Avisos 25 de January, 2012

Campanya Atacs de denegació de servei d\'Anonymous

Diverses fonts informen d'una onada d'atacs de denegació de servei distribuït (DDoS) relacionats amb el recent tancament de la web d'allotjament d'arxius Megaupload, així com el posicionament contrari de la legislació relativa a la protecció de la propietat intel·lectual a Espanya i EE.UU.

Aquests atacs, presumptament organitzats i promoguts per part del col·lectiu Anonymous, utilitzen eines a la xarxa que permeten a qualsevol simpatitzant convertir el seu ordinador en un instrument per participar activament en aquest tipus d'accions. A diferència de campanyes anteriors, s'estan utilitzant noves eines que aprofiten els recursos d'un usuari que visiti una pàgina especialment creada amb la finalitat de realitzar peticions de forma massiva dirigides a llocs web objectiu.
 

Recursos afectats:
Pàgines web objectiu dels atacs, administracions públiques o entitats privades relacionades amb la defensa de la propietat intel·lectual.
 Usuaris de navegadors amb funcionalitat javascript activa que visitin una pàgina web amb codi maliciós. Aquestes poden ser creades específicament per aquest ús o han estat prèviament compromeses.
 

Impacte:

Denegació de servei, ús no autoritzat de recursos.


Solució:

Per usuaris:
 Desactivar l'execució automàtica de codi Javascript al navegador, mitjançant les opcionsde contingut delnavegador o l'aplicació d'un afegit: Internet Explorer: configurar la seguretat a nivell Alt a la zona Internet (Eines> Opcions d'Internet> Pestanya Seguretat)
 Chrome: Opcions> Avançada> Configuració de Contingut> Javascript> No permetre que cap lloc executi JavaScript.
 Firefox: utilitzar l'afegit NoScript.
 
Evitar visitar enllaços sospitosos o dels que es desconegui la procedència, especialment els escurçats publicats a les xarxes socials.
 
Per administradors de llocs web afectats, a causa de l'heterogeneïtat i l'origen distribuït dels atacs, no existeix una solució universal al problema. Una recomanació genèrica és monitoritzar el volum de trànsit rebut als llocs web, amb la finalitat de detectar desviaments de comportament habitual. Si es detecta un atac, analitzar les peticions per intentar detectar patrons que puguin ser bloquejats mitjançant dispositius de seguretat de perímetre (adreces IP especialment actives, cadenes específiques...)


Detall:

Aquests atacs arriben principalment mitjançant usol·licituds de tipus HTTP GET o mitjançant inundació de tràfic UDP.
 
L'aplicació utilitzada per a realitzar atacs de denegació de servei, coneguda com a Low Orbit Ion cannon (LOIC), s'executa de forma nativa a la màquina de l'usuari amb l'objectiu que s'integri en una xarxa de tipus botnet, que controla l'objectiu dels equips participants mitjançant comandes enviades per xat IRC o subscripcions RSS.
 
Aquesta nova onada d'atac utilitza una variant de l'eina que aprofita codi en llenguatge JavaScript, d'aquesta forma pot ser utilitzada des d'un navegador web amb recursos de l'usuari. Un atacant pot accedir a aquesta mitjançant un enllaç web públic on podrà seleccionar l'objectiu, especificar un missatge opcional, regular el nombre de peticions i controlar el progrés de l'atac. La nova variant permet la participació sense tenir coneixement, on l'atac comença a executar-se una vegada l'usuari carrega la pàgina web en el seu navegador, d'aquesta forma és més fàcil obtenir usuaris atacants, mitjançant l'accés a un simple enllaç maliciós distribuït a través de xarxes socials o d'altres mitjans.
 
Alguns exemples de llocs utilitzats per a executar aquest tipus d'atacs (AVÍS: si es visiten els enllaços amb llenguatge Javascript activat, s'executaran peticions als llocs web objectiu, participarem activament en l'atac):
 
"hxxp://3g.bamatea.com/loic.html"
 "hxxp://anonymouse.org/cgi-bin/anon-www.cgi/"
 "hxxp://chatimpacto.org/Loic/"
 "hxxp://cybercrime.hostzi.com/Ym90bmV0/loic/"
 "hxxp://event.seeho.co.kr/loic.html"
 "hxxp://pastehtml.com/view/bl3weewxq.html"
 "hxxp://pastehtml.com/view/bl7qhhp5c.html"
 "hxxp://pastehtml.com/view/blafp1ly1.html"
 "hxxp://pastehtml.com/view/blakyjwbi.html"
 "hxxp://pastehtml.com/view/blal5t64j.html"
 "hxxp://pastehtml.com/view/blaoyp0qs.html"
 "hxxp://www.lcnongjipeijian.com/loic.html"
 "hxxp://www.rotterproxy.info/browse.php/704521df/ccc21Oi8/vY3liZXJ/jcmltZS5/ob3N0emk/uY29tL1l/tOTBibVY/wL2xvaWM/v/b5/fnorefer"
 "hxxp://www.tandycollection.co.kr/loic.html"
 "hxxp://www.zgon.cn/loic.html"
 "hxxp://zgon.cn/loic.html"
 "hxxp://www.turbytoy.com.ar/admin/archivos/hive.html"
 

Qüestions legals
 
La realització d'atacs DoS o DDoS pot suposar la realització d'una conducta penal recollida a l'article 264 del Codi Penal, les condicions però indiquen que l'actuació ha de ser greu i tenir un resultat catalogat com a greu (d'entrada pels danys caldria acreditar una dany mínim de 400 Euros). També és cert, que si es poguessin identificar els autors també se'ls podria demandar per la via civil pels danys causats, on el problema per al titular del servei afectat és determinar l'import del dany.
 
Els usuaris particulars que participin en un DDoS poden assumir un cert grau de responsabilitat però evidentment la responsabilitat dels qui organitzen les accions i/o posen les eines a disposició serà superior i, en tot cas, haurien de ser els únics responsables penals.
 
Adjunt article del Codi Penal per major informació:
 
Artículo 264.
 
1. El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
 
2. El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años.



Refs:

http://www.us-cert.gov/cas/techalerts/TA12-024A.html

http://anonops.blogspot.com/2012/01/internet-strikes-back-opmegaupload.html

Publicat a: Avisos
Tags: Seguretat