Las redes sociales y los servicios populares en línea están siendo utilizados por los hackers para extender y aumentar las amenazas digitales, en especial los ataques de Denegación del Servicio (DDoS) que pueden ser amplificados y reflejados de una forma significativa y masiva.
Cada día escuchamos numerosos incidentes de seguridad perpetrados por hackers que inundan las redes corporativas mediante ataques DDoS; lo que no sabíamos hasta ahora, es que los cibercriminales están comenzando a utilizar Facebook para vincular ‘cargas’ con cuentas falsas; así las cosas, hay incidentes reportados donde un hacker logró crear una inundación de 400 MB utilizando únicamente Facebook Mobile, la versión para smartphones y tabletas de la popular red social.
Este nuevo ataque vía Facebook es similar a los ataques DDoS realizados en Google Docs reportados hace un par de años cuando las hojas decálculo elaboradas mediante Google Docs eran utilizadas como un arma de DDoS. Estos tipos de ataques utilizan un enlace web, o una lista de enlaces web o URLs que actúan en conjunto con las Redes de Despacho de Contenidos (CDN) para inundar los servidores con tráfico masivo de datos.
¡Pero cuidado! este tipo de ataques no solo pueden realizarse con Facebook y Google; los hackers han comenzado a amplificar sus fechorías mediante Yahoo! al cargar vínculos utilizando su programa de email. Así las cosas, al componer un mensaje es posible pegar links en el cuerpo del mensaje y el sistema automáticamente carga los links mostrando una vista previa. De esta forma es muy fácil pegar un enlace, pulsar Enter, pegar otro, pulsar Enter y así sucesivamente Yahoo! irá mostrando el contenido del link y ajustando el tamaño de las imágenes. Los hackers pueden automatizar este proceso mediante un guión en el navegador tal y como lo hace Grease Monkey; también pueden enlazar estos vínculos con ‘notas’ en Facebook en un esfuerzo por amplificar el daño.
Si se está preguntando ¿Cómo puede un hacker combinar estos ataques? ¡Fácil! En primer lugar, el atacante crea una Nota en Facebook con 1,000 URLs; luego, carga un guión para golpear ese archivo de nota utilizando WordPress Pringback. Posteriormente, coloca lista de URLs en Google Docs para que cargue cada hora, y luego inicia la amplificación de los enlaces mediante Yahoo Mail, que previsualiza el contenido de cada uno y los regresa. Por el procedimiento, uno nota que es fácil crear una cadena de atentados y combinarlos con varios reflectores para golpear insistentemente a varios sitios web corporativos.
Este tipo de ataques puede implementarse fácilmente desde una red pública Wi-Fi (un aeropuerto, centro comercial, cafeterías, restaurantes) que ofrece el anonimato como una gran cubierta para el atacante, y debido a que estos servicios en línea hacen parte de ‘listas negras’, los ataques pueden pasar desapercibidos y mucha veces son confundidos con un error o un bug.
La dificultad en la lucha contra este tipo de ataques es que a menudo, se elige la solución incorrecta. Los servicios DDoS que requieren que Usted filtre el tráfico desde su centro de datos hacia ellos para ‘limpiar’ el tráfico son costosos y sólo debe utilizarse para casos de emergencia. Los ataques de reflexión de red a menudo requieren este tipo de servicio de emergencia. Mientras tanto, las peticiones HTTP procedentes de Google, Facebook o WordPress tienden a ser clasificados como tráfico legítimo, por lo que es difícil mitigar ataques procedentes de estos sitios.
En la actualidad, existen soluciones DDoS híbridas que se combinan para compartir la señales de los ataques y detener las amenazas. Si Usted está interesado en conocer más acerca de las soluciones de detección y mitigación de ataques DDoS, le recomiendo que lea este White Paper.
Por Fernando Santos, Director Regional-CALA, Radware