Log in
logo

COUNTERING CYBER THREATS

barra-separadora
Los sitios Web del Gobierno estonios y de otros organismos de esta república báltica han sido víctimas de ataques de denegación de servicio desde el pasado 27 de abril, día en el que fue retirada la estatua del "Soldado de Bronce", monumento soviético de la Segunda Guerra Mundial.

Las demostraciones agresivas de Rusia hacia Estonia, como consecuencia del denominado caso del "Soldado de Bronce" (monumento soviético conmemorativo de la guerra mundial), no se han limitado a las manifestaciones de nacionalistas en las calles de Tallin o al bloqueo de la Embajada estonia en Moscú. Los sitios Web del gobierno estonios y de otros organismos de esta república báltica han sido víctimas de ataques de denegación de servicio (también denominado ataque DoS, de las siglas Denial of Service, y que consiste en un ataque a un sistema de ordenadores o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima) desde el pasado 27 de abril, día en el que fue retirada dicha estatua.
El primer sitio web golpeado, al parecer, fue el del Partido Reformista, del Ministro de Asuntos Exteriores, Urmas Paet. Su página de inicio fue reconstruida por crackers, aunque, afortunadamente fue repuesta rápidamente. Sin embargo, una semana después, los ataques fueron en aumento y entre los objetivos se incluyeron todos los Ministerios estonios, a excepción del de Cultura y Agricultura. Más adelante, los atacantes ampliaron sus operaciones a los sitios web de las compañías del país, con lemas antiestonios en dichas páginas.
Según Mikko Hyppönen, Jefe de Investigación de antivirus en la firma F-Secure, modificar el código fuente de un sitio y extener la desinformación son armas eficaces en el arsenal de cualquier atacante. "Atacando a un servidor es posible acceder a datos que pueden modificarse a tu conveniencia. Si alguien entra, supongamos, en las páginas del Presidente y pone algo calumnioso, será inmediatamente localizado. Sin embargo, si se realizan ajustes más sutiles del contenido de un comunicado de prensa, por ejemplo, o se modifican sólo algunas palabras, tardará mucho más tiempo en ser notado el ataque", manifiesta Hyppönen.
En el caso de los sitios ministeriales estonios, el mayor problema vino por ataques de denegación de servicio distribuido o DDoS (Distributed Denial of Service), una ampliación del ataque DoS, que se efectúa con la instalación de varios agentes remotos en muchos ordenadores que pueden estar localizados en diferentes puntos. El invasor consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del flood o saturación de información. Esta técnica se ha revelado como una de las más eficaces y sencillas a la hora de colapsar servidores.
Este hecho no es excepcional, incluso puede ser involuntario. Por ejemplo, en el momento de los ataques contra las Torres Gemelas de Nueva York, en septiembre de 2001, las páginas realizadas por la CNN sólo podían ser leídas en el formato de texto, porque la amplitud de banda era insuficiente para los millones de personas "hambrientas" de noticias. "Una inundación artificial puede ser generada por un número relativamente pequeño de máquinas, a las que se instruye para tener acceso a ciertas páginas. Sólo unas máquinas y un servidor pueden ser suficientes, si son programados correctamente", explica Hyppönen.
Hoy en día, las crisis en el mundo se hacen visibles en el ciberespacio casi inmediatamente. Sirva de ejemplo, que en marzo de 2003, cuando comenzó la guerra de Iraq, se realizaron miles de ataques DoS perpetrados en servidores estadounidenses, británicos y árabes, vistos como enemigos virtuales por los atacantes.
Un DoS no es ninguna cruzada individual dirigida desde un cibercafé. Tal incursión sería fácil rechazar filtrando o prohibiendo todo el tráfico de una dirección IP dada o de un país. Sin embargo, la defensa se hace muy complicada cuando hay decenas de miles de máquinas atacando desde distintos puntos del planeta, como es el caso.
Pese a que en una entrevista concedida por el ministro de Justicia de Estonia, Rein Lang, éste afirmó que los ataques contra servicores del gobierno estonios los días 29 y 30 de abril podrían haber sido dirigidos desde dirección IP de Moscú, Hyppönen no lo cree. "En la práctica sólo hay una dirección IP que conduce a un ordenador gubernamental. Por supuesto, podría haber sido lanzado un ataque desde allí, pero también podría ser que la persona que estuviese detrás fuera el hijo de algún funcionario". De hecho, Hyppönen considera que si la Federación Rusa hubiese querido atacar de verdad a los servidores estonios, éstos habrían bajado en masa y se habrían quedado paralizados durante un gran período de tiempo.

¿De dónde provinieron los ataques y quién estaba detrás de ellos?

Según Hyppönen, las incursiones fueron realizadas por botnets, software robots, o bots (un programa informático que realiza muy diversas funciones imitando a los humanos), que se ejecutan de manera autónoma (normalmente es un gusano que corre en un servidor infectado con la capacidad de infectar a otros servidores), de tal forma que el artífice de la botnet puede controlar todos los ordenadores/servidores infectados de forma remota y normalmente lo hace a través del IRC (Internet Relay Chat).
Esta misma técnica se usa para extender el spam ilegal vía correo electrónico. "Se puede mandar que ordenadores que han sido asimilados en un botnet simultáneamente envíen una gran cantidad de tráfico a una dirección de Internet dada. Es muy difícil defenderse contra esta clase del ataque." Otra forma de realizarlo es a través de entusiastas que lanzan ataques desde sus propios ordenadores personales y con sus propios nombres. "Pueden ser rusos o rusos-estonios que quieren ser parte del movimiento antiestonio, pero que viven demasiado lejos para manifestarse en las calles. Son inducidos a realizar este tipo de acciones desde determinados foros de discusión, en los que se les informa de cómo bombardear ciertos sitios web"
En estos casos también se ofrecen direcciones de correo electrónico de funcionarios ministeriales a los que bloquear a través del spam. Incluso, entre sus objetivos potenciales figuraron bancos extranjeros que operan en Estonia.
Sin embargo, esto no significa de ningún modo que todos los atacantes sean niños entusiastas que lo hacen desde su habitación. Uno de los agitadores más activos ha sido alguien denominado "alexbest". Él ha estado exhortando a miembros de foros a participar en un asalto masivo el pasado 9 de mayo, el Día de la Victoria en Rusia.


Según algunas fuentes Estonias, se cree que el nombre de entrada al sistema alexbest tiene uniones con el FSB o Servicio de Seguridad Federal, la agencia de seguridad estatal de la Federación Rusa.

By Miska Rantanen


Helsingin Sanomat (Finlandia) (6-05-2007)

http://www.hs.fi/english/article/Virtual+harassment+but+for+real+/1135227099868

Go back

Este sitio web utiliza cookies propias y de terceros para el correcto funcionamiento y visualización del sitio web por parte del usuario, así como la recogida de estadísticas. Si continúa navegando, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información. Modificar configuración