Pensemos
por un momento el coste en tiempo que ha de invertir un delincuente en fabricar
su botnet. Primero necesita infectar una gran masa de usuarios, luego va a
precisar de un troyano y un agente que permanezca residente en los equipos de
las víctimas y por supuesto una infraestructura para coordinar todos los nodos
de la involuntaria red. A todo esto hay que sumarle el factor tiempo.
Una botnet requiere de un
mantenimiento, actualizaciones periódicas y sostener su población, siempre en
caída, por culpa de los amigos informáticos y administradores precavidos. Por
supuesto, luego está la competencia y la poca facilidad que tiene el mercado
para anunciar sus servicios en canales establecidos ("Se alquila botnet a
buen precio, rebajas a grupos. Razón aquí."). Eso es una verdadera
inversión en I+D, ingeniería social, arquitectura distribuida y marketing, no
está al alcance de cualquiera. Complejo ¿verdad?
El verano pasado, Jeremiah
Grossman y Matt Johansen de White Hat Security, dieron una charla en la Black Hat USA sobre lo
fácil y relativamente barato que podría resultar un ataque de denegación de servicio
distribuido inyectando Javascript o HTML especialmente "horneado", de manera legal, a
través de las redes de publicidad en linea (léase, AdSense y otros). Esto es
así, pagas, metes tu código en la red publicitaria y te sientas a ver como cae
la víctima.
El código Javascript incluiría un
bucle para generar visitas continuas mientras esté cargada la página. Una vez
el visitante cierra el navegador o pestaña deja de "atacar". Es una técnica sigilosa, ya que no deja huella puesto
que no hay infección. Ellos advirtieron del peligro, un vector interesante,
silencioso y bastante barato.
Hace unos días, en el blog deIncapsula, escribían una crónica sobre un peculiar ataque DDoS que afectó a uno
de sus clientes. Esto no es ninguna novedad, este tipo de ataques se sufre a
diario, algunas veces como parte de una estrategia, como método de chantaje o
simplemente como protesta. Lo novedoso procedía de como se había generado un tráfico
de 20 millones de peticiones desde 22.000 navegadores, cifras de Incapsula.
El origen: No revelan el domino,
pero Incapsula habla de un sitio dentro del top 50 de Alexa cuyo modelo de
negocio se basa en el contenido de vídeo. Estar en el top 50 de Alexa asegura
tráfico, mucho tráfico, tanto que podría generar una condición de denegación de
servicio si un tercero recibe referencias directas desde este sitio, algo
parecido al efecto Slashdot.
Los atacantes encontraron una
vulnerabilidad de Cross-site scripting (XSS) almacenado en dicho sitio. Esto
les permitía dos cosas: Inyectar código Javascript y que este código
permaneciera en el servidor, sin necesidad de distribuirlo en un enlace o
formulario, esperando que alguien visitase la página donde carga dicho script.
En dicho caso, les permitía inyectar código en una etiqueta "img"
asociada al perfil del usuario.
Cada vez que alguien visitaba un
vídeo colgado por este perfil (de los atacantes, obviamente) cargaba un script
dentro de un iframe invisible que comenzaba a generar visitas hacia el sitio
que querían tirar. Tal y como dicen los de Incapsula, visitar un perfil y salir
dura unos segundos, pero ¿Cuantas visitas podrían generarse cuando se está viendo
un vídeo de varios minutos?.
Como vemos no hace falta una gran
inversión intelectual, de tiempo y dinero para crear una herramienta útil para
atacar. Los atacantes unieron de una manera simplista pero muy efectiva varios
conceptos sencillos: una vulnerabilidad que permitía ejecutar código arbitrario
en el cliente, un sitio con un gran tráfico y algo de ingeniería social ¿Un
vídeo turbio quizás? (No preguntéis, efectivamente está en el top 50 de Alexa).
David García
Twitter: @dgn1729
