Qué hacer frente a un ataque DDoS

El truco más usado por los criminales informáticos hoy en día para poner un website fuera de servicio es el DDoS (Distributed Denial of Service), que consiste en hacer que una o varias botnets ataquen a un webserver hasta que lo hagan caer. Este es un ataque de fuerza bruta, que no explota ninguna vulnerabilidad de un website, no hay nada que parchar en el server o en el router que evite un DDoS ya que es el atacante al frende de las botnets quien tiene todo el control.

Cómo poder hace frente a este tipo de ataques que ha sido efectivo contra websites tan importantes como los de la CIA, WordPress.com y los de las tarjetas de crédito Mastercard y Visa. Lo primero que necesitamos es la colaboración de nuestro ISP (siempre y cuando éste disponga de suficiente ancho de banda y un personal técnico de soporte 24/7 que nos ayude a bloquear ciertas rutas), pero si este no puede ayudarnos hay dos caminos. El primero consiste en tener nuestro propio data center con varias conexiones a diversos ISPs y hacer nosotros mismos nuesto ruteo BGP, esto lamentablemente sólo lo pueden hacer gigantes de Internet como Amazon, Google o Facebook, para el resto de empresas nuestra única alterniva es buscar los servicios de una empresa que nos ayude a filtrar el tráfico de las botnets.

Aunque hay bastante oferta de empresas de seguridad que se dedican a proteger websites contra DDoS, he encontrado tres a lo largo de mi ejercicio profesional que tienen un buen servicio a precios bastante aceptables, los cuales son:

Estos servicios de protección contra DDoS básicamente son grandes agregadores de ancho de banda que aceptan todo nuestro tráfico y luego filtran el tráfico proveniente de las botnets y redirigen a nuestro server sólo el tráfico válido. Por lo general la mecánica es siempre la misma apuntamos nuestro DNS a alguno de dichos servicios y les proveemos a ellos de una IP a la cual dirigir el tráfico limpio.

Los tiempos de respuesta de dichas empresas son bastante buenos, por lo general nuestro website si es atacado puede estar de vuelta en una hora o dos luego de contratado el servicio.

Una alternativa mucho más costosa es usar algún servicio de cloud computing como Amazon o RackSpace, el problema con ellos es que deberemos pagar por los picos en el tráfico a nuestro servidor, lo cual puede resultar en grander pérdidas económicas aunque la disponibilidad del website estará siempre garantizada.

Espero que esta información haya sido de utilidad para otros sysadmin que tienen que lidiar con ataques DDoS, que debido a grupos como Anonymous se están popularizando ultimamente.

¿Qué pasa con la seguridad de la web?

El día de ayer Anonymous Perú (Piratas de la Red), atacó varias páginas web de instituciones del gobierno peruano, tal vez el ataques que más preocupación ha causado fue el lanzado contra el website de la Policía Nacional, específicamente el de las Aguilas Negras (la sección de la Policía Nacional que vigila los bancos), pudiendo hacerse con la base de datos de todos sus miembros y publicandola en su website. Los datos publicados por Piratas de la Red incluyen los nombres, el grado, el Carnet de Identidad Policial (CIP), el horario y ubicación de las entidades bancarias que custodian los oficiles en la ciudad de Lima. Al parecer el hecho de que la información no esté consolidada fue lo que libró que la identidad de todos los miembros de las Aguilas Negras en el interior del país sea revelada de igual forma.

Anonymous ya había anunciado a principios de esta semana un ataque a los websites de los gobiernos de Perú y Chile llamado "Operation Andes Libre Peru/Chile", video que tuvo repercución en los medios de comunicación masiva, sin embargo el video del viernes último que anunciaba una segunda fase de ataques tuvo menos recepción en los medios, aquí el video anunciando la segunda fase de ataques para el día de ayer Sábado 25 de junio de 2011:

 

 

Pero el problema de seguridad no sólo es de las webs peruanas, el día miercoles pasado (22 de junio 2011) en el periódico británico The Guardian, se informaba que el repositorio de plugins del popular CMS WordPress había sido comprometido y varios populares plugins entre ellos AddThis, WPtouch y W3 Total Cache, habían sido reemplazados por versiones que contenían backdoors que permitirían a los crackers tener acceso a los servidores que hostearan los websites. En abril de este año el servicio WordPress.com fue comprometido y los atacantes tuvieron acceso a las modificaciones del código fuente hechas para acomodar las funcionalidades sociales de dicho website, así como a las claves API de aquellos usuarios que integraron Twitter/Facebooks con sus blogs. Pero al menos la gente de WordPress.org actuo proactivamente y removió los plugin infectados y está obligando a todos los desarrolladores a cambiar sus passwords.

