Bugs y Exploits

Esta última semana hemos sido testigos de dos ataques de tipo DoS (Denial of Service) a Google y Doubleclick. El primero se sospecha un "efecto colateral" del virus Mydoom.R y el segundo supuso que miles de usuarios fuesen incapaces de ver publicidad en muchos portales durante al menos cuatro horas.

02-08-2004 -  El jueves Doubleclick sufrió un ataque distribuido contra sus servidores DNS que resultó en el colapso de sus redes durante al menos cuatro horas. Doubleclick es una empresa dedicada al emplazamiento de publicidad dinámica en páginas web, y presta sus servicios a más de 900 gigantes de Internet. El ataque a esta firma resultó en una menor disponibilidad también para muchos de sus clientes.

Pero esta embestida se vio ensombrecida por la que provocó en los buscadores el virus Mydoom.R al día siguiente. El gusano empleó una nueva técnica relativamente desconocida hasta ahora. En vez de recolectar direcciones de correo directamente de la máquina, tomaba sólo los dominios (la parte derecha del símbolo "@") y buscaba nuevas direcciones válidas en buscadores tan conocidos como Google o Altavista para reenviarse a ellas.

El resultado de esta gran expansión fue un colapso por parte de los servidores de Google, que se vieron obligados a negar el acceso a distintas franjas de direcciones IP e intentar prevenir así daños mayores. A su vez, muchos usuarios a los que les era imposible utilizar Google (con diferencia, el más usado) migraron sus consultas a otros buscadores que ante la inesperada avalancha vieron mermada su eficiencia.

Estos dos ataques de tipo DoS fueron realizados gracias a un ejército de máquinas infectadas por virus. Es clara hoy en día la relación de los virus con los spammers (personas que se dedican al envío masivo de correo basura) y delincuentes en Internet que se sirven de máquinas infectadas que pueden controlar para ejecutar sus fechorías.

Los ataques tipo DoS, que consisten en el envío masivo de información a un servidor hasta que se vea saturado y deje de responder, son mucho más efectivos si se multiplica el bombardeo con un gran número de ordenadores que han podido ser infectados y manejados remotamente.

Desgraciadamente, y ante las mejoras en seguridad de muchas empresas y servidores, este es una de las últimas bazas que se juegan los delincuentes cuando no pueden directamente asaltar a su víctima a través de un fallo de seguridad.

Más información y referencias:

W32/Mydoom.R. Gusano de gran propagación
http://www.vsantivirus.com/mydoom-r.htm

Attack on Advertising Provider Jams High-Traffic Web Sites
http://www.technewsworld.com/story/35435.html

Sergio de los Santos
http://www.forzis.com