Juan José Navarro, Senior Sales Engineer, Radware

Permítanme los lectores hacer esta libre interpretación de las palabras de Mikko Hypponen cuando habla sobre los ataques a los dispositivos inteligentes, explicando que deben ser “effective, affordable and denaible” (o al menos así deberían serlo para ser exitosos -cosa que en Radware no queremos-).

De todos estos conceptos, según Hypponen, el más importante es “deniable” ya que el atacante puede tener como fin permanecer dentro de la infraestructura, incluso después del ataque, evitando dejar huellas que lo identifiquen para poder realizar nuevos ataques o robos de datos en el futuro.

Como en cualquier otra “profesión” (y permítame de nuevo el lector que trate de “profesión” al trabajo de estos delincuentes profesionales) hay diferentes grados de artesanos, algunos más torpes que otros, y muchas veces es más interesante ser “affordable”(barato) que “deniable” ya que muchas veces no hay ningún interés en ser tan delicados en sus “trabajos” y no solo dejan huellas, sino que además son descubiertos con bastante facilidad…pero en cualquier caso el daño ya está hecho.

En Radware tenemos mucha visibilidad de los diferentes ataques que existen y como se producen a través de nuestros HoneyPots dentro de nuestra infraestructura a nivel mundial. Observamos de un tiempo a esta parte que la denegación de servicio (DDoS) utilizando tráfico UDP es un vector de ataque muy habitual que cumple los requisitos de silencioso (ya que el tráfico UDP es protocolo “no orientado a conexión” y por tanto no hay control sobre él) es sencillo de generar (el tráfico UDP es el utilizado en muchos protocolos habituales como por ejemplo DNS) y aunque no siempre es eficaz el hecho de que sea extremadamente “barato” lo hace un vector de ataque habitual.

Podemos decir que parece que existe una tendencia en los atacantes de “abaratar costes” sin preocuparse mucho por esa pulcritud que exige ser invisible y quizás llegará el día en que contemos a nuestros nietos aquel “arte” y “conocimiento tecnológico” que había detrás de los ataques a empresas como Sony, HBGary Federal o el laborioso proceso que fue crear la BotNet Mirai… Entonces la pregunta es ¿hasta dónde vamos a llegar? ¿qué es lo más dañino, barato y silencioso que los delincuentes pueden hacer? Una posible respuesta seria la siguiente; realizar ataques con tráfico legítimo, por ejemplo, el ataque DDoS denominado “Yo-Yo”.

No hay nada más “silencioso” que el tráfico legítimo, además es barato...y ahora, gracias a los sistemas de autoescalado en la nube, es dañino y eficaz.

El ataque funciona de la siguiente manera: Los delincuentes generan tráfico legítimo contra los sistemas alojados en la nube pública de una empresa. Este tráfico legítimo supera los controles de seguridad y la empresa objetivo, a través de un sistema de auto escalado, despliega nuevos servicios para atender estas peticiones, en este momento el delincuente detiene el ataque…. pero los sistemas de auto escalado tienen un tiempo de “vuelta a la normalidad” (CoolDown) y la desescalada es lenta, es decir, va desmontando estos nuevos servicios poco a poco. Ese “gap” de tiempo lo aprovecha de nuevo el delincuente para volver a crear una nueva oleada de ataques DDoS generando que la empresa objetivo vuelva a desplegar nuevos servicios en la nube…y así, como un Yo-Yo, va generando costes y costes en la empresa, desplegando servicios que no son necesarios y generando los correspondientes costes.

Además, este ataque es increíblemente “silencioso” ya que los proveedores de la nube publica ofrecen sistemas de auto escalado muy flexibles y rápidos, pero las configuraciones de dichos sistemas es responsabilidad de los clientes.

No quiero terminar el articulo solo con malas noticias. Este problema del auto escalado ya se conoce (“Kubernetes Auto-Scaling: YoYo attack vulnerability and mitigation” publicado por Ronen Ben-David y Anat Bremler-Barr el 25 de Febrero de 2021) y se está trabajando en los algoritmos avanzados de machine learning como XGBoost que permiten cálculos más rápidos a la hora de interpretar predicciones en los comportamientos del tráfico.

Estamos, una vez más, ante un interesante reto.