1.4.1.

Casos prácticos: el gusano de Morris

¡Hola! bienvenidos a la lección final de esta charla introductoria a la Ciberseguridad. Hoy
veremos más de cerca tres casos históricos interesantes. En primer lugar, hablaremos sobre
el gusano de Morris, uno de los primeros incidentes de seguridad en Internet.

Luego exploraremos un tema que ha ido ganando importancia año tras año: la seguridad de
los datos personales. Utilizaremos para ello el caso de la red de pago de Sony PlayStation
en 2011. Y finalmente discutiremos el ataque masivo distribuido de negación de servicio
contra Dyn en el año 2016.

El gusano de Morris
Comencemos con el gusano de Morris, o el gusano de internet, como se llamó en aquel
momento. Este es uno de los primeros programas informáticos maliciosos que demostró
cómo se puede utilizar internet para propagarse. Lo escribió Robert Tappan Morris,
entonces un estudiante graduado en la Universidad de Cornell.

El gusano fue lanzado el 2 de noviembre de 1988 desde un ordenador en el MIT. Este es

también un buen caso para entender la diferencia entre intención y efecto en el caso del
malware. Incluso si el gusano no tenía ninguna carga maliciosa, es decir, no estaba
destinado a causar ningún daño al sistema infectado, un error en el mecanismo de
propagación resultó en un gran ataque contra internet en aquel momento.

Efectos principales

La cuestión es que una víctima podría infectarse varias veces y