ProtonMail: Víctima del mayor ataque DDoS realizado a ISPs suizos hasta la fecha

Luego de la era Snowden, cada vez más personas se están interesando por mejorar su privacidad online más compacta, y unos de los principales medios de comunicación, a pesar de todas las nuevas tecnologías de mensajería es indiscutiblemente el correo. Hace años me dí a la tarea
de mejorar la seguridad de mi correo personal, e indagando y buscando encontré que la combinación de PGP con algún cliente de correo (personalmente uso Thunderbird) para la encriptación de los mensajes de correo es muy buena en este sentido.

Pero yo siempre busqué por algo más, y así fue como encontré Tutanota y ProtonMail, decantándome por el último. No estoy diciendo que Tutanota no sea un buen servicio, al contrario, está muy bien pensado y su interfaz de usuario es bastante intuitiva; solo que uno de mis viejos y mejores amigos
(otro Ingeniero de Sistemas encargado de la seguridad de su empresa como yo) ya usaba ProtonMail, y me incitó a probar el sistema de encriptación de la plataforma con ambas cuentas dentro de ella.

Y entonces comencé a usar de a lleno ProtonMail. Hay más opciones para usar, que ya les comentaré más adelante. Pero ustedes se preguntarán qué hace a ProtonMail uno de los servicios de correo más seguros del planeta. Les voy a comentar algunas de sus características para que saquen ustedes sus propias conclusiones:

  • Todos los datos de los usuarios son encriptados en servidores a los cuales, incluso el equipo de ProtonMail no tienen acceso físico
  • Sus centros de datos están localizados en Suiza, haciendo practicamente imposible que los datos de los usuarios sean requeridos por algún gobierno o agencia
  • Todas las claves de encriptación son controladas a nivel de hardware, los mismos dispositivos que usan los grandes bancos para proteger sus transacciones financieras
  • Toda la comunicación entre el navegador y el servicio de ProtonMail es de forma encriptada usando HTTPS en todo momento, donde los certificados son emitidos por SwissSign, uno de las entidades certificadoras mejor provistas y calificadas del mundo.

y algunas otras más que pueden encontrar en el propio sitio de ProtonMail.

Debido a todo esto, el equipo de ProtonMail, tratando de violar la privacidad y la seguridad de los datos de sus usuarios; la semana pasada fue víctima del mayor ataque de denegación de servicio distribuido que ha sido realizado contra los Servicios Proveedores de Internet (ISPs) de Suiza.

Lo primero es primero: ¿Qué es un ataque de tipo DDos?

Buscando una buena definición de DDoS, encontré ésta de Joel Barrios Dueñas, creador del sitio Alcance Libre, la cual me gustó mucho:

Un DDoS (Distributed Denial of Service) es una ampliación del ataque DoS, se efectúa con la instalación de varios agentes remotos en muchas computadoras que pueden estar localizadas en diferentes puntos del mundo. El atacante consigue coordinar esos agentes para así, de forma masiva, amplificar el volumen del saturación de información (flood), pudiendo darse casos de un ataque de cientos o millares de computadoras dirigido a una máquina o red objetivo. Esta técnica se ha revelado como una de las más eficaces y sencillas a la hora de colapsar servidores, la tecnología distribuida ha ido haciendo más sofisticada hasta el punto de otorgar poder de causar daños serios a personas con escaso conocimiento técnico

Generalmente, para realizar este tipo de ataques, se usan las llamadas Botnets, las cuales están en crecimiento hoy en día. Alguno de los ejemplos más peligrosos de botnets usadas para DDoS son: Zeus, XOR y Groundhog.

Bueno y ¿Qué le pasó al equipo de ProtonMail?

La semana pasada yo estaba tratando de entrar a ProtonMail y por 2 horas traté indistintamente a acceder a la misma, pero la página no salía. Esto me obligó a investigar un poco, y cuando reviso la cuenta de Twitter de ProtonMail, veo el siguiente mensaje:

Y así seguí de cerca todos los acontecimientos que vinieron en los próximos días. Aquí les replico la información de la línea de tiempo de los ataques (lo digo en plural porque fueron dos)

