feb 09 2008

O retiras lo publicado o te “DoSseo”, la nueva moda en la red…(update, más DDoS en Menéame y Genbeta up!)

folder_download.gifMalos tiempos para la libertad de expresión en la red. Imagino que muchos estáis al tanto de lo que está pasando, se están llevando ataques DDoS a varios de los blogs más punteros de la blogosfera Hispana. Primero fue Genbeta, luego parte de las bitácoras de Weblogssl y por extensión o difusión ahora Menéame junto a Error 500, etc, etc.

¿El motivo? Julio Alonso lo explica aquí. Genbeta publicó un artículo previniendo de ciertos servicios online que supuestamente previo envío de tu nick del msn y password, te decían si este u otro contacto te tenían añadido.

Puede que a muchos nos resulte alucinante que alguien “pique”, pero hay gente muy desesperada o con pocos conocimientos en la materia y Genbeta, lógicamente informó de que no se dejen en estos lugares nombres de usuario y contraseñas ya que el fin era recopilarlas para luego venderlas al mejor postor.

Esos mails y passwords luego serían presa de las redes más activas de cibercrimen, malware o mierdas de Spammers con vaya usted a saber que propósitos (que es de fácil de adivinar vaya).

Pues bien, Genbeta sufrió una amenaza del tipo “O lo retiras o te haré un DDoS”, para que lo entendáis, un ataque DDoS es como un DoS tradicional (ataque de denegación de servicio) pero distribuido, es decir, con cientos o miles de máquinas zombies replicando el ataque.

Por cierto, se puede ver como en Wikipedia se ha actualizado la info sobre estos ataques incluyendo como ejemplos a los sitios web que estamos comentando.

Este tipo de cabronada electrónica es difícil de parar, por un lado es muy complicado discernir entre el tráfico legítimo e ilegítimo si tienes todos los logs petados de datos y el server está renqueante y por el otro, es una cuestión de ancho de banda. Esto es como en la calle o el viejo Oeste, 200 contra 1

Da igual que aumentes el número de clientes en MySQL o Apache, de poco sirve aunque puede ayudar el uso de Mod Evasive en Apache o Mod Security si tiran con tanto ancho de banda y desde tantos lugares, un ataque de ese tipo no se para tan fácilmente y requiere concentración y atención máxima y aunque hay reglas en Iptables que pueden ayudar, fácil ya digo que no es.

El clásico “Syn Flood” que inunda de peticiones al puerto 80 puede detectarse y pararse con más facilidad que por ejemplo uno que están llevando a cabo contra estos sitios, la inundación de peticiones a puertos UPD de un modo aleatorio “UDP Flood“.

Como expliqué al principio, Genbeta lleva sufriendo desde el pasado Domingo un DDoS que hace imposible ver la página y también, sitios afines a Weblogssl como pueden ser Error 500 o Enrique Dans, tienen problemas de acceso o simplemente no se ven por momentos. (Update) en el momento de escribir este post acabo de ver que Antonio Ortiz en Error 500 informa de que está sufriendo un DDoS.

Y por si fuera poco, ayer los asiduos a Menéame pudimos ver como de entrar despacio pasamos directamente a no entrar y Ricardo Gallir hizo público en el blog de Menéame un mail que recibió del supuesto atacante, en el que además de reconocer la autoría del DDoS, le piden una suma de dinero (7.000 $) para pararlo…Y fue portada en el propio Menéame (parece que ya lo han solucionado).

En fin, que ahora es lo que se lleva “o lo retiras o te DoSseo”, espero que todos los sitios afectados puedan restablecer lo antes posible el servicio porque esto ya es un ataque global contra nuestro derecho e intercambio a la libre información en la Red.

Una red de redes que tiene dentro de sus entrañas algunos habitantes tan indeseables como los propósitos que quieren llevar a cabo.

Actualización a 10-02-2008

Edito el post para comentaros que los amigos de Genbeta están online de nuevo y Ricardo informa que siguen los ataques a Menéame localizados desde 57 IPs (casi todas servers), se está comentando también aquí.

Así que ya sabéis, si tenéis un servidor web, más trabajo a Iptables añadido a las IPs que publicó Ricardo ayer. Bloqueando pero por la vía rápida, el comando; iptables -A INPUT -s aquí_la_ip_a_bloquear -j DROP

Technorati Tags: , , , , , , ,

Tags: , , , ,