¿ Destruir Internet ? no es ciencia ficción esto ya paso y podría volver a pasar.

El mundo ha estado a punto de que el internet sea destruido al menos 4 veces 1 de ellas de hecho aniquilo la red por un momento.

En 1997 un ruteador que fue configurado erróneamente, se convirtió ruteador central de internet, algo similar a un ataque “ hombre en el medio por ARP Poison“ todo el trafico de internet intento pasar por ese único ruteador. El resultado fue desastroso el internet colapsó, seguramente muchos no lo recuerdan porque eran pequeños y aunque importante en 1997 el Internet no era tan masivo, sin facebook, netflix y otras cosas de consumo inmediato como ahora hizo que esta falla pasara desapercibida, lo mas masivo en ese entonces fue el correo electrónico que llegaron retrasados debido a que no podían ser entregados por los MTA Servers. Sin embargo este aunque fue un fallo de aniquilación y colapso total pudo ser revertido porque al final fue error humano y no había ninguna intención de destruir el internet.

Las otras 3 veces han estado a punto de lograr el colapso lo preocupante es que aquí si había la intención de terminar con el internet.

Ha pasado mucho tiempo y tal vez no recuerdo bien al autor del ataque, creo que fueron los Anonymous originales, los mismos que atacaron a la iglesia de la cientologia. No los lamos actuales, que no son más que copias burdas de lo que son los verdaderos Anonymous.

Lo que sucedió fue que hace 11 años en el mes de octubre del 2002 un sorpresivo ataque que no fue avisado ni anticipado fue dirigido a los 13 servidores raíz de DNS del mundo. Esto no ha cambiado mucho al 2013. Son muy pocos los servidores que sostienen el internet literalmente, en el 2002 eran solo 13, si algo le pasa a esos 13 servicios el internet seria paralizado indefinidamente por la falta de reconversión de dominios a direcciones ip. No todo el internet colapsaría porque aun se podría usar la conexión directa de ip a ip sin usar dominio, sin embargo el 99.99% de las conexiones a internet se hacen usando un dominio. Por lo que solo quedaría funcionando el 0.01% de la red que en realidad es NADA.

Los servidores raíz son los que almacenan una lista de los registrar de primer nivel, los dominios de primer nivel son los .COM .NET .ORG .EDU .GOV .MX .VE .AR .ES en resumen los que almacenan la terminación de los dominios según su país. Por ejemplo la parte de primer nivel de la cueva es .NET en su versión mexicana es .MX

¿Cómo funciono el ataque?
Históricamente el dominio de primer nivel se le asigna a la institución de un país que se haya conectado por primera vez a internet. En México la primera fue el Tec de Monterrey. El Tec por lo tanto tuvo el derecho de registrar el dominio .MX de primer nivel. Así que en los servidores raíz se programo para apuntar el .MX hacia el Tec. De Monterrey.

Los servidores de DNS del TEC se configuraron para dar soporte a los dominios de segundo nivel, los de segundo nivel en la mayoría de los piases son una clonación de los de primer nivel. Por ejemplo el .COM en México es .COM.MX por lo tanto los servidores del TEC fueron programados para atender .COM.MX, .NET.MX, .EDU.MX, .GOB.MX. Finalmente los usuarios pueden comprar un dominio de tercer nivel por ejemplo lastdragon.com.mx y yo con mi dominio puedo lanzar sub dominios de cuarto nivel, quinto y todos los niveles que yo desee.

Nivelx.delnively.delnivelz.lastdragon.com.mx

Los servidores DNS son jerárquicos solo resuelven la parte que le corresponde y dejan el siguiente nivel para que sea resuelto por el servidor designado en el caso de México a Akky antes NIC de México.

Sabiendo esto podemos deducir lo siguiente. Si alguien quiere ir a la página de www.lastdragon.com.mx uno de los servidores raíz resolverá que .MX es manejado por Akky y reenviara la petición a Akky, Akky a su vez internamente lo reenviara a sus servidores que manejan el .com.mx. Este servidor que maneja el .com.mx lo reenviara finalmente a mi servidor que controla el lastdragon.com.mx y si tengo subniveles debajo de eso podría resolver www.lastdragon.com.mx o mas subniveles.

Si quisiera acabar con todos los dominios .com.mx de mexico tendría que atacar a akky y dejaría fuera a todo .com.mx. Pero si quisiera terminar con toda la resolución de dominios en el mundo sin importar el país. Atacaría los servidores raíz. Si no se pueden resolver los dominios de primer nivel por ejemplo .com o .mx de nada serviría que haya comprado mi dominio en akky no podría ser resulto y ya que los servidores raíz atienden todos los dominios de primer nivel hacerlos caer haría caer la resolución de dominios del mundo y por lo tanto la falla total de internet.

