DDoS as a service, nueva herramienta, nuevo negocio y nuevo problema

Los ataques de denegación de servicios son bastante antiguos, sin embargo, hace algunos años se debía tener a mano la infraestructura necesaria para poder llevarlos a cabo, por lo general, varios computadores conectados a Internet y manipulados por el atacante. más información.

Luego recuerdo que era común ver anuncios para usar LOIC con el objetivo de bajar un servicio que causara polémica en un momento determinado (político y/o social).

Nueva herramienta


Como herramienta, ahora tenemos servicios pagados para generar denegaciones de servicios, esto nos brinda una infraestructura para nuestros análisis, nuestros test de penetración y/o investigaciones, simplemente pagamos para un uso determinado, ahorrando tiempo y dinero.

Algunos de los servicios que existen son:

beststresser.com
zstress.net
ipstresser.com

Es importante destacar que estos servicios son bastante económicos y cada día van mejorando su infraestructura y su eficacia.

Otro dato curioso es que la mayoría de estos servicios utiliza CloudFlare, un servicio para mitigar los ataques DDOS (claramente la competencia es cosa seria).

Nuevo negocio


Tiempo atrás este tipo de servicio podía costar varios cientos de dólares y por lo tanto había poca demanda. Ahora por sólo algunos dólares se puede contar con un servicio por varios días.

Uno de los casos más famosos y que permitió dar una mirada a la cifras fue el de Lizard Squad, quienes tras atacar con éxito PlayStation Network y XBOX Live en diciembre de 2014 publicaron sus servicios por un precio de entre USD $6 y USD $500.

En enero de 2015, es decir, pasados unos días desde su masiva publicidad, fueron hackeados, se filtraron los datos de sus clientes (con usuario y clave sin encriptar) y los pagos recibidos, que a esa fecha sumaban mas de USD $11.000 (un poco mas de $7.000.000 de pesos en sólo unos días).

En septiembre de 2016 fueron arrestados dos adolescentes israelíes dueños de vDOS, una plataforma para realizar denegaciones de servicios pagados. Esta empresa también fue hackeada, y con ello fue posible el arresto de los dueños. Según la investigación, en los últimos dos años la empresa había generado más de USD $600.000 (más de $380.000.000 de pesos).


Nuevo problema


El problema de todo esto es lo vulnerable que estamos frente a este tipo de ataques (o al menos la mayoría). Se necesitará de mayor inversión en tecnología que permita mitigar estos ataques y no todos podrán pagarla, lo que mantendrá la garantía de estos sitios de ser 100% efectivos con los objetivos.

Otro problema es que el precio es bastante bajo, por lo que cualquier persona con una tarjeta de crédito podría atacar cualquier servicio, es decir, personas sin el conocimiento, perfectamente podrían dejar sin servicio a una web o servidor en particular.







Comentarios

Entradas populares de este blog

Stack Buffer Overflow: Hackeando la memoria en Linux x64

Hacking Tools: sqlidownloader basado en el script en Perl file_reader.pl de PhineasFisher

Ocultando la web shell como una imagen (Apache + PHP)