Akami acaba de publicar recientemente el Informe de Seguridad sobre el estado de Internet del Segundo Trimestre de 2015, un documento que ofrece un análisis y visión del panorama global de amenazas de ataques a la seguridad de la nube.

Echando un vistazo al informe publicado podemos extraer grandes conclusiones que nos llevan a desarrollar mejores sistemas de seguridad, pues como bien dice John Summers, Vicepresidente de la Unidad de Negocio de Seguridad de la Nube de Akamai, solo “analizando los ataques observados sobre nuestras redes, somos capaces de identificar amenazas y tendencias emergentes para así ofrecer al público informaciones para reforzar sus redes, sitios web y aplicaciones así como mejorar sus perfiles de seguridad en la nube”.

“Por ejemplo, para este informe, no solo hemos añadido dos vectores de ataques a aplicaciones web a nuestro análisis, sino que también hemos examinado la amenaza percibida planteada por el tráfico Tor (onion router) e incluso descubierto algunas nuevas vulnerabilidades en plugins de WordPress de terceros que se están publicando como CVEs,” dijo. “Cuanto más sabes sobre amenazas de ciberseguridad, mejor puedes defender tu empresa”.

La actividad de ataques DDoS

El número de ataques DDoS se duplica año tras año. En el segundo trimestre de 2015, ha habido doce ataques con picos de más de 100 Gigabits (Gbps) y cinco ataques con picos de más de 50 millones de paquetes por segundo (Mbps). Algo verdaderamente preocupante si tenemos en cuenta que muy pocas organizaciones tienen la capacidad de aguantar este tipo de ataques por sí mismas.

El mayor ataque DDoS del segundo trimestre de 2015 midió más de 240 gigabits por segundo (Gbps) y duró más de 13 horas. A su vez, fue también durante el segundo trimestre de 2015 cuando se vio uno de los ataques con la mayor tasa de paquetes nunca registrada sobre la red Prolexic Routed, que alcanzó un pico de 214 Mpps. Un volumen de ataque capaz de aniquilar routers de primer nivel, como los que utilizan los proveedores de servicios de Internet (ISPs).

SYN y el Protocolo Simple de Descubrimiento de Servicios (Simple Service Discovery Protocol – SSDP) fueron los vectores de ataques DDoS más comunes este trimestre, ya que cada uno de ellos representó aproximadamente un 16 % del tráfico de ataques DDoS. La proliferación de dispositivos conectados a Internet y ubicados en casa sin seguridad que utilizan el Protocolo Universal Plug and Play (UPnP) sigue haciendo que sean atractivos para ser usados como reflectores SSDP. Aunque hace un año apenas se veían, los ataques SSDP han sido uno de los primeros vectores de ataques durante los últimos tres trimestres. Las inundaciones SYN han seguido siendo uno de los vectores más comunes entre todos los ataques volumétricos, desde la primera edición de los informes de seguridad en el tercer trimestre de 2011.

La industria de juegos online ha seguido siendo una de las más atacadas desde el segundo trimestre de 2014, siendo perjudicada de forma repetida en alrededor del 35 % de los ataques DDoS. China también mantiene su récord, siendo la primera fuente intacta de tráfico de ataques en los últimos dos trimestres.

Actividad de ataques a aplicaciones web

Estos ataques llevan contabilizándose para las estadísticas desde el primer trimestre de 2015. En este trimestre se analizaron dos vectores de ataques más: Shellshock y cross-site scripting (XSS).

Al igual que en el primer trimestre de 2015, las industrias de servicios financieros y retail fueron las más frecuentemente atacadas.

Shellshock, una vulnerabilidad de Bash que se detectó por primera vez en septiembre de 2014, se utilizó en el 49 % de los ataques a aplicaciones web este trimestre. Sin embargo, el 95 % de los ataques Shellshock se han dirigido a un único cliente de la industria de los servicios financieros, en una agresiva y persistente campaña de ataques que duró las primeras semanas del trimestre. Como los ataques Shellshock ocurren típicamente sobre HTTPS, esta campaña alteró el equilibrio de ataques sobre HTTPS vs HTTP. En el primer trimestre de 2015, solo el 9 % de los ataques ocurrió sobre HTTPS; este trimestre un 56 % se realizó sobre canales HTTPS.

Por detrás de Shellshock, los ataques de inyección SSQL (SQLi) representaron un 26 % de todos los ataques. Esto representa un incremento superior al 75 % de las alertas solo en el segundo trimestre. En contraste, la inclusión de ficheros locales (LFI) bajó de forma significativa este trimestre. Aunque fue el primer vector de ataques a aplicaciones web en el primer trimestre de 2015, LFI solo representó un 18 % de las alertas en el segundo trimestre de 2015. Los ataques por inclusión de fichero remoto (RFI), inyección PHP (PHPi), inyección de comando (CMDi), inyección OGNL utilizando OGNL Java Expressing Language (JAVAi), y subida de ficheros maliciosos (MFU) combinados representaron un 7 % de los ataques a aplicaciones web.

La amenaza de los plugins y temas WordPress de empresas terceras

WordPress, la plataforma de creación de sitios web y blogs, es un claro objetivo para los atacantes que apuntan a explotar cientos de vulnerabilidades conocidas para construir botnets, difundir malware y lanzar campañas DDoS.

Los plugins de terceros pasan por muy poca o ninguna inspección del código, y de ahí su peligro. Para entender mejor el panorama de amenazas, Akamai ha probado más de 1.300 de los plugins y temas más populares. El resultado, se identificaron 25 plugins y temas individuales que tuvieron al menos una nueva vulnerabilidad (alcanzando 49 exploits potenciales).

Los pros y los contras de Tor

El proyecto Tor asegura que el nodo de entrada a una red no coincide con el nodo de salida, proporcionando una capa de anonimidad para sus usuarios. Aunque Tor tiene muchos usos legítimos, su anonimato lo convierte en una opción atractiva para los actores maliciosos.

Tratando de evaluar los riesgos involucrados con permitir el tráfico Tor a los sitios web, Akamai ha analizado tráfico web en base de clientes de seguridad Kona durante un periodo de siete días.

Bloquear el tráfico Tor podría ser negativo para el negocio

Este análisis mostró que el 99 % de los ataques procedieron de IPs que no eran Tor. Sin embargo, una de las 380 solicitudes procedentes de nodos de salida Tor fue maliciosa. Al contrario, solo una de las 11.500 solicitudes de IPs que no eran Tor fue maliciosa. Dicho esto, bloquear el tráfico Tor podría tener un impacto negativo sobre el negocio. Sin embargo, las solicitudes HTTP legítimas a páginas de comercio electrónico mostraron que los nodos de salida Tor tenían tasas de conversión parejas a las IPs que no eran Tor.