En el 2002 trabajaba como administrador de la red corporativa de Demar instaladora y contractura S.A. de C.V. Fue un verdadero fastidio y dolor de cabeza todo empezó a fallar, no llegaban los correos, los correos enviados tampoco llegaban a su destino. Las páginas web no abrían, había que intentar muchas veces y la mayoría de las veces las paginas abrían solo porque estaban en memoria cache de el servidor DNS de la compañía no porque realmente se haya resuelto, lo recuerdo bien por que como responsable de la red todo el mundo te pregunta, ¿ya quedo? Cada 5 minutos. Fue un momento horrible para mí y para todo administrador de red que haya estado laborando en ese puesto aquel octubre del 2002.

En el tercer intento, hay un héroe. GNU/Linux salva al internet y a la misma Microsoft

La tercera vez fue un año después, otro ataque DDoS esta vez no fueron hacia los servidores raíz del internet. En Agosto del 2003 un virus/gusano Blaster ataco directamente a Microsoft por medio de maquinas zombies infectadas, el gusano atacaba una vulnerabilidad en todo los Windows XP y NT, Windows 2000 Server e incluso el recién salido Windows 2003 eran vulnerables, como era una falla en el código fuente del sistema operativo Blaster podía infectar usando la vulnerabilidad. En aquella ocasión hice varias pruebas.

Instale Windows XP lo puse de frente a Internet y se infecto 23 minutos después
Instale un Windows 2000 y se infecto 16 minutos después
Instale un Windows 2003 y se infecto 26 minutos después.

Todos o casi todos los servidores basados en Windows debieron estar infectados sin contar las maquinas XP.

La solución era obvia había que parchar la vulnerabilidad. Pero el programador de blaster previo esto, una vez infectado suficientes maquinas todas al mismo tiempo atacaron el sitio de Windows. Windowsupdate.microsoft.com , el parche fue sacado de inmediato y se crearon los services pack.

En XP fue el Service pack 4, no recuerdo para Windows 2000 pero para el Windows 2003 recién salido al mercado tuvo su primer service pack 1 casi de inmediato. El problema es que al no poder accesar a Windowsupdate.microsoft.com por estar bajo ataque, ninguna maquina se pudo parchar y descargar el Service Pack de cada versión del sistema operativo.

Sin la posibilidad de parche la infección se incremento y más y más zombies se unieron a atacar windowsupte.microsoft.com. Con más del 90% de las maquinas operadas con Windows en el 2003 una infección de este tamaño puso al mundo en manos de los creadores de Blaster, ahora solo tenían que programar un modulo para hacer lo que quisieran, borrar todos los discos duros, atacar servidores raíz, tenían el poder de terminar con el internet con unas cuentas líneas de código.

En el momento más sombrío Microsoft tomo la decisión correcta. Su inútil sistema operativo era incapaz de soportar el ataque DDoS en Windowsupdate.microsoft.com, contrato más servidores pero no les instalo Windows. Parte de tomar la decisión correcta fue que estos servidores los que salvarían a Microsoft de perder el total control de las maquinas con Windows, la decisión sería instalarlas con GNU/Linux. Con un sistema operativo capaz de soportar la tortura de Blaster cayéndose y levantándose poco a poco se fueron parchando las maquinas con Windows.

En el 2003 Micosoft tuvo que aceptar la humillación de que su sistema operativo Windows 2003 y anteriores no podían soportar las cargas de internet mucho menos un ataque directo DDoS y se demostró el gran poder de Linux para manejar millones de peticiones, entregando los services pack a las maquinas infectadas. Al final Linux salvo el dia.

La infección fue tan grande que en el 2005 instale un Windows 2003 y lo puse de cara a internet sin protección ni service pack, 2 horas después se había infectado de blaster, en el 2005 todavía quedaban miles de maquinas infectadas con blaster. Tal vez aun hoy 10 años después quedan maquinas con blaster habría que probar.

El último intento ocurrió poco antes de escribir este artículo, pero comparado a las veces anteriores incluso el cuarto intento se oye ridículo no debería contar de hecho creo que es amarillismo puro.

Según el universal esta semana de Marzo del 2013 se ha llevado a cabo el ataque más grande a Internet http://www.eluniversal.com.mx/sociedad/7827.html , porque CloudFare no pudo evitar protegerse a sí mismo de un ataque que pudo alcanzar los 300Gbps. Yo no considero un momento crítico el ataque, solo el fracaso de una empresa que presume ser inmune a los DDoS

2 Comments

Add a Comment

Comment spam protected by SpamBam