Es muy interesante la cobertura que está haciendo Romina sobre el ataque DoS a elServer, el mismo ataque que habría hecho caer a Genbeta.
Por un lado tenemos la acusación de Galli a Cristian y Omar, por el otro tenemos el posible auspicio de Dattatec al trabajo de DoS y por otro la terrible vulnerabilidad de ElServer.
Mi opinión
En primer lugar creo que Ricardo Galli se equivocó en publicar los datos de los menores sospechados de realizar el trabajo de denegación de servicio, creo que debería haberlo realizado la denuncia legal llevando todas las pruebas y manteniendo un secreto de sumario.
En segundo lugar creo que tiene que estar implicado algún datacenter importante porque para generar la caída de una empresa de hosting profesional se requiere de un ancho de banda muy importante. La empresa tiene que ser nacional porque sólo dentro del país es posible generar el tráfico suficiente. Cualquier otro enlace al exterior, tiene un cuello de botella increiblemente chico.
Y por último, creo que Cristian debe saber más de lo que declara públicamente ya que los datos publicados le apuntan a el.
Los datos
Me resultó extraordinariamente extraño que un ataque DoS por flood de nick a un canal de IRC haya hecho semejante daño. Cualquiera que busca en google puede realizar o prevenir un ataque similar. No me refiero a instalar Firewalls, Proxies y demás verduras que tienen otra función, me refiero a dropear conexiones con un patrón de ataque determinado. Incluso en la Wikipedia informan sobre eso.
En caso de no poder defender el ataque por alguna razón, lo primero que se hace es cerrar el servicio vulnerable, en este caso el IRC. Desconozco si el ataque consistió de algo más pero por las pruebas que pude ver hasta ahora fue sólo una persona con un flood IRC de nicks/bots y con Windows Vista, por lo que no sería un ataque DDoS sino un ataque DoS por demás simple (ver screenshot).
Es algo demasiado oscuro todo esto pero sienta precedentes en nuestro país. Los anteriores no tuvieron la difusión que este caso está teniendo. Veremos como continúa.
4 Comentarios
Xyborg
Febrero 19th, 2008 at 3:17 pm
Te pongo lo mismo que en el blog de Romina.
Lucas no es un problema de servers de IRC, lo entendiste mal. No todos son menores de 18, ya varios los pasaron, pero dicen tener 17 para “tratar” de cubrirse. No hace falta grandes datacenters para realizar el ataque, usaron bots php que se controlaban via IRC, NO usaban vulnerabilidades en servers IRC.
Saludos, y esperemos que termine pronto este novelon XD
Lucas Zallio
Febrero 19th, 2008 at 3:39 pm
Xyborg, sólo me guié por el screenshot que vi y parece un flood nomás (que es donde intervendrían los bots php supongo). Es cierto que pueden mentir en sus edades, es cierto que pueden ocultar mejor sus identidades y me cerraría mucho más que no haya sido sólo un flood sino algo más groso. De cualqueir forma el post viene a dar mi opinión acerca de como se manejó públicamente el tema. Los datos técnicos son mas bien un pensamiento en voz alta.
Xyborg
Febrero 19th, 2008 at 4:18 pm
Esta bien, la captura lo que ves es un canal al cual se conecta el bot cuando se lo ejecuta, y de acuerdo a lo que envie cierto usuario (nick) ejecuta alguna u otra accion, si le pones udp IP puerto delay etc, ejecuta eso.
Lucas Zallio
Febrero 19th, 2008 at 5:14 pm
Sigo sin entender para que floodear con los nicks. Y todavía sigo sin entender como es que un servicio como El Server no lo haya podido parar a tiempo. Supongo que fue algún descuido, porque los paquetes son homogeneos y tranquilamente se puede dropear toda conexion que no haya sido establecida con anterioridad. Gracias por la info