  • 3 de Noviembre, 2015: El equipo de ProtonMail recibe un blackmail de un grupo de hackers que se llaman a sí mismos: Armada Collective. El formato del correo fue compartido por el GovCERT, el equipo de respuesta rápida a nivel gubernamental en Suiza, es como sigue:
From: “Armada Collective” armadacollective@openmailbox.org
To: abuse@victimdomain; support@victimdomain; info@victimdomain
Subject: Ransom request: DDOS ATTACK!FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE DECISION!
We are Armada Collective.
All your servers will be DDoS-ed starting Friday if you don’t pay 20 Bitcoins @ XXX
When we say all, we mean all — users will not be able to access sites host with you at all.
Right now we will start 15 minutes attack on your site’s IP (victims IP address). It will not be hard, we will not crash it at the moment to try to minimize eventual damage, which we want to avoid at this moment. It’s just to prove that this is not a hoax. Check your logs!
If you don’t pay by Friday , attack will start, price to stop will increase to 40 BTC and will go up 20 BTC for every day of attack.
If you report this to media and try to get some free publicity by using our name, instead of paying, attack will start permanently and will last for a long time.
This is not a joke.
Our attacks are extremely powerful — sometimes over 1 Tbps per second. So, no cheap protection will help.
Prevent it all with just 20 BTC @ XXX
Do not reply, we will probably not read. Pay and we will know its you. AND YOU WILL NEVER AGAIN HEAR FROM US!
Bitcoin is anonymous, nobody will ever know you cooperated.
  • 4 de Noviembre, 2015: Luego del correo, fue lanzado el primer ataque que dejó offline a ProtonMail por 15 minutos
  • 4 de Noviembre, 2015 (11:00 AM): Llegó el 2do ataque, y el nivel de sofisticación fue creciendo, y comenzó la mitigación por parte del equipo de ProtonMail y del ISP
  • 4 de Noviembre, 2015 (2:00 PM): A partir de este punto, ya éste era uno de los mayores ataques DDoS realizados hasta la fecha en Suiza, por el hecho de que no sólo atacaron la infrastructura de red del ISP que servía a ProtonMail, llegando a registrarse más de 100Gbps, afectando no sólo al centro de datos donde estaba hosteado ProtonMail, sino a routers que estaban en Zurich, Frankfurt, Londres, y otras localizaciones donde el ISP tenía presencia de nodos. Esto trajo consigo que todo el centro de datos se vino abajo, y no sólo afectó a ProtonMail, sino a todas las otras compañías que estaban en el mismo.
Tech Republic
  • 4 de Noviembre, 2015 (3:30 PM): A partir de la presión que tenía todo el equipo de ProtonMail, por las otras empresas, accedieron a pagar a regañadientes la suma de Bitcoins impuesta por Armada Collective a la siguiente dirección de Bitcoin: 1FxHcZzW3z9NRSUnQ9Pcp58ddYaSuN1T2y

Al final se dieron cuenta luego que no fue una buena decisión porque los ataques no pararon.

A partir de aquí, ProtonMail dividió los ataques en dos fases, una primera fase que los responsables fueron Armada Collective, pero la 2da fase del ataque fue incluso más sofisticada y severa, debido a que fue la que causó mayor daño. Este 2do grupo desconocido, no pidió nada a ProtonMail, sencillamente su objetivo era dejarlos offline por la mayor cantidad de tiempo posible.

Para poder defenderse en contra de este tipo de ataques, ProtonMail lanzó una campaña de recolección de dinero llamada ProtonMail Defense Fund, la cual está disponible acá:

ProtonMail Defense Fund

Luego, de la campaña, Andy Yen y su equipo comenzaron a analizar cómo podrían acatar la situación minimizando los costos de operación, porque según Yen, muchas empresas les estaban ofreciendo servicios de protección contra ataques DDoS pero a precios desorbitantes.

  • 7 de Noviembre, 2015: Y entonces, Radware, una de las compañías líderes en la mitigación de este tipo de ataques, les ofreción una solución acorde a sus fondos, y comenzaron a trabajar de conjunto con el equipo de ProtonMail y con IP-MAX por las siguientes 18 horas y entonces lograron conectar el centro de datos de ProtonMail al nuevo uplink de IP-Max.
  • 8 de Noviembre, 2015: Después de largas horas de trabajo, el equipo formado por las 3 empresas lograron hacer todos los cambios pertinentes para mitigar los ataques, los cuales siguieron, pero rápidamente fueron mitigados.

Hay que destacar que no sólo Radware y IP-Max ofrecieron su ayuda, según dice Yen:

“Todo Suiza se ofreció a ayudar, sabiendo las consecuencias que eso les podría traer, ya que el grupo cibercriminal podría dirigir los ataques hacia ellos.”

Carl Herberger, Vice Presidente de Soluciones de Seguridad para Radware explicó en la nota de prensa oficial:

“Las corporaciones necesitan entender la severidad de los avanzados ataques DDoS persistentes (APDoS), como el ataque DDoS dirigido a SMTP, por lo que también necesitan revisar las medidas de seguridad que tienen implementadas.APDoS es similar al bombardero usado para atascar los sistemas de radar hace muchos años — este tipo de ataque es tan variado y frecuente que se hace casi imposible de detectar, y más importante, difíciles de mitigar sin tener un impacto considerable en tu tráfico legítimo hacia tu sitio web. Esta técnica se convertirá en un elemento básico en las armas de los hackers. Esta amenaza es real, por lo que es vital que las organizaciones se equipen con soluciones de detección y mitigación en tiempo real para estos ataques; soluciones que sean capaces de resistir ataques sostenidos sin afectar el servicio esperado por los clientes”

Este tipo de ataques, como se explica en el sitio GovCERT.ch, típicamente comienzan con ataques de amplicación dirigidos a los servicios de NTP (puerto 123 UDP), DNS (puerto 53 UDP, aunque también usa TCP) y SSDP (puerto 1900 UDP) usando el sitio público de la organización objetivo, tomando ventaja de millones de dispositivos mal configurados o inseguros alrededor del mundo.

