Els recents atacs d'Anonymous contra una vintena de webs, algunes de partits polítics espanyols, podrien costar de 2.000 euros o desenes de milers, en cas que les víctimes utilitzin els serveis d'un proveïdor al núvol. Els bombardejos cibernètics suposen una inversió de pocs euros per a l'atacant i grans pèrdues, en imatge o inversió en ample de banda, per als atacats.

De la vintena d'atacs (https://hastebin.com/useqonataf.shell) que ha orquestat Anonymous a les darreres hores, dins l'anomenada Operació Catalunya (#OpCatalunya https://twitter.com/search?q=%23opCatalunya), la majoria són contra webs de l'Administració Pública espanyola, com ara el Tribunal Constitucional, la Policía Nacional (https://twitter.com/NamaTikure/status/1031492459711352832), el portal de Firma Electrónica (https://twitter.com/IiIskies/status/1031365680199872513) o el Ministerio de Asuntos Exteriores (https://twitter.com/Insentlves/status/1031342878570762241). Les webs de l'administració no solen utilitzar el núvol sino que estan allotjades en servidors propis, sovint obsolets, que si són atacats com a molts es penjaran però no provocaran pèrdues econòmiques.

Una altra història són les empreses i partits polítics. Anonymous ha atacat en aquesta tongada de l'#opCatalunya al PSOE (https://twitter.com/anoncatalonia/status/1031226238411657216), el PP (https://twitter.com/anoncatalonia/status/1031226238411657216), la Falange Espanyola (https://twitter.com/Insentlves/status/1031345884372578304) i una empresa de robòtica, tecnologia aeronàutica i biomèdica de Sant Cugat del Vallès: Gutmar. Si aquestes entitats gestionen les seves webs al núvol i, com la majoria, no tenen contractat un sistema anti-DDoS, han begut oli.

Cada cop més empreses i organitzacions, sobretot les grans i les "start-ups", contracten proveïdors al núvol ("cloud"), com ara Amazon, Microsoft Azure o Google, que ofereixen els seus serveis de forma contínua i amb una gestió molt fàcil i competitiva. Per exemple, en comptes de pagar a un proveïdor tradicional d'allotjament de webs un fix per cobrir l'ample de banda que gastaran les visites a la nostra web, al núvol es paga segons si n'hi ha més o menys, de forma flexible.

Així, si hem posat un anunci de la nostra empresa a la televisió i augmenten les visites, el proveïdor obrirà més el canó, deixarà entrar tothom a la nostra web i ho reflectirà a la factura del mes. El problema ve quan l'augment de trànsit no és per un anunci sino per un atac de Denegació Distribuïda de Servei (DDoS). El núvol ampliarà l'ample de banda a nivells altíssims per poder absorbir els cententars de Gigabits per segon de l'atac i això pot suposar un importantíssim forat econòmic per a una petita empresa.

Per als atacants, en canvi, és una inversió mínima. Un dels hacktivistes que ha participat als atacs d'Anonymous va cometre una equivocació: va publicar a Twitter una captura del seu escriptori personal (https://twitter.com/Anon_CatRebel/status/1031554583972208640), on es veia que estava fent servir un servei d'atacs DDoS de pagament, Stressthem (https://www.stressthem.to). És un servei legal , concebut perquè qui vulgui comprovi si els seus servidors aguantarien un atac, però els hacktivistes l'aprofiten pels seus bombardejos.

Si paguem 19€ a Stressthem podem orquestrar tants bombardejos com volguem durant un mes, de 5 minuts cadascun, amb una potència de 15 Gigabits per segon. Si volem fer un atac que duri 4 hores, pagarem 199€. Stressthem no és l'únic servei d'aquest estil. N'hi ha més i més barats, legals i il.legals. Són famoses les xarxes Mirai, que estan formades per dispositius hackejats de la Internet de les Coses, com ara webcams, televisors intel.ligents o bombetes wifi i que es lloguem per minuts o hores per fer atacs que han arribat al record d'1,7 Terabits per segon.(https://www.theregister.co.uk/2018/03/05/worlds_biggest_ddos_attack_record_broken_after_just_five_days)

Kenneth Peiruza, consultor i formador en seguretat i sistemes, explica que les consequències d'un atac DDoS per a una entitat o empresa "depenen de molts factors, d'on estigui allotjada la web, quina oferta tens, quin atac et fan". En cas que agafi l'ample de banda del núvol, Peiruza ha calculat un ratio mínim de despeses per un atac DDoS: 500€ per cada euro que inverteixi l'atacant. Ratio que pot pujar fins els 2.000€ i més enllà.

"Fent els números amb algun dels proveïdors d'atacs més populars, per 55 dòlars un atacant pot enviar 750 Gigabits per segon durant una hora i, si la víctima és al núvol d'Amazon, haurà de pagar 23.000 dòlars per absorbir l'atac". Hi ha trucs que permeten rebaixar encara més el preu que paga l'atacant, com ara els "atacs d'amplificació" (https://en.wikipedia.org/wiki/Denial-of-service_attack#Amplification), que amplien dramàticament el nombre d'ordinadors que participen al bombardeig. Així, segons l'expert, el ratio pot arribar a ser de 21 milions d'euros de pèrdues per cada euro invertit per l'atacant.

En canvi, explica Peiruza, "si tens hostatjat el lloc web al teu propi servidor o a un centre de dades que cobra un fix, com feien abans les empreses i com encara fan els particulars i la majoria d'administracions públiques, un atac farà caure la web perquè sobrepassa les megues per segon que tens contractades, però no et costarà cap diner". Per exemple, diu: "Atacar el web de la policia només ha suposat la molèstia d'interrompre temporalment l'accés al seu lloc web i les hores de feina dels tècnics".

Si l'atac DDoS és contra una multinacional tampoc no patirà gaire, assegura Peiruza, perquè "preferirà empassar-se el cop i escalar potència per garantir que continui funcionant la seva web". La factura pujarà fàcilment als 50.000€ però "hauran mostrat la seva fortalesa tècnica i restat importància a la força dels seus atacants".

Cal recordar, però, que els més grans atacs DDoS de la història d'Internet no els ha provocat Anonymous, on milita gent jove i inexperta que actua per motius ideològics i no té la capacitat econòmica ni operativa de les grans màfies de la ciberdelinqüència.

 

 

Mercè Molist