataque DNS, le envié un correo a Cory von Wallenstein - ella es la directora de tecnología de Dyn, una empresa que ofrece servicios de DNS basados "‹"‹en la nube. Las empresas utilizan Dyn para reemplazar los servidores DNS generales a cargo de sus propios proveedores de Internet, con la idea de que el uso de este servicio hace que su tráfico de Internet (entrante y saliente) sea más rápido y más seguro.

Von Wallenstein explicó que hay tres tipos de ataques que escalan en complejidad. El primero se llama un ataque de envenenamiento de caché. En un correo electrónico, von Wallenstein lo describió de esta manera:

En ese ataque, los hackers intentan inyectar datos DNS maliciosos en los servidores DNS recursivos que son operados por los ISP. Estos servidores DNS suelen ser los "más cercanos" a los usuarios desde el punto de vista de la topología de la red, por lo que el daño se localiza a determinados usuarios que se conectan a los servidores.

Normas como DNSSEC pueden ayudar a proteger contra este tipo de ataques, pero este no era el tipo de ataque utilizado el martes por la tarde. El segundo tipo es hacerse cargo de uno o más servidores DNS con autoridad para un dominio y cambiar los datos de DNS. Los servidores DNS autorizados son aquellos que mantienen una lista de direcciones configuradas por una fuente original o un administrador en su nombre. Dyn lo hace por Twitter, por ejemplo.

Von Wallenstein dijo que si un atacante compromete un DNS autorizado, el efecto sería mundial. Sin embargo, para ello, tendría que conseguir más allá de una empresa como Dyn o OpenDNS que han construido buenas prácticas de seguridad, incluyendo una buena formación de ingeniería social. Este tampoco era el tipo de ataque utilizado por SEA contra Twitter y el New York Times.

Según von Wallenstein, la tercera forma de ataque - y la utilizada por el SEA el martes - es coger el registro de un dominio y cambiar los servidores DNS autorizados. El ataque no está en el sistema de nombres de dominio, sino en los registradores, en este caso MelbourneIT. Es el ataque que lleva más tiempo deshacer, ya que mientras se pueden realizar con bastante rapidez los cambios a los servidores DNS autorizados, los servidores DNS recursivos pueden almacenar en caché la información de un día completo a menos que los operadores realicen una purga manual.

Para grandes sitios como Twitter, el New York Times y The Huffington Post, los ISP son propensos a notar el ataque y hacer un trabajo de limpieza de las cachés de sus servidores DNS, pero si un ataque de esta naturaleza se realiza contra un sitio más pequeño podría tirarle por un día o incluso más tiempo. Y si la actividad reciente de la SEA es una guía, en el futuro podremos ver mucho más este tipo de ataques.

Artículo original: "Anatomy of a hack: How the SEA took down the NYT and Twitter" por Stacey Higginbotham

Jesus_Caceres