Gusano de Morris: Conoce la historia del primer ciberataque

La alargada sombra del gusano de Morris: el primer ciberataque de la historia cumple 30 años y sigue siendo peligroso

Gusano de tierra sobre teclado de computadoraPlantearse hoy en día la magnitud de Internet puede hacer que nos explote la cabeza, pero el 1988, Robert Tappan Morris pensó que podía cuantificarlo de un modo sencillo: escribió un programa que viajaba de una computadora a otra y le pedía a cada máquina que enviara una señal a un servidor de control, que seguiría contando.

El programa funcionó mejor de lo deseado, conocido en la historia como el “gusano de Morris”, se convirtió en el primero de un tipo particular de ataque cibernético llamado denegación de servicio distribuido (DDoS), en el que se le dice a una gran cantidad de dispositivos conectados a internet, incluyendo computadoras, cámaras web y otros dispositivos inteligentes, que envíen mucho tráfico a una dirección en particular, sobrecargando con tanta actividad que el sistema se apaga o sus conexiones de red están completamente bloqueadas.

Gusanos versus virus

En aquella época cándida, nadie se protegía de los ataques informáticos, así que el programa malicioso (aunque no tuviera esa intención) campó a sus anchas, infectando a decenas de miles de sistemas, alrededor del 10% de las computadoras que se encontraban en Internet. Según Scott Shackelford, presidente del Programa Integrado de Ciberseguridad de la Universidad de Indiana (EEUU), hoy en día este tipo de ataques son cada vez más frecuentes.

Robert Morris

Robert Tappan Morris, 2008

El experto explica, en un artículo de The Conversation, que los gusanos y los virus son similares, pero diferentes en una forma clave: un virus necesita un comando externo, de un usuario o un pirata informático, para ejecutar su programa; mientras que un gusano podría, por ejemplo, enviar una copia de sí mismo a todos los miembros de una libreta de direcciones incluso sin llegar a activar nunca la computadora.

Aunque Morris no estaba tratando de destruir Internet, los efectos del gusano hicieron que lo procesaran bajo la nueva Ley de Abuso y Fraude Informático. Fue sentenciado a tres años de libertad condicional y una multa de aproximadamente 10.000 dólares. Sin embargo, a fines de la década de 1990, se convirtió en millonario, y ahora es profesor en el MIT.

La amenaza crece

Para el especialista, Internet hoy es mucho más grande, pero no más segura. Cada vez son más frecuentes los ataques DDoS. Y con más de 20 mil millones de dispositivos de todo tipo, desde refrigeradores y automóviles hasta rastreadores de actividad física, conectados a Internet y millones más conectados semanalmente, el número de fallas y vulnerabilidades de seguridad está explotando.

En octubre de 2016, un ataque DDoS con miles de cámaras web secuestradas, a menudo utilizadas para seguridad o monitores para bebés, cerró el acceso a una serie de servicios de Internet importantes a lo largo de la costa este de los Estados Unidos, y este fue el final de una serie de ataques cada vez más dañinos utilizando una red de bots, o una red de dispositivos comprometidos, que fue controlada por un software llamado Mirai, controlado por tres estudiantes universitarios.

Las herramientas actuales siguen sin ser suficientes, y tampoco lo son las leyes y regulaciones en la materia, lamenta Shackelford. Pero a raíz del gusano Morris, la Universidad Carnegie Mellon (EE.UU.) estableció el primer Equipo de Respuesta de Emergencia Cibernética del mundo, que se ha replicado en el gobierno federal y en todo el mundo. “Algunos responsables de la formulación de políticas hablan de establecer una junta nacional de seguridad de la ciberseguridad para investigar las debilidades digitales y emitir recomendaciones, como lo hace la Junta Nacional de Seguridad del Transporte ante desastres en aviones”, explica Shackelford.

Además, otras organizaciones están tomando medidas preventivas, adoptando las mejores prácticas en seguridad cibernética a medida que construyen sus sistemas, en lugar de esperar a que ocurra un problema y tener que acarrear las consecuencias de un malware que nació sin mala intención pero que amenaza la buena salud de Internet.

