Quienes estén haciendo uso de una herramienta para realizar ataques DDoS contra otras páginas web con la intención de apoyar la causa de WikiLeaks, podrán ser rastreados fácilmente. Así lo explicaron investigadores de seguridad .
Miles de personas han descargado “Low Orbit Ion Cannon”, una herramienta que bombardea páginas web específicas con tráfico ilegible en un intento de dejarlas fuera de línea. La herramienta fue dada a conocer por Anonymous, un grupo de activistas en línea que ha atacado a compañías que han cortado el apoyo y soporte a WikiLeaks desde que empezó a dar a conocer cables diplomáticos secretos de Estados Unidos.
Pero investigadores de la Universidad de Twente de Enschede, Holanda, afirman que es muy fácil para los ISP identificar a quienes utilizan la herramienta, puesto que no toma ninguna medida para proteger la identidad de sus usuarios.
Existen numerosas versiones de Low Orbit Ion Cannon. Una es una aplicación cliente que es descargada por el usuario y puede ser controlada remotamente a través de una IRC o puede configurarse manualmente. La otra es una página web basada en JavaScript.
Con la aplicación cliente, la página web atacada puede ver la dirección IP real de la computadora desde la que se está llevando a cabo el ataque. La dirección IP puede relacionarse con el ISP que proporcione el servicio, que podrá investigar a quién corresponde la citada dirección. Lo mismo ocurre cuando alguien utiliza la herramienta basada en Web.
Un método utilizado por los que llevan a cabo ataques DDoS es configurar el programa para utilizar una dirección IP falsa, pero el Low Orbit Ion Cannon no permite hacerlo. Los ataques DDoS también pueden realizarse de manera coordinada utilizando una botnet o una red de máquinas que hayan sido comprometidas. Los usuarios de esos equipos no suelen estar al tanto de que sus ordenadores están infectados y que están tomando parte en un ataque.
El peligro con los ataques WikiLeaks es que muchas de estas personas no tienen muchos conocimientos técnicos, pero están deseando formar parte de la campaña online, sin saber que pueden ser rastreados y localizados.
“La actual técnica de ataque puede ser comparada con desbordar a alguien enviándole cientos de cartas poniendo la dirección real del remitente al reverso del sobre”, han escrito estos investigadores.
En la Unión Europea, los operadores de telecomunicaciones deben retener los datos durante seis meses, “lo que significa que los atacantes pueden ser rastreados fácilmente una vez que han finalizado los ataques”.
De hecho, la policía holandesa ya ha arrestado a dos adolescentes en relación con estos ataques. Según los fiscales holandeses, uno de ellos fue muy fácil de localizar.
Los ataques DDoS, bautizados como Operation: Payback por Anonymous parece que están continuando, según el desarrollador de soluciones de seguridad Imperva. Low Orbit Ion Cannon ha sido descargado unas 67,000 veces.
MasterCard, que dejó de procesar los pagos de WikiLeaks, fue atacada otra vez el pasado fin de semana, las estadísticas de Netcraft muestran que experimentaron ciertos tiempos de inactividad. Una amplia mayoría de fabricantes de seguridad están ahora calificando como amenaza a Low Orbit Ion Cannon y, por tanto, bloquearán el programa.
Imperva también ha declarado que está monitorizando algunas de las comunicaciones entre la gente que coordina los ataques. Esos atacantes están recomendando el desarrollo de un sistema por el que la gente es atraída a otros contenidos como porno, pero al visitar el sitio web se lanzaría la herramienta JavaScript DDoS de manera invisible.
Este enfoque es poco probable que sea efectivo, ha declarado Paul Mutton, un analista de amenazas de seguridad de Netcraft. El tráfico con el que pretenden dañar a estas páginas web vendría del navegador web de una persona. “En pocas palabras, la versión basada en Web del software LOIC no es tan efectiva, pero sí es más fácil de utilizar por cualquier persona”, concluye Mutton.