Pero tal vez el caso más espectacular de falla de seguridad de la semana que terminó fue el hecho de que durante 4 horas el servicio de almacenamiento en la nube Dropbox, permitió que sus usuarios se loguearan sin validar passwords, lo cual permitía a cualquier persona tener acceso a cualquier cuenta de Dropbox con sólo saber el nombre de usuario. Lo cual indica de que si se va a utilizar un servicio en la nube es mejor encriptar nuestros documentos ya que no se puede confiar en la seguridad de los proveedores de servicio.

Y también en la semana que pasó un ataque a Bitcoin (la moneda criptográfica de la red, que algunos legisladores tratan de prohibir), hizo que la cotización de dicha moneda cayera de 17 dólares por Bitcoin a apenas unos centavos en cuestion de minutos. Todo por el simple hecho de que la base de datos en el disco que contenía la billetera digital de los usuarios en el agente de intercambio de monedas MtGox  no estaba encriptada.

Bueno, uno puede entender que haya cierto interés en hackear a WordPress.org y poder accesar a literalmente millones de hosts en Internet para lanzar ataques DDoS o simplemente hacer Phishing, en el caso de Bitcoin el interés monetario es obvio se sustrajeron varios millones de dólares; pero en el caso de las Aguilas Negras, que sentido tiene exponer la vida de policias y sus familias por el sólo hecho de que protegen a instituciones bancarias, no que "Anonymous somos todos".

Lo que me sorprende es que hasta ahora la Policía Nacional no haya contactado a GoDaddy, la compañía que hostea la página web de Piratas de la Red para demandar la inmediata suspención de dicho hosting por violar claramente los términos del contrato de servicio y por otro lado contactar a Name.com, para exigir revele la identidad de quien ha comprado el dominio. En lo personal creo que la persona que ha lanzado este ataque contra la Policía Nacional del Perú y revelado la identidad de los agentes del orden es una persona joven, aún en sus veinte años, muy emocional y cree que este tipo de actitudes lo vuelven "cool", y no se ha dado cuenta de que al hacer esto está exponiendo a las familias de dichos agentes del orden a ser secuestradas. Además creo que debe haberle contado a algunos amigos su hazaña (así que comenzar a buscar en el twitter por pistas no sería una mala idea), me parece que es un miembro de la clase media alta (tiene acceso a una tarjeta de crédito) y puede estar en Lima o el extranjero.

 

El estado neo-feudal casino gulag

El título que le he puesto a este post lo he tomado de uno de los programas de Max Keiser en RT.com, aunque en el post no comentaré este programa en particular, hago la aclaración de donde he tomado el título. La idea propuesta por este título por otro lado es poderosa y fasinante, ya que analizando detenidamente está idea podemos avisorar cual será la naturaleza de las relaciones sociales en el largo plazo en la futura sociedad post global.

Primero, aclaremos algunos terminos que usaremos; por ejemplo entendemos como neo-feudal a un sistema socioeconómico en el cual las relaciones entre el poseedor de los derechos de propiedad de un activo capaz de producir una renta (señor) y un siervo, alguien que necesita hacer uso de dicho activo para poder sobrevivir, se mantienen inalterables por generaciones. Uso intencionalmente el término activo, porque a diferencia del sistema feudal en donde todo lo que contaba era la propiedad de la tierra, en el sistema neo-feudal por ejemplo la patente de un medicamento (que es un activo), que puede extenderse bajo la actual legislación de manera casi perpétua, permite la generación de una renta cada vez que alguien necesite dicho medicamento para curar una enfermedad. Lo mismo pasa por ejemplo con las semillas genéticamente modificadas de Monsanto, donde la transnacional hace las veces de señor feudal, y toda empresa que desee sembrar debe pagar por las semillas de Monsanto, y no puede pagarle a nadie más, al más puro estilo de "arriendo" feudal.