Luego, entonces pasan a otro estado: ataques usando flujos de paquetes de tipo TCP SYN y de tipo Capa 7 (Capa de Aplicación en el Modelo OSI) transpasando las medidas de mitigación tomadas por el ISP, generalmente atacando a través de HTTP y HTTPS (80 y 443 respectivamente).

En teoría, los atacantes tienen la posibilidad de lanzar ataques DDoS que consuman un ancho de banda por encima de los 500 Gbps, aunque no han llegado todavía a ese número.

Conclusiones

Como ven, este tipo de ataques es cada vez más común, así que las compañías deben comenzar desde ya a tomas las medidas necesarias para prevenirlos. Nadie está exento de grupos cibercriminales, incluso grandes companías con recursos como Twitter, Apple, Microsoft fueron también víctima como se vió el pasado Julio en una noticia publicada por Tripwire, donde explicaron como el caballo de Troja llamado Pintsized, desarrollado específicamente para infectar a computadoras basadas en Mac OS X; se instalaba en las mismas haciéndose pasar como un módulo del software de impresióm cups.

Y si sigues el reporte llamado “State of the Internet — Security Report” que libera Akamai cada 4 meses acerca del estado de Internet, y las actividades cibercriminales, podrás ver los ataques DDoS van sólo en aumento, y están muy lejos de parar este crecimiento.

Aquí les dejo algunas imágenes del estado de los ataques DDoS para que tengan una idea de lo serios que son:

Algunas de las estadísticas compartidas en dicho reporte, haciendo una comparación con el primer trimestre del año 2015 son alarmantes:

  • El mayor ataque DDoS registrado por Akamai fue de 240 Gbps y persistió por más de 13 horas
  • La mayor tasa de flujo de paquetes registrada a través de la red enrutada Prolexic alcanzó un pico de 214 Millones de paquetes por segundo (Mpps). Dicho volumen es capaz de hacer caer routers de tipo Capa 1, los usados por Proveedores de servicios de Internet (ISPs).
  • 7.13% en el aumento del total de ataques DDoS
  • 17.63% en el aumento de ataques DDoS digidos a la Capa 7 (Capa de Aplicación)
  • 6.04% en el aumento de ataques DDoS digidos a la Capa de Infraestructura (Capa 3 y 4)
  • 50% en el aumento de ataques DDoS mayores que 100 Gbps: 12 vs 8
  • Como en el Q1 2015, China está en el tope de los países productores de ataques DDoS
  • TCP SYN y Simple Service Discovery Protocol (SSDP) fueron los vectores de ataque DDoS más comunes en este segundo trimestre, cada uno aportando aproximadamente el 16% del tráfico de ataques DDoS.

Lo más problemático es que a pesar de todo esto, todavía hay miles de dispositivos que usan SSDP y no están protegidos correctamente.

Si quieres aprender un poco más acerca de cómo asegurar el protocolo SSDP contra ataques DDoS, en el sitio Search Security de TechTarget brindaron una guía muy intuitiva cómo hacerlo.

Por tanto, si estás hosteando infraestructura crítica en la misma red que tu sitio web, pudieras considerar mover el mismo a una red distinta o usar un proveedor de servicios anti-DDoS, como hizo ProtonMail contratando los servicios de Radware (EJ Easton es el encargado del mercado hispano); o puedes también contratar los servicios de CloudFlare, que también ofrece dichos servicios, asi que pudiera ponerte en contacto con uno de sus Ingenieros de Sistemas de la compañía enfocado en el mercado hispano.

Así que mis amigos, hay varias opciones que pudieran usar ahora mismo, así que actúen ahora y piensen en estos futuros problemas que les pudiera traer un ataque DDoS. Y si quieren aprender un poco más sobre estos tipos de ataques, les recomiendo que descarguen el DDoS Handbook, creado por Radware, el cual está muy informativo:

DDoS Handbook creado por Radware
Marcos Ortiz Valmaseda

Marcos Ortiz Valmaseda

Editor at The Panda Way, where I help companies to earn more income through #investing. Cloud Data Engineer in the morning at Grupo Intercorp
Lima, Peru