Investigadores advierten que varios protocolos utilizados por el servicio peer-to-peer para compartir archivos BitTorrent, incluyendo algunos clientes que ejecutan el protocolo, pueden ser aprovechados para llevar a cabo ataques de denegación de servicios distribuido reflexivo (DRDOS).
Los ataques de denegación de servicios distribuidos reflexivos o ataques DRDOS, ocurren cuando los atacantes envían una abrumadora cantidad de tráfico a amplificadores, que actúan como reflectores y redirigen el tráfico a una víctima. A diferencia de los ataques de denegación de servicio convencionales, en los ataques DRDOS el tráfico no se envía directamente a la víctima.
Los investigadores describen varios escenarios de ataque que implican el protocolo en un trabajo académico llamado "P2P file-sharing in hell: Exploiting BitTorrent Vulnerabilities to Launch Distributed Reflective DoS Attacks" (.PDF) publicado como parte del taller de USENIX Woot '15 la semana pasada.
En el documento, Florian Adamsky, un estudiante de investigación en la City University de Londres, describe cómo explotar los protocolos comunes de la red BitTorrent, incluyendo su opción de transporte predeterminado, UTP. Adamsky, que ha publicado investigaciones de BitTorrent en el pasado, fue asistido por Syed Ali Khayam de PLUMgrid, Inc., Friedberg Rudolf Jager de THM, y otro estudiante City University de Londres, Muttukrishnan Rajarajan, en este trabajo.
Para la prueba de los ataques, los investigadores armaron un "banco de pruebas de laboratorio de P2P", compuesto por más de 10.000 handshakes de BitTorrent - conexiones bidireccionales entre nodos UTP.
Suponiendo que tienen un SHA-1 info-hash válido, los investigadores afirman que UTP podría permitir a atacantes llevar a cabo ataques mediante el uso de una dirección IP falsa. De hecho, los ataques canalizados a través de BitTorrent podrían amplificarse hasta 50 veces. Esto incluye los filtrados a través de algunos de los clientes más populares, como uTorrent, Mainline y uno de los mayores culpables, Vuze, que lograron acentuar los ataques hasta 54 veces.
"UTP establece una conexión con un handshake de dos vías. Esto permite a un atacante establecer una conexión con un amplificador con una dirección IP falsificada, ya que el receptor no comprueba si el iniciador ha recibido el reconocimiento ", dice el documento.
El vector de ataque utilizado es difícil de detectar advierten los investigadores, haciendo hincapié en que un ataque DRDOS, encaminado a través de BitTorrent, no puede ser detectado por los cortafuegos (firewall) normales. Los usuarios tendrían que ir más allá, mediante la implementación de cortafuegos con inspección profunda de paquetes (DPI) para detectar la mayoría de los ataques, según Adamsky y compañía. Un handshake MSE sería aún más complicado.
"En caso de un handshake MSE, es aún más difícil de detectar el ataque, ya que el paquete contiene un alto payload de entropía con una clave pública y datos aleatorios", escriben los investigadores.
Para combatir estos ataques, los investigadores alientan a los desarrolladores detrás del protocolo para cambiar UTP a uno de tres vías más seguras, como la que utiliza TCP, lo que impediría que ataques como estos puedan suceder.
Los investigadores afirman que hay un montón de otras técnicas, tales como la limitación de los mensajes en el primer paquete de UTP que se envía a los amplificadores, que también podría ayudar a frustrar la falsificación de IP y reducir al mínimo el número de ataques de amplificación que utilizan BitTorrent como medio.
Los investigadores subrayan que los protocolos utilizados por BitTorrent que no son UTP, incluyendo DHT - Distributed Hash Table, MSE - Mensaje Corriente de cifrado y BTSync - BitTorrent Sync, también son vulnerables a estos tipos de ataques. En el caso de BTSync, un atacante podría utilizar "un solo mensaje ping" para amplificar algunos ataques hasta 120 veces a través del protocolo, según el ensayo.
Las nuevas formas de ataques de denegación de servicio reflejados están subiendo la apuesta cuando se trata de ataques DDoS a gran escala. A principios de este año, hackers utilizaron un viejo protocolo de enrutamiento RIPv1 encontrado en diversos routers empresariales viejos y desactualizados para lanzar ataques DDoS amplificados y reflejados.
