martes, 29 de diciembre de 2009

Mitigación de DDoS y botnets

En charla de mitigación de ataques de denegación de servicio y botnets, Rodent, de Las Vegas, que aloja irc.2600.net y Beave, fundador del Deathrow OpenVMS server, nos hablan de su experiencia mitigando los efectos de estos ataques, basados en su propia experiencia, ya que según ellos, siempre que pongas algo en Internet, te encontrarás con este tipo de ataques, y más en el caso de lo que se pone en Internet sea una BBS, un foro o un servidor dejuegos.

Resumiendo mucho la charla, las estrategias de mitigación empiezan por tener las herramientas adecuadas para hacer el trabajo que se tenga entre manos antes del ataque, y en general en Internet eso implica casi lo mismo si se trata de una BBS casera o de un ISP grande:
  • Tener las herramientas adecuadas para dar el servicio, lo cual incluye tener servidores, firewalls y conexiones adecuadas para el servicio que se quiere dar (es decir, un modem ADSL de 30€ probablemente no sirva para el trabajo, incluso si tiene OpenWRT.
  • Tener la gente adecuada para el servicio, incorporarlos gradualmente de modo que se les pueda llegar a conocer, que sean fiables, y que sean el número adecuado (ni muchos ni pocos).
  • Hay que monitorizar, tener herramientas que vigile, graben y avisen cuando hay problemas de modo automatizado.
  • Tener el soporte adecuado de los proveedores: el operador, los fabricantes de los equipos. Y ponerles a prueba, preguntarles qué van a hacer en caso de problemas y qué tiempos de resolución se pueden esperar. Y pensar en la recuperación de desastres.
Una vez ha comenzado el ataque, ellos proponen tres estrategias diferenciadas:

Aguantar el ataque

Esto en general implica mitigar el ataque en lo posible, monitorizarlo para saber cuándo se acaba y en general poner las medidas de defensa adecuadas para que el servicio siga funcionando. En este punto hay que tener en cuanta algunos matices:
  • Al igual que en muchos casos, conviene no ofrecer tratos a los atacantes. En su experiencia esto nunca funciona, ya que los atacantes no son capaces de respetar los pactos, ni siquiera entre sí.
  • Adaptar la respuesta defensiva al ataque, sin usar todas las posibilidades de defensa al principio. De este modo, se entra en una escalada de conflicto que cansa también al atacante y le hace pensar que atacar es mas difícil de lo que pensaba.
  • Hay que tener en cuenta que a veces puede ser interesante tener piezas sacrificables ("low hanging fruit"). Un servidor fácil de tirar pero que no es crítico para el servicio puede permitir al atacante sentirse vencedor sin afectar al servicio, siempre que el crea que no es así.
Reportar lo monitorizado

Esto implica que se tienen o activan los sistemas de monitorización y registro (de acuerdo con la política de privacidad que se tenga, o que hay que tener publicada), como tcpdump (pero hay que tener cuidado en la máquina en la que se hace que tenga cpu y disco duro suficiente).
Aunque reportarlo significa ponerlo en conocimiento del gobierno, agencia gubernamental o cuerpo de policía correspondiente, en general también se puede reportar también a la comunidad apropiada o los investigadores de seguridad que trabajen en ese campo (puso como ejemplo a shadowservers.org e infragard.org).

Ser proctivo

En este caso se refiere a atacar a los atacantes. Esto quizá es más fácil de decir si eres parte de 2600.net que por parte de otros, y mucho más asequible si los atacantes son simplemente aficionados o "script kiddies". Se comentan varias técnicas clásicas a utilizar:
  • Ingeniería social: casi todos los aficionados caerán ante su deseo de presumir del ataque conseguido.
  • Conocer sus métodos, y usarlos en su contra. Esto en general puede llegar a implicar aplicar ingeniería inversa a su botcode
  • Difundir los eventos, de modo que otros sepan lo que pasa (esto en general era el objetivo de la charla)
Todo ello con mucha precaución, sobre todo respecto a tu identidad si hay la posibilidad de que alguno de ellos sean profesionales. Tor es una herramienta muy adecuada para esto, ya que tiene un nivel razonablemente alto de anonimato. A este respecto, para distinguir unos de otros ha mostrado el criterio de que usualmente los kiddies usan irc, mientras los profesionales utilizan páginas web y P2P para controlar sus botnets.

No hay comentarios:

Publicar un comentario