domingo, 7 de diciembre de 2008

Un nuevo tipo de ataque de fuerza bruta poco detectable

Hasta ahora era sencillo detectar los ataques de fuerza bruta. Un ataque de fuerza bruta es aquel en el que los atacantes usan diccionarios para intentar adivinar combinaciones de nombres de usuario y contraseñas.

Como estos diccionarios son muy grandes, este tipo de ataques era facilmente detectable, debido a que el atacante tenía parte de su máquina ocupada en el ataque, tendía a intentar hacer la mayor cantidad posible de ataques por segundo. Entonces esto era muy fácil de detectar por la inmensa mayoría de los firewalls.

Pero desde que se generó la tecnología para generar granjas de computadoras zombie para masificar ataques, esto está cambiando en una forma muy sutil. Para que se entienda mejor, una computadora zombie es aquella que tiene un virus, gusano o puerta trasera que permite al atacante entrar y disparar comandos desde esa máquina como si fuera desde la máquina propia.

Una granja de computadoras zombie es un conjunto de máquinas infectadas por una misma persona, con lo cual puede hacer que ese grupos de computadoras envíe spam en forma masiva, un poco cada una. También las puede usar para hostear páginas web de contenido ilegal, sin quedar el implicado. El último uso era atacar en conjunto algún servidor, generalmente con el propósito de generar una denegación de servicio debido a la cantidad de atacantes implicados.

Sin embargo, esta vez han vuelto a demostrar que algunos usan la cabeza. Usando granjas de computadoras, no las hacen atacar tontamente con pings. Las hacen atacar escalonadamente, con una ínfima parte del diccionario, a través de un periodo de tiempo relajado.

Entonces en lugar de ver montones de ataques rápidos de una sola IP, ahora se ven a decenas, centenas o miles de computadoras tranquilamente y con pausa probando cada una una combinación de usuario y clave cada cierto tiempo.

Esto es practicamente imposible de detectar por medios automáticos, se precisa una revisión manual de los logs de intentos de entrada al sistema para detectarlo. Por suerte, no todo está perdido, la gente de beginlinux posteó un método para usar iptables y la lista de spamhaus para bloquear la inmensa mayoría de estas máquinas zombie, que afortunadamente parecen venir todas de la misma zona.

No hay comentarios:

Publicar un comentario