En abril de expertos advirtieron de una vulnerabilidad en el DNS de multidifusión que podría ser aprovechada y como resultado desencadenar ataques DDoS de amplificación de alto volumen.
 |
| Imagen: ThreatPost |
Los investigadores describen varios escenarios de ataque que implican el protocolo en un trabajo académico llamado "P2P file-sharing in hell: Exploiting BitTorrent Vulnerabilities to Launch Distributed Reflective DoS Attacks" (.PDF) publicado como parte del taller de USENIX Woot '15 la semana pasada.
En el documento, Florian Adamsky, un estudiante de investigación en la City University de Londres, describe cómo explotar los protocolos comunes de la red BitTorrent, incluyendo su opción de transporte predeterminado, UTP. Adamsky, que ha publicado investigaciones de BitTorrent en el pasado, fue asistido por Syed Ali Khayam de PLUMgrid, Inc., Friedberg Rudolf Jager de THM, y otro estudiante City University de Londres, Muttukrishnan Rajarajan, en este trabajo.
Para la prueba de los ataques, los investigadores armaron un "banco de pruebas de laboratorio de P2P", compuesto por más de 10.000 handshakes de BitTorrent - conexiones bidireccionales entre nodos UTP.
Suponiendo que tienen un SHA-1 info-hash válido, los investigadores afirman que UTP podría permitir a atacantes llevar a cabo ataques mediante el uso de una dirección IP falsa. De hecho, los ataques canalizados a través de BitTorrent podrían amplificarse hasta 50 veces. Esto incluye los filtrados a través de algunos de los clientes más populares, como uTorrent, Mainline y uno de los mayores culpables, Vuze, que lograron acentuar los ataques hasta 54 veces.
"UTP establece una conexión con un handshake de dos vías. Esto permite a un atacante establecer una conexión con un amplificador con una dirección IP falsificada, ya que el receptor no comprueba si el iniciador ha recibido el reconocimiento ", dice el documento.
El vector de ataque utilizado es difícil de detectar advierten los investigadores, haciendo hincapié en que un ataque DRDOS, encaminado a través de BitTorrent, no puede ser detectado por los cortafuegos (firewall) normales. Los usuarios tendrían que ir más allá, mediante la implementación de cortafuegos con inspección profunda de paquetes (DPI) para detectar la mayoría de los ataques, según Adamsky y compañía. Un handshake MSE sería aún más complicado.
"En caso de un handshake MSE, es aún más difícil de detectar el ataque, ya que el paquete contiene un alto payload de entropía con una clave pública y datos aleatorios", escriben los investigadores.
Para combatir estos ataques, los investigadores alientan a los desarrolladores detrás del protocolo para cambiar UTP a uno de tres vías más seguras, como la que utiliza TCP, lo que impediría que ataques como estos puedan suceder.
Los investigadores afirman que hay un montón de otras técnicas, tales como la limitación de los mensajes en el primer paquete de UTP que se envía a los amplificadores, que también podría ayudar a frustrar la falsificación de IP y reducir al mínimo el número de ataques de amplificación que utilizan BitTorrent como medio.
Los investigadores subrayan que los protocolos utilizados por BitTorrent que no son UTP, incluyendo DHT - Distributed Hash Table, MSE - Mensaje Corriente de cifrado y BTSync - BitTorrent Sync, también son vulnerables a estos tipos de ataques. En el caso de BTSync, un atacante podría utilizar "un solo mensaje ping" para amplificar algunos ataques hasta 120 veces a través del protocolo, según el ensayo.
Las nuevas formas de ataques de denegación de servicio reflejados están subiendo la apuesta cuando se trata de ataques DDoS a gran escala. A principios de este año, hackers utilizaron un viejo protocolo de enrutamiento RIPv1 encontrado en diversos routers empresariales viejos y desactualizados para lanzar ataques DDoS amplificados y reflejados.
En abril de expertos advirtieron de una vulnerabilidad en el DNS de multidifusión que podría ser aprovechada y como resultado desencadenar ataques DDoS de amplificación de alto volumen.
