Escrit per Miguel Angel Hervella el 2017.01.10 a les 17:25:16
(Country Information Security Officer Deutsche Bank)
Havia de succeir. Els experts en seguretat havien avisat fa temps del risc de connectar més i més dispositius a Internet, sense els controls de seguretat adequats.
El 21 d’octubre passat es va produir la notícia que s’havia efectuat un atac de denegació de servei a certes webs de renom mundial, incloses PayPal, Twitter, Amazon, Netflix i Spotify, que les va deixar sense servei durant unes hores. La diferència respecte a altres casos similars, era que s’havien utilitzat càmeres i gravadores de vídeo connectades a Internet com a emissors de trànsit. Aquest atac es va concentrar a Nord Amèrica i es va identificar com a autor a un botnet denominat Mirai. (Un botnet és un conjunt de dispositius informàtics infectats, que executen de manera autònoma i automàtica ordres rebudes des d’un control central)
El segon acte, més recent, ha involucrat a proveïdors d’accés a Internet de diversos països.
Dissabte 26 de novembre, més de 900.000 usuaris dels 20 milions de clients residencials de Deutsche Telekom, es van adonar que el servei de televisió, Internet i telefonia fixa del seu domicili havia deixat de funcionar. Després de reportar a l’operadora el que creien era un problema tècnic, Deutsche Telekom els sol·licitava que reiniciessin els routers i seguissin un procediment per actualitzar el programari dels mateixos. La major part dels usuaris van passar aquell dissabte sense servei.
Tots els clients afectats, tenien uns models de routers que eren vulnerables a una fallada del protocol que utilitzen els operadors per gestionar els routers dels domicilis de manera remota. Un cuc de l’Internet de les coses buscava dispositius a Internet que tinguessin aquesta vulnerabilitat i aprofitant-se de ella passava a prendre control dels mateixos, dificultant el seu funcionament habitual. Per sort o causa d’un error de disseny del cuc informàtic, el router deixava de funcionar i per tant alertava a l’usuari que alguna cosa havia passat. Si no hagués estat aquest el cas, el més probable és que tots aquests dispositius passaran a formar part del botnet sense que es detectés inicialment.
Deutsche Telekom no va ser l’únic proveïdor de serveis afectat. S’ha confirmat l’existència de dispositius vulnerables en altres països, incloent Brasil, Regne Unit, Turquia, Iran, Xile, Irlanda, Tailàndia, Austràlia i Argentina.
Aquest va ser un intent dels operadors del botnet Mirai, per incrementar el nombre de dispositius controlats que els permeten llançar atacs de denegació de servei a webs a Internet. Quan un negoci a Internet rep aquest tipus d’atacs, difícilment pot detenir només amb la infraestructura instal·lada. I llavors han de contractar serveis especials de protecció o acceptar les condicions d’extorsió, econòmica la majoria de les vegades, que els imposa l’atacant.
Aquest tipus d’atac, denominat habitualment crim com a servei es pot contractar a l’Internet fosc amb garanties fins i tot de devolució si no s’aconsegueix l’efecte desitjat.
Què passarà la setmana que ve?
Es calcula que a dia d’avui el botnet Mirai té sota el seu control més de 3 milions de dispositius de l’Internet de les coses (IOT).
S’espera que per al 2020 hi ha 38 mil milions de dispositius connectats a Internet de les coses. Que la força ens acompanyi.
Miguel-Angel Hervella
CISO DBSAE