L’apocalipsi d’Internet ara? els experts diuen que no

L’atac amplificat de DDoS del proveïdor d’allotjament web CyberBunker contra el vestit antispam del Projecte SpamHaus és una novetat important. El New York Times va pesar, com va fer la BBC. L’agència de protecció d’Internet CloudFlare va informar que l’atac augmentava fins als proveïdors d’amplada de banda de primer nivell i que un atac DDoS de 300 Gbps va alentir les connexions per a molts usuaris d’Internet. Però espera un minut. Heu experimentat un alentiment? Tampoc jo. De fet, ja són uns quants els experts que denuncien que fins i tot aquest atac més gran de DDoS no va afectar considerablement Internet en general.

Només un maleter?

Keynote Systems supervisa constantment el temps de resposta de 40 "llocs web importants per a negocis amb seu als Estats Units", que es connecten amb ells des de diverses ubicacions clau del món. El temps mitjà de resposta varia, però tendeix a romandre aproximadament en el mateix rang. I l’índex de rendiment de Keynote només mostra un lleuger cop d’ull durant l’atac.

L’expert Keynote, Aaron Rudger, va dir: "Els números no són, i això és un fet". En fer referència a un gràfic del rendiment de les darreres quatre setmanes, va assenyalar que "els agents europeus denuncien un rendiment bastant coherent i normal al llarg de tot… l'esdeveniment DDoS. Tot i això, hi ha una mica de presentació."

"Veiem", va dir Rudger, "que els agents europeus estaven passant temps de resposta més lents –fins al 40% més lents que la mitjana– entre les 8:30 i les 14:30 hores (PST) del 26 de març. És possible que l'atac de Spamhaus. podria estar relacionat amb aquesta desacceleració, però no podem estar segurs. " Rudger va assenyalar que milers de persones que transmeten el gran partit de futbol que es va produir al mateix temps podrien donar compte de la desacceleració. "Rebutja l’afirmació que l’atac va causar dies de pertorbació i va dir:" Simplement no veiem les nostres dades ".

Només Hype?

En una extensa publicació al bloc, Sam Biddle de Gizmodo fa un pas més enllà, acusant CloudFlare de superar el problema en benefici propi. CloudFlare, diu Biddle, és "responsable de l'informe meteorològic a la caiguda del cel a Internet, la part que té l'objectiu de guanyar-se directament de la seva preocupació perquè Internet, com sabem, està assetjada".

L’article de Biddle mostra gràfics de fonts independents (semblants a Keynote) que no mostren picos en el trànsit ni els dipòsits en temps de resposta. Un informe d’Amazon sobre l’allotjament de Netflix va mostrar zero interrupcions durant la setmana. Un portaveu de NTT, "un dels operadors vertebradors d'Internet", va afirmar que, mentre que un atac de 300 Gbps és massiu, la majoria de les regions tenen capacitats a la gamma Tbps, i va concloure que "em poso a punt preguntant-se si va sacsejar Internet global".

Biddle conclou que CloudFlare estava "intentant espantar els residents d'Internet pensant que eren els residents de Dresden per tal de posar-se a punt de negocis". "Si el vostre producte val una maleïda", va dir Biddle, "no haureu de mentir a Internet per vendre'l". Paraules fortes de veritat.

Llançar el problema

Adam Wosotowsky, arquitecte de missatgeria de dades de McAfee Labs, té ganes de tallar CloudFlare. Fins i tot si van superar la situació, "no hi ha cap mal". Assenyala que cridar l'atenció sobre el problema pot ajudar "a llocs allà menys preparats que no estiguin preparats per a aquest tipus de situacions simplement perquè tot el dia no estan enfocant als nius de les banyes". El fet de dir-ho significa que aquestes empreses "poden beneficiar-se de saber que el seu problema no és únic i que de fet hi ha empreses especialitzades en ajudar-les a evitar els atacs".

Pel que fa a la desacceleració, Wosotowsky va confirmar que McAfee va trobar alguns llocs web "afectats notablement". Va assenyalar que, a causa de la mida de l'atac, podria afectar "els serveis tangencials que en algun moment del seu trajecte utilitzen el mateix ample de banda".

"El fet que no es justifiqui un freak-out colossal", va dir Wosotowsky, "no redueix la importància de l'anàlisi… Des de la perspectiva de deslligar els refugis segurs per als autors de programari maliciós i botmasters, la història és realment digna."

Diner i poder

L’equip d’investigació i anàlisi global de Kaspersky Lab no va expressar cap dubte sobre la gravetat de l’atac, remarcant que "el flux de dades generat per aquest atac pot afectar nodes de xarxa intermedis quan els passa, impedint així les operacions dels serveis web normals que no tenen cap relació amb Spamhaus o Cyberbunker. " Van continuar observant que "els atacs DDoS d'aquest tipus creixen tant en quantitat com en escala".

Per què aquest augment? L’equip va assenyalar dues motivacions importants (i de vegades solapades). "Els ciberdelinqüents duen a terme atacs de DDoS per alterar les empreses en un esforç per extorsionar diners d'ells", va dir l'equip. També poden "atacs DDoS com a arma per a pertorbar organitzacions o empreses que busquen els seus propis interessos ideològics, polítics o personals". De qualsevol forma, atacs massius com DDoS poden alterar el servei per a més que l'objectiu de l'atac.

Presta atenció!

L’atac de CyberBunker va utilitzar la reflexió DNS, una tècnica que els permet enviar un paquet de dades minúscules que, al seu torn, fa que un servidor DNS tingui un paquet molt més gran a l’objectiu. En efecte, amplifica l’atac per cent vegades. Sí, hi ha altres maneres d’implementar un atac DDoS, però aquest és el BFG9000 del grup. Fer impossible la reflexió DNS seria una bona cosa.

El projecte Open DNS Resolver mostra més de 25 milions de servidors que les seves proves mostren "representen una amenaça important". Nois informàtics, pareu atenció! Els servidors DNS de la vostra empresa es troben en aquesta llista? Feu una mica de recerca i protegiu-los contra atacs com ara escomeses d’adreces IP. Tots els agrairem.