60 - Ataques a las bases de Internet - 10/02/2007


Autor: Lic. Cristian F. Borghello

http://www.segu-info.com.ar

¿Cómo funciona Internet?. ¿Quién la administra? ¿Dónde está la palanca para encenderla y apagarla?.
Estas preguntas pueden sonar graciosas pero las he escuchado a todas y tienen una respuesta: los 13 servidores de raíz distribuidos por diversos lugares del mundo (bueno, más o menos).

Según esta distribución [1], los 13 servidores nombrados como LETRA.root-servers.net (donde LETRA se refiere de la A a la M) se ubican de la siguiente manera:

Costa Oeste de EE.UU.

  • 4 en California (B, E, F, L)
  • Costa Este de EE.UU.
  • 4 en Virginia (A, C, G, J)
  • 2 en Maryland (D, H)

Europa

  • 1 en Londres, Inglaterra (k)
  • 1 en Estolcomo, Suecia (I)

Asia

  • 1 en Tokio, Japón (M)

En nuestro Boletín 74 [2] se vio una introducción a los DNS [3], lo que resulta necesario comprender para llegar a la explicación de porque "sólo" 13 servidores establecen las bases de Internet y su funcionamiento.

Además también resulta útil la lectura de las RFCs 1034 y 1035 [4] que definen el funcionamiento actual de los DNS.

En forma simple se trata de una gran base de datos utilizada (entre otros fines) para resolver un nombre de dominio a una dirección numérica (IP).

De estos 13 servidores dependen (en forma de árbol) todos los millones de dominios existentes actualmente en Internet, siendo la raíz de estos sitios los dominios de primer nivel (TLD-Top Level Domains) correspondientes a los globales (.com, org, .net, .biz, etc) o a los particulares de cada país o región (.ar, .es, .cat, etc) [5].

Cómo es fácil de adivinar si estos servidores vieran interrumpido su servicio de forma accidental o intencional, la actual existencia de Internet se vería "fuertemente afectada".

Digo "fuertemente afectada" ya que se podría seguir accediendo a los sitios mediante la utilización directa de las direcciones IPs. No es necesario exagerar y decir que "sería el fin de Internet".

¿Cuáles serían los beneficios de causar tal desastre?. Esa es una pregunta que no puedo responder y quizás abría que hacérsela a los responsables de realizar los ataques en octubre de 2002 [6] y el reciente 5 de febrero [7].

Según algunos expertos el usuario final no notaría falencias en el servicio siempre que se asegure el funcionamiento de 5 servidores.

Esto también abre el debate, que no trataremos aquí, sobre la distribución de los mismos y la notable supremacía de EE.UU. en su control (10 de 13), lo que puede explicarse cuando se piensa en que este país fue su principal "difundidor" allá por los '70.

Si bien no se conocen demasiados detalles sobre estos ataques se sabe que el reciente ataque [7 y 8] aparentemente se habría realizado mediante la utilización de botnets [9].

Estas redes pueden tener decenas a millones de equipos conectados y se logran mediante la infección (gusanos y troyanos) de equipos de usuarios finales (equipos zombies).

Como podemos apreciar mediante la sencilla relación de dos problemas, aparentemente aislados, podemos llegar a otro meollo de un problema mucho más grande:

  1. El usuario se infecta, algo a lo que no se le da importancia porque "la solución es sencilla": formatear el equipo.
  2. El creador de la botnet (botmaster) ubicado en algún lugar remoto dispone de miles de equipos que puede controlar a voluntad.
  3. El botmaster decide (entre otras acciones) realizar ataques de DDoS [10] contra los servidores raíz.
  4. Los servidores raíz dejan de responder y por ende se afecta el funcionamiento global de Internet.

Si bien esto puede parecer exagerado, la realidad indica que no lo es.

El poder que se logra con la distribución de un ataque y con la disposición de millones de equipos es insospechable.

El objetivo de este artículo es hacer pensar sobre una frase que suena trillada y sin importancia: "Internet somos todos" y lo expuesto lo demuestra.

Todos somos responsables de su funcionamiento y todos podemos ser responsable de su falta. Tomemos conciencia que la seguridad de nuestro equipo puede afectar Internet, siendo parte de un ataque de este tipo.

[1] Distribución de los 13 servidores raíz
http://www.quands.cat/misc/websf1.gif
http://en.wikipedia.org/wiki/Root_nameserver

[2] DNS: Boletín 74 punto 3
http://www.segu-info.com.ar/boletin/boletin_061209.htm

[3] DNS: Domain Name System
http://es.wikipedia.org/wiki/Domain_Name_System

[4] RFCs 1034 y 1035 que definen DNS
http://www.ietf.org/rfc/rfc1034.txt
http://www.ietf.org/rfc/rfc1035.txt

[5] Dominios de primer nivel
http://en.wikipedia.org/wiki/Top-level_domain
http://en.wikipedia.org/wiki/Generic_top-level_domain
http://en.wikipedia.org/wiki/Country_code_top-level_domain
http://en.wikipedia.org/wiki/List_of_Internet_top-level_domains

[6] Ataques a servidores raíz de DNS
http://www.hispasec.com/unaaldia/1464

[7] Atacan los cimientos de Internet
http://seguinfo.blogspot.com/2007/02/varios-hackers-atacan-los-cimientos-de.html

[8] Ataques del 05 de febrero de 2007

http://dnsmon.ripe.net/dns-servmon/domain/plot?domain=root&tstart=1170691200&tstop=1170863999

[9] Botnets
http://es.wikipedia.org/wiki/Botnet

[10] DDoS
http://es.wikipedia.org/wiki/DDoS

Buenos Aires, 10 de febrero de 2007

Con más de 24 años de experiencia compartiendo la mejor información de Seguridad

Contacto