El término casino, está relacionado con la actividad financiera especulativa, que basado en modelos matemáticos de dudosa efectividad convence a grandes y pequeños inversionistas a darles sus ahorros para multiplicarlos mágicamente, siendo por lo general un triste final en el cual el gobierno presionado por los grandes inversionistas tiene que correr al rescate de los bancos de inversión afectados. Como una vez leí en un blog que ahora no encuentro el marcador, la única diferencia entre Bernard Madoff y Lehman Brothers es que el último tenía mejores abogados. Pero lo que es evidente para la gran mayoría de personas que sigue la bolsa, es que esto ha dejado de ser un lugar donde personas con ideas van a buscar financiamiento para las mismas, para convertirse en un lugar donde todo lo que interesa es hacer dinero con dinero de otras personas, sin crear riqueza en el proceso.

Finalmente, Gulag eran los campos de trabajo forzado, creados por los bolcheviques en donde enviaban a todo opositor al régimen. Esta será la etapa final para mantener el orden social, una vez que se haya enterrado oficialmente a la democracia representativa en occidente y vivamos bajo un régimen dictatorial, que será inevitable para poder gestionar la escasez de los años del peak oil.

Una de las características de una sociedad feudal es la nula movilidad social, quien nace siervo muere como tal y quien nace señor muere como tal y hereda a sus descendientes dicha condición. Una sociedad feudal es una respuesta a un modelo económico de crecimiento cero (o próximo a cero), a pesar de la gran revolución industrial y toda la tecnología que tenemos hoy en día, gracias al consumo casi predatorio de los recursos naturales del planeta hemos llegado a un pico de consumo que hace imposible que la economía mundial siga creciendo, puede que alguna economía nacional crezca, pero será a costa de que otra se contraiga, es decir estamos gracias a la globalización en un juego de suma cero, en le cual cualquier mejora en los estándares de vida en algun lugar del planeta es a costa a la reducción de los estándares de vida en otro. En ese entorno económico el crecimiento es casi cero y el terreno está preparado para que la sociedad entre en este modelo de rígido orden social que denominamos feudalismo, pero que debido al cambio tecnológico y a las muy diversas formas de generar riqueza actualmente debemos llamar neo-feudalismo.

Otra característica de los sistemas feudales es su alta inercia económica, se sabe por ejemplo que durante la edad media se usaba un sistema de bombeo de agua de las minas que consistía en generar vapor y enfriarlo rápidamente para generar vacío y succionar agua, algo que debió haber conducido a la creación más temprana de una máquina de vapor, pero justamente en un sistema donde el crecimiento es cero durante siglos, invertir en la creación de un dispositivo que promete maximice la productividad, siendo la mano de obra tan barata es algo que va contra el pensamiento convencional de dicha época. Así que algunas de las conclusiones que podemos sacar de este nuevo sistema que está por venir son las siguientes:

  1. El nuevo sistema durará mucho más el presente (si consideramos el inicio del presente en la revolución industrial inglesa 1769), debemos esperar que el nuevo sistema post global del estado neo-feudal casino gulag, dure mucho más que los 250 años del presente.
  2. La movilidad social se reducirá a cero y un sistema de clases se instituirá para justificar la diferencia de derechos entre un tipo de ciudadanos (los que poseen activos) y otros (los que no poseen activos).
  3. Revivirá el fervor religioso, no me sorprendería para nada que el Islam (y su visión feudal del universo) se convierta en la nueva religión oficial de occidente, logicamente para servir como medio de control mental de la gran mayoría de la población y hacerlos aceptar el statu quo.
  4. Militarización de la sociedad y contínuos conflictos sociales. Como resultado de la nula movilidad social, la injusta (y legal) forma de cobrar impuestos y la casi nula redistribución de la riqueza, las revueltas y el alto nivel de violencia obligará a una militarización de la sociedad.
  5. Como resultado de todo lo anterior los estándares de vida se reducirán para la mayoría, con lo cual la expectativa de vida comenzará a a bajar, es decir lo que hasta ahora era un contínuo aumento en la expectativa de vida, se revertirá en los años por venir hasta alcanzar niveles pre-industriales cuando el nuevo sistema neo-feudal casini gulag esté instaurado.

