BlackNurse y la negación de ataques a empresas en la nube

Un nuevo ataque está circulando esta semana. Digo nuevo(ish) porque el ataque en sí no es tan original. Los ataques ICMP existen desde los años 90. También digo “relativamente nuevo” porque este ataque contrasta marcadamente con los ataques volumétricos de alto perfil que aparecen en las noticias cuando interrumpen el acceso a la mitad de Internet. Se trata de un ataque DoS (observe que solo hay una “D”, no dos) contra firewalls conocidos y ampliamente utilizados que pueden, con poco esfuerzo, hacer que el negocio se venga abajo.

No los aburriré con detalles sobre cómo funciona este ataque ICMP (¡ping!) llamado BlackNurse (sin ninguna razón obvia que haya visto hasta ahora). Ya hay toneladas de recursos y comentarios disponibles sobre el tema: Threat Post , El Reg , TDC SOC o Netresec , para empezar. Lo que sí quería señalar es el impacto devastador que este ataque podría tener en las empresas, y en particular en aquellas que dependen en gran medida de aplicaciones basadas en la nube. 

Porque no se trata sólo de interrumpir el acceso a las aplicaciones desde afuera hacia adentro , se trata de interrumpir el acceso a las aplicaciones desde adentro hacia afuera . TDC SOC, en su informe , lo señala específicamente: “Cuando se produce un ataque, los usuarios de la red LAN ya no podrán enviar ni recibir tráfico hacia o desde Internet”.

Lado LAN. Ése es el lado comercial del firewall.

Tendemos a ver los firewalls como la respuesta táctica para mantener a los atacantes fuera de nuestras redes corporativas. Son los muros que rodean el castillo, los sacos de arena a lo largo del río, el cortafuegos en el desierto que intenta detener un incendio descontrolado. Pero los firewalls han cumplido durante mucho tiempo un doble propósito en las empresas: es decir, también han controlado el acceso desde adentro hacia afuera. Al principio, esto se utilizó para bloquear el acceso a Internet de los adolescentes y sigue siendo un mecanismo para permitir medidas preventivas contra los intentos de "llamar a casa" por parte de malware y virus que han logrado infectar recursos internos.

Hoy en día, la prevalencia de aplicaciones de productividad basadas en la nube requiere acceso desde adentro hacia afuera. Y si usamos aplicaciones basadas en la nube, necesitamos acceso a Internet. Salesforce.com. Concurrir. Documentos de Google. Redes sociales. La lista de aplicações que residen fuera de la empresa y a las que la empresa necesita acceder es interminable y continúa creciendo. Como ilustra este ingenioso gráfico de Skyhigh Networks, el uso de aplicações basadas en la nube en las empresas ha ido aumentando de forma constante. De hecho, su informe del cuarto trimestre de 2015 señaló que “la organización promedio ahora utiliza 1.154 servicios en la nube”.

Los negocios dependen indiscutiblemente de la nube.

Esto significa que la interrupción del acceso a esos servicios es devastadora para la productividad, que es uno de los indicadores clave de rendimiento en cualquier negocio.

Por lo tanto, un ataque como BlackNurse, que es relativamente fácil de realizar y requiere poco más que una computadora portátil, es increíblemente disruptivo a pesar de su relativa simplicidad. El objetivo de tales ataques es simple: el consumo de recursos. Los ataques lentos y de baja intensidad, ya sea que se dirijan a firewalls o servidores web, están diseñados para ocupar recursos de modo que el dispositivo no pueda responder a solicitudes legítimas. El problema es que estos ataques suelen ser más difíciles de detectar que sus primos volumétricos. Se nota un gran volumen de tráfico. Hace saltar alarmas y luces rojas y la gente entiende inmediatamente lo que está pasando. En los últimos diez años hemos dedicado mucha energía a comprender cómo combatir estos ataques y, afortunadamente, cada vez lo hacemos mejor.

Pero detectar un ataque bajo y lento es más difícil. La CPU de repente se estanca al 100% y deja de responder. Podría ser un problema de software. Podría ser un problema de hardware. Podrían ser muchas cosas. Revisar los registros para encontrar el bajo volumen de paquetes representativos de este tipo de ataque es similar al problema de encontrar una aguja en un pajar. Según los investigadores, los ataques de BlackNurse generan solo entre 15 y 18 Mbps. Sí, lo leíste bien. No hay “G” en esa medida. Esto supone entre 40.000 y 50.000 paquetes por segundo, lo que no es nada comparado con los firewalls modernos. Por el contrario, el ataque DDoS registrado contra Dyn se midió en el rango de 1 Tbps. Esa es una “T”, que es más grande que una “G” y mucho más grande que una “M”.

La respuesta a tales ataques generalmente es mover las aplicaciones a la nube, donde los servicios de firewall no están limitados por conceptos tan anticuados como “recursos limitados” y pueden escalar sin esfuerzo y de manera automática. Excepto que no es así, porque la empresa todavía tiene empleados detrás del firewall corporativo que tienen que acceder a esas aplicaciones (y otras). Y es su acceso el que se ve interrumpido cuando el objetivo es el firewall corporativo que se interpone entre ellos y “la nube”.

Es la productividad la que sufre.

Las empresas deben reconocer el estado potencialmente peligroso que provocan los ataques que interrumpen el tráfico saliente y entrante. Si bien BlackNurse ya tiene una mitigación bastante simple, es probable que existan otras que no sean tan fáciles de mitigar.  Y en un mundo en el que dependemos tanto de las aplicaciones dentro del firewall como de las que están fuera de él, debemos examinar de cerca las posibilidades de tales ataques.

Si aún no lo ha hecho, entonces es hora de evaluar qué tan dependiente es (o será) su negocio de las aplicaciones "en la nube" y cómo proteger mejor el acceso a ellas frente a amenazas diseñadas específicamente para impedir que el negocio continúe con sus actividades diarias.