Es tema de estos días, los ataques de hackers a conocidos sitios de Internet, como Yahoo!, CNN, Amazon, eBay, ZDNet y otros. Y como muchas otras veces, la noticia se ha ampliado a términos que hablan casi de "estado de guerra". Es cierto que las pérdidas en dinero de estas empresas es grande, pero como simples usuarios, debemos saber exactamente de que se trata, y si constituye un riesgo para nuestros PCs.
El tipo de ataque es el llamado en inglés "Denial Of Service" (D.o.S), algo como "Denegación de servicio", y realmente no provoca un daño en los PCs, ni tampoco significa un compromiso de seguridad para los sistemas involucrados, ya que no modifica ni extrae nada de las máquinas atacadas. Simplemente se envían una sucesión de datos en tal cantidad y con tal cadencia, que provocan la imposibilidad de responder a la máquina atacada, ocasionando en el caso de los servidores, la imposibilidad de acceder a ellos.
Pero un D.o.S tampoco es algo nuevo, existen formas de provocar esto en una simple máquina que ejecute Windows 95/98 mientras esta se encuentre conectada a Internet. Una máquina que puede ser la nuestra, y que solo provocará su cuelgue, con el único riesgo de pérdida de información no grabada, sin ningún otro daño a nuestra seguridad.
Pero no necesariamente un hacker puede ser el culpable. Existen diversas "herramientas" que permiten hacer esto en forma masiva. Programas como trin00 y Tribe Flood Network (TFN) pueden hacer caer una red entera generando un tráfico insoportable para ser atendido. Este tráfico puede originarse en muchas máquinas diferentes, y puede manejarse en forma remota mediante un programa que hace de cliente. El problema serio en esto, es que es difícil protegerse de estos ataques.
Además de los mencionados, en los últimos meses se han agregado dos nuevas herramientas a la lista: TFN2K y Stacheldraht. Ambas están basadas en los anteriores.
Un atacante puede instalar cualquiera de estos programas (trin00, TFN, TFN2K, o Stacheldraht) en cientos de computadoras (hasta podría ser la nuestra en algún caso) y dirigirlos simultáneamente para comenzar un ataque contra cualquier posible víctima. Como el ataque es simultáneo y desde diferentes ubicaciones, lo hace más peligroso que cualquier ataque a una sola PC.
Es claro que una de las pocas maneras (sino la única) para evitar esto, es mantenerse al día en materia de antivirus y seguir una conducta estricta de seguridad.
Esta es una descripción de algunas de estas herramientas, las que las actualizaciones más recientes de antivirus reconocen como trojans.
Solo funciona en máquinas con sistemas Linux y Solaris, como un "demonio", un programa que se ejecuta e intercepta ciertas acciones. Las redes con trin00 instalado, probablemente sean centenares. Y el acceso a estos sistemas puede hacerse por medio de "backdoors". Uno de los primeros ataques conocidos fue realizado el 17 de agosto de 1999 para saturar el sistema de computadoras de la universidad de Minnessota, dejándolo inutilizable por dos días.
La forma de "insertar" esta herramienta en un sistema, es generalmente por
los mismos medios que un trojan.
El TFN2K consta de un cliente y un servidor. El cliente puede ser dirigido para conectarse a un servidor maestro, y de esa forma puede ser usado para realizar ataques especificados contra una o más máquinas de la víctima. Las órdenes se envían dentro de los paquetes ICMP, UDP y TCP. Estos datos están encriptados. Se pueden usar puertos TCP/UDP y direcciones IP al azar. El sistema también puede mandar como "señuelos" paquetes a máquinas que no son el blanco designado, haciendo más difícil descubrir el origen de los ataques.
TFN2K puede ejecutarse en Linux y Solaris, además de Windows.
Consiste en tres partes: el server principal, el cliente, y un programa agente.
El cliente se conecta al server maestro por los puertos 16660 o 60001. El paquete está encriptado con una contraseña predefinida: "sicken" (enfermo), que puede ser cambiada si se examina el código. Después de ingresar la contraseña, un atacante puede usar al cliente para manejar los "Agentes" del Stacheldraht, usar las IP de las víctimas del ataque, listar los servidores principales, y por supuesto realizar ataques D.o.S contra las máquinas que se especifiquen.
El servidor principal maneja toda la comunicación entre el cliente y el agente. Escucha por los puertos 16660 o 60001 para conectarse con el cliente. Cuando un cliente se conecta, espera por la contraseña antes de devolver información sobre el agente y de dar las órdenes necesarias para el ataque.
El agente escucha por estas órdenes, en el puerto 65000. Además de este puerto, pueden usarse las comunicaciones servidor/agente usando paquetes ICMP. Los paquetes de ICMP actúan como un "latido del corazón" entre el agente y el servidor maestro, y pueden ser usados para que el agente descargue una versión mejorada, así como para realizar el ataque masivo a las máquinas designadas.
Los ataques pueden ejecutarse por un tiempo especificado, y pueden ser dirigidos a un determinado juego de puertos especificados. Estos inundan de información a la máquina atacada, reduciendo su velocidad y gastando todo su ancho de banda.
Stacheldraht se ejecuta en Linux y Solaris.
En concreto, un atacante debe localizar primero aquellas máquinas vulnerables generalmente por errores de seguridad e instalar un "demonio" en cada una de ellas. Ese programa recibirá las órdenes de un servidor maestro, y de ese modo realizará uno o varios ataques D.o.S simultáneos a una víctima predeterminada.
Con esto debe estar claro que una simple persona puede ocasionar el mismo ataque desde decenas de sitios diferentes. Y con algunas de estas herramientas, ni siquiera necesita ser un experto.
Como vemos, no es fácil prevenir estos ataques. Por lo que debemos concentrarnos en la conducta de seguridad a mantener en nuestras redes. Esto debe ser una llamada de alerta en ese sentido, y tal vez en esta ocasión, el sensacionalismo conque mucha prensa ha tomado el caso, haga abrir los ojos a aquellos administradores y usuarios comunes, que no toman la seguridad como algo serio para sus PCs.
Y definitivamente, un ataque "Denial Of Service" no es necesariamente obra de hackers. Cualquiera puede hacerlo con estas "herramientas", tan peligrosas como otros backdoors (puertas traseras), y por lo tanto identificados por los antivirus actualizados.