Es una visión pesimista de futuro, pero bajo las actuales circunstancias y el alto nivel de egoísmo presente en la gran mayoría de los miembros de las sociedades occidentales, es inevitable que las actuales políticas de que querer posponer para las siguientes generaciones el resolver los problemas sociales y económicos presentes, resultará en un gobierno autoritario que será elegido justamente porque prometerá restaurar la gloria pasada, pero sólo será una promesa, ya que la gloria pasada la construyeron millones de europeos que salieron huyendo del sistema feudal, y no un líder que te ofrece una solución a tus problemas, sin pedirte un sacrificio real.

La cultura del encubrimiento

Cuantas veces no nos hemos encontrado ante noticias que nos hacen pensar, como este banco, este país o esta transnacional pueden ser tan ciegas para no haberlo visto venir, en el mejor de los casos o a veces nos llevan a cuestionar el grado de inteligencia de sus directivos. Pues resulta muchas veces tan obvio la razón del fracaso que se nos hace difícil comprender como dejaron que ocurriera e incluso pensamos que alguien debió haber hecho mucho dinero dejando que esto ocurriera. Sin embargo he encontrado un muy interesantes post de Steve Blank, en su blog que lleva el mismo título que este "The cover-up culture". Blank fue un activo empresario, ahora retirado y ejerciendo como profesor de la Escuela de Ingeniería de la Universidad de Stanford y también en la Escuela de Negocios de U.C. Berkeley Hass.

Realmente, las reflexiones que hace sobre la naturaleza humana y su rol en las Startups me parecen fundamentales para entender el comportamiento en las grandes organizaciones, desde medinas empresas a grandes transnacionales. Es por ello que me he tomado el tiempo de traducirlo al español en la esperanza de que encuentren este artículo tan aleccionador como me ha parecido a mí, espero sus comentarios.

En una Startup "Las buenas noticias tiene que viajar rápido, pero una mala noticia tiene que viajar mucho más rápido."

Hay algo en la combinación de la naturaleza humana (la racionalización y el autoengaño) y la jerarquía de las grandes organizaciones (empresas, gobierno, ejercito, etc) que conspira activamente para ocultar el fracaso y los errores. El encubrimiento institucional es algo tan arraigado que lo asumimos como un hecho más de la vida.

Sin embargo, para una Startup la cultura del encubrimiento es como la muerte. En una Startup sus fundadores y el directorio, necesitan hacer exactamente lo contrario a lo que hace una gran empresa – las fallas deben ser compartidas, discutidas y analizadas en profundidad para extraer "lecciones aprendidas" para que un nuevo curso puede ser tomado.

Mienteme en mi cara.

La primera vez que vi un encubrimiento corporativo fue como un nuevo miembro de la junta directiva de una compañía de tamaño medio público. El vicepresidente de una división operativa había tenido problemas en el desarrollo de productos, el producto estaba demorado y se demoraría aún más en estar listo. El plan de ingresos tenía al nuevo producto incluído en sus estimaciones y estaba claro que esta división del Director General iba a fallar en su pronóstico (sucede todo el tiempo, nada nuevo aquí.) Yo sabía de todo esto desde antes de la reunión de la junta, ya que había hablado con varias personas involucradas, para mi nada de esto fue una sorpresa. Lo que realmente me sorpredió, fue la audacia que mostro el vicepresidente de la división que nos dijo en la reunión del consejo directivo. "El producto está a tiempo. No hay problemas. Vamos a hacer que los números cuadren". La desconexión entre la realidad y la voluntad de tener éxito a toda costa de un alto ejecutivo que lo lleva a mentir descaradamente a su director general y el directorio en pleno, me dejó impresionado.

Hubiera sido mucho más sencillo para él decir: "Estamos jodidos, y necesitamos tu ayuda". No fue hasta después que profundizé y me dí cuenta de que toda la compañía tenía una "cultura del encubrimiento" – el CEO usualmente es castigado por el fracaso y las malas noticias. Dado que sólo las buenas noticias son premiadas (como se define en el plan de ingresos y productos compartidos con analistas de Wall Street), entendí por qué evitan las malas noticias y se encubren los errores, son la elección racional del gerente general en esta empresa. Debido a ello es que al principio de mi carrera un consejo directivo me golpeo sin sentido, cuando no pude cumplir una meta.