 

 

 

Redactado por Markus Spiske

Publicado originalmente en: https://nmas1.org/news/2018/11/05/Morris-gusano-ciberataque-tecnol

Sobre N+1: Es la primera revista online de divulgación científica y tecnológica que permite la reproducción total o parcial de sus contenidos por medios de comunicación, bloggers e influencers, realizando la mención del texto y el enlace a la web: “Esta noticia ha sido publicada originalmente en la revista N+1, ciencia que sumawww.nmas1.org”.​​​​​​
leer más
Isaul CarballarGusano de Morris: Conoce la historia del primer ciberataque

Ghost Squad se proclama autor del hackeo de Youtube de ayer

¿Te quedaste sin Youtube? El grupo de ciberataques “Ghost Squad” se responsabiliza por la interrupción de Youtube

Ilustración de Youtube hackeada

  • Conocido grupo de hacktivistas clama autoría del hackeo de Youtube en Twitter
  • Ghost Squad no ha mostrado evidencia de su afirmación
  • El hackeo podría estar relacionado con la censura reciente en Youtube de material que consideran controvertido

Un grupo de hacktivistas se responsabilizó por la interrupción del servicio que provocó la caída de YouTube anoche.

Los hackers de Ghost Squad se jactaron de sus hazañas en Twitter. Hasta el momento no han proporcionado ninguna prueba de que estuvieran detrás de la interrupción.

El grupo de hackers ha atacado previamente a CNN, ISIS y a los gobiernos de Afganistán e Israel, pero hasta ahora no ha proporcionado ninguna prueba de su último reclamo.

Los fanáticos de YouTube en Europa, EEUU Y sudamérica se quedaron sin poder visitar su sitio favorito después de que el popular sitio web para compartir videos dejara de funcionar durante más de una hora.

Google, empresa dueña de Youtube, fue muy escueta respecto a las causas de la interrupción en su servicio, publicando solamente en Twitter que estaban trabajando en resolver el problema. Hasta el momento, nadie más ha reclamado la autoría.

¿Qué es el Ghost Squad?

El colectivo de hackers conocido como Ghost Squad Hackers se ha hecho responsable de la desaparición momentánea de YouTube.

“Youtube fue derribado por Ghost Squad Hackers”, dijeron esta mañana a través de su cuenta de Twitter.

Lamentablemente, el grupo hacktivista no proporcionó más comentarios sobre lo que afirma haber hecho, y ningún tipo de prueba de que sus afirmaciones sean ciertas.

Aún así, tiene una historia bien documentada de ataques contra grandes organizaciones, agencias gubernamentales, el Ku Klux Klan y el Estado Islámico (también conocido como ISIS o EI), por lo que su alarde es al menos creíble.

En 2016, lanzó una campaña coordinada contra CNN y otros medios de comunicación estadounidenses, trabajando en conjunto con otros hacktivistas anónimos para lanzar ataques de denegación de servicio (DDoS por sus siglas en inglés Distributed Denial of Service) en sitios web de noticias.

En el mismo año, modificó 12 sitios web del gobierno afgano y también eliminó sitios web pertenecientes al Banco de Israel y al Primer Ministro israelí.

Actualmente, no hay ninguna indicación de por qué los hackers de Ghost Squad podrían haber querido apuntar a YouTube.

¿Cómo funciona un ataque DDoS?

A lo largo de su corta existencia, de casi tres años, su táctica preferida ha sido el ataque distribuido de denegación de servicio (DDoS). Asumiendo que sus afirmaciones son ciertas, es razonable asumir que ellos fueron quienes derribaron a YouTube anoche.

En un ataque DDoS, los piratas informáticos utilizan cientos de miles de direcciones IP para bombardear el sitio web víctima con niveles de tráfico inmanejables, lo que provoca una saturación en el hosting u hospedaje, y por ende en el servicio.

Si el nivel de tráfico es lo suficientemente alto, esto hará que el sitio web caiga, ya que no podrá procesar todas las solicitudes que reciba.

Pero suponiendo que los hackers de Ghost Squad están detrás de la interrupción, lo que es más esquivo es su motivación.

Según informes, sus ataques anteriores han sido motivados por motivos políticos, como la indignación por la producción de opio en Afganistán y el trato de Israel a los palestinos.

Sin embargo, sin proporcionar más detalles sobre su presunto ataque de YouTube, es difícil decir por qué pueden haber apuntado al popular sitio.

Posiblemente, sus motivaciones podrían girar en torno a las percepciones de que YouTube censura injustamente algunos videos. Ha habido algunas acusaciones recientes a Youtube por remover contenido que ellos consideran controvertido.

YouTube se ha negado a confirmar la causa de la interrupción del servicio al momento.

leer más
Isaul CarballarGhost Squad se proclama autor del hackeo de Youtube de ayer

Brasileño descubre un error que permite ataques DDoS extremos

Oracle acaba de publicar una actualización de seguridad para evitar que más de 2 millones de servidores que utilizan el servicio RPCBIND sufran posibles tipo DDoS amplificados

Gráfico ataque DDoS

  • Hay 2.6 millones de servidores usando el servicio RPCBIND
  • La falla en los servidores RPCBIND de Orcale permitiría ataques DDoS de hasta 69 GB por segundo

La falla que permite esta exploración fue descubierta por el investigador brasileño Mauricio Corrêa, fundador de la empresa gaúcha de seguridad XLabs Security.

Una exploración de este fallo tiene el potencial de causar grandes problemas en Internet, asegura Mauricio. “Una prueba de concepto (POC) hecha en sólo un servidor de XLabs generó un tráfico de 69 gigabits por segundo”, dijo a Cibersecurity.net.br.

En el primer día de este descubrimiento, el buscador Shodan indicaba la existencia de casi 2.6 millones de servidores usando el servicio RPCBIND. La multiplicación de ese exploit en un parque de 2,6 millones de servidores lleva a una conclusión aterradora.

¿Qué es la utilidad RPCBIND?

RPCBIND es el software que proporciona a los programas-clientes la información que necesitan sobre los programas de servidores disponibles en una red. Se ejecuta en el puerto 111 y responde con direcciones universales de los programas de servidor, para que los programas cliente puedan solicitar datos a través de RPC (llamadas de procedimiento remoto).

Estas direcciones se forman por el conjunto IP del servidor más puerto. Desde su lanzamiento, el RPCBIND recibe actualizaciones que cubren varias fallas, entre ellas las de seguridad. Esta, sin embargo, es el más grave descubrimiento hasta ahora.

El descubrimiento de la falta comenzó el 11 de junio de este año. En aquel día, una de las WAFs (web application firewalls) instalada en el SOC (seguridad de operaciones de seguridad) de XLabs detectó un patrón anormal de tráfico en la red que llamó la atención de Mauricio.

Los datos mostraban que había un ataque DDoS en marcha, venido de la puerta 111 de varios servidores, todos de otros países. “Decidimos entonces abrir un servidor con la puerta 111 expuesta en Internet, con las mismas características de aquellos que nos atacaban y seguimos monitoreando ese servidor durante semanas.

“Acabamos descubriendo que él estaba recibiendo peticiones para generar ataques”, explicó. Después de un análisis más profundo del asunto, fue posible reproducir el ataque en laboratorio. “Al analizar en el Shodan los servidores expuestos, se confirmó la extensión del problema”, añade Mauricio.

El problema descubierto por Mauricio es peor que el Memcrashed, detectado en febrero de este año. En este tipo de ataque distribuido de denegación de servicio (DDoS), existe una amplificación del tráfico con el uso de memcached, un servicio que no requiere autenticación, pero que ha estado muy expuesto en Internet por administradores de sistemas inexpertos. El servicio gira en el puerto UDP 11211 y su explotación por cibercriminales ya generó tráfico de 260GB según mediciones de la empresa Cloudflare.

Después de elaborar la POC (prueba de concepto), Mauricio informó el problema del área de seguridad de Oracle, ya que el RPCBIND es una solución originaria de Sun, que fue adquirida por la empresa en 2010. Envió la información para que los expertos de la empresa pudieran confirmar y evaluar el problema. La vulnerabilidad entró en el catálogo general y ganó el código CVE-2018-3172.

La versión original del post está disponible en el blog del autor: Paulo Brito.

 

leer más
EditorialBrasileño descubre un error que permite ataques DDoS extremos