Encubrimiento o parecer un idiota.

En las grandes empresas los ejecutivos son contratados y compensados por la ejecución eficaz y eficiente. Si metes la pata, hay una suposición tácita de que te has equivocado en un proceso conocido – algo que era repetible y predecible. Es por ello que se encubren los errores, no sólo porque te hacen ver como un fracasado, pero sobre todo porque hace ver a la línea de mando (tu jefe, el jefe de tu jefe, etc) como unos idiota. Además, lo más probable es que la información que se oculta no será inmediatamente detectada o dañará a la empresa.

Digo esto no porque este post es sobre el encubrimiento en las grandes empresas, (yo lo dejo a los expertos en comportamiento organizacional y la teoría social), pero a diferencia de esta clase de comportamiento, la cultura que las Startup necesita ser muy diferente para sobrevivir.

La cultura del encubrimiento: El papel de la Junta Directiva.

Como fundador de una Startup rápidamente aprendí el grado de apertura que podía tener con mi junta directiva. Algunas veces tuve no tan buenos inversionistas que creían que una Startup debía desarrollarse como un caso de estudio de Harvard. Hicieron caso omiso de la realidad que la mayoría las Startup son un conjunto caótico de acontecimientos de los cuales los fundadores están tratando de extraer un patrón repetible y rentable. La primera vez que entregue una mala noticia me devolvieron mi cabeza en una bandeja. ¿La lección que este CEO castigado apredió de esa reunión de junta directiva? No le des al directorio una mala noticia.

En otras Startups tuve suerte y había grandes inversionistas que sabían cómo manejar y lidiar con el caos. Se dieron cuenta de que las condiciones cambian tan rápidamente que las hipótesis del plan de negocio original se vuelven irrelevantes. Estos inversores me enseñaron las métricas adecuadas para la búsqueda de un modelo de negocio, cómo explicarle a la junta directiva que no se pudo cumplir una meta, y la forma de detectar cuando es hora de cambiar la estrategia. Yo pensaba en estos miembros de la junta directiva como compañeros y compartía todo con ellos, lo bueno, lo malo y lo feo.

Estos miembros de la junta directiva me animaron a inculcar la cultura adecuada en la empresa. Me recordaron que las fallas las Startups les dicen a los fundadores que dirección no seguir, mientras te enseñan cómo tener éxito. Esto significa que encubrir el fracaso en una Startup era como tirar el dinero en la calle. Así que en lugar de una cultura del encubrimiento ellos alientan una "Cultura de las Lecciones Aprendidas".

Startups: Las buenas noticias necesitan viajar rápido, pero las malas noticias tienen que viajar más rápido.

Un elemento clave de la cultura de "lecciones aprendidas" es la difusión rápida de información. Toda la información, ya sea buena o mala, debe ser compartida con rapidez. Nos enseñó que para nuestra compañía era más importante la comprensión de por qué perdíamos ciertas ventas a por qué habíamos ganado otras; entender por qué los productos de la competencia eran mejores era más importante que la racionalización de las formas en que los nuestros eran superiores. Todas las noticias, pero sobre todo las malas, tenían que ser compartidas, disecadas, comprendidas y puestas en práctica. En cada reunión semanal de los departamentos de la compañía hablamos de lo que funcionaba y no funcionaba. Y cuando encontrábamos a empleados que acumulaban información o encubian problemas los despedíamos. Ellos eran un veneno para la cultura de la Startup.

Las conversaciones resultantes nos ha hecho más inteligente, más ágiles e imparables.

Lecciones aprendidas:

  • Las startups se construyen alrededor de rápidas iteraciones de hipótesis. La mayoría de ellas a su vez resultan ser incorrectas.
  • Asegúrese de que su junta directiva no lo golpeará por decir la verdad.
  • Construir una cultura de rápida difusión de todas las noticias, buenas o malas
  • Los fundadores deben predicar con el ejemplo en compartir las lecciones aprendidas
  • Analice conjuntamente los fracasos, haga una iteración, cambie de dirección, y vuelva a intentarlo.
  • La cultura del encubrimiento es la muerte para una Startup.
  • Despedir a los empleados que acumulan información u ocultan las malas noticias.

 

Interesante modo de monetizar dominios vencidos

Una de las formas de generar inteligencia colectiva en la lucha contra el omnipresente spam, es usar blacklist (listas de IP de los que alguien ha reportado recibir spam). Hay infinidad de servicios de blacklist como SpamCop o SPAMHAUS, ambos muy populares. También hay servicios más pequeños e incluso mantenidos por usuarios independientes. La forma de implementarlos no es muy complicado ya que se usa el protocolo DNS para validar IPs, de alli deriva el nombre DNSBL (DNS Black List).

Básicamente la persona o institución que desea hacer público su blacklist debe levantar un servidor DNS que acepte peticiones regulares de resolución y retorne un valor válido si el IP está listado, dando la opción questionar a través de una solicitud "TXT" la razón de la inclusión en la lista. En principio todo muy sencillo, pero aclaremos la cosa con un ejemplo.

Supongamos que deseamos saber si el IP "100.110.120.130"  está listado en la base de datos de fuentes de spam en SPAMHAUS, para ello debemos hacer una solicitud de resolución DNS al servidor sbl.spamhaus.org. La única particularidad es que debemos hacerlo poniendo el IP en orden inverso y añadirlo al nombre de host al cual estamos haciendo la solicitud de esta manera:

$ nslookup -q=A 130.120.110.100.sbl.spamhaus.org

** server can’t find 130.120.110.100.sbl.spamhaus.org: NXDOMAIN

Si el IP no está listado deberíamos obtener un listado como el anterior. Pero a que viene todo esto, pues simplemente a que yo uso una gran colección de blacklist para proteger a mis servidores de correo del spam, y siempre estoy vigilando que ninguno de mis servidores esté listado en ellas, para tal fin tengo un script que corre cada hora y verifica que ninguno de mis servidores está listado, de estarlo inmediatamente me notifica con un mensaje SMS a mi celular. Entonces resulta que el día de hoy recibí la alerta de que uno de mis servidores estaba listado en "bl.csma.biz", inmediatamente me puse manos a la obra para delistar mi IP del blacklist, pero grande fue mi sorpresa cuando encontré esto:

CSMA.BIZ Expired

Si adivinaron el dominio expiro y a los chicos de Network Solutions no se les ocurrió mejor idea para monetizar el tráfico que crear una respuesta válida a toda consulta DNS sobre dicho dominio, resultado ha sido para los que usamos la solución DNSBL, toda internet está incluída como fuente de spam en la lista administrada por el servidor bl.csma.biz.

Para demostrarlo hagamos un experimento. Por ejemplo hay IPs que nunca deben estar en un blacklist, este es el caso específico de todas las IPs privadas como 10.0.0.0/8, 172.16.0.0/12,  192.168.0.0/16, demás del localhost 127.0.0.0/8. Preguntado sobre esos valores el DNSBL del servicio bl.csma.biz simpre responde afirmativamente apuntando a la página que ofrece el dominio en venta.

$ nslookup 1.0.0.127.bl.csma.biz
Non-authoritative answer:
Name:   1.0.0.127.bl.csma.biz
Address: 209.62.105.19

$ nslookup 1.0.0.10.bl.csma.biz
Non-authoritative answer:
Name:   1.0.0.10.bl.csma.biz
Address: 209.62.105.19

$ nslookup 1.0.16.172.bl.csma.biz
Non-authoritative answer:
Name:   1.0.16.172.bl.csma.biz
Address: 209.62.105.19

$ nslookup 1.0.168.192.bl.csma.biz
Non-authoritative answer:
Name:   1.0.168.192.bl.csma.biz
Address: 209.62.105.19

No interesa que pongan delante del nombre bl.csma.biz, el DNS atumáticamente apunta a la página de la publicidad. Esto me parece sorprendente de una compañía que tuvo la exclusividad de la venta de dominios .com, .net y .org durante muchos años. Acaso no hay nadie que sepa que hacer esto puede tener efectos colaterales como el hecho de generar rechazo de correos o el que muchos correos terminen en el "Junk Folder" de muchos servicios de correo, o simplemente no interesa la usabilidad y solo desean más tráfico para monetizar la publicidad en los dominios.

Espero que el propietario del dominio csma.biz lo habilite, por lo menos yo como contra medida lo ha retirado de la lista de servicios DNSBL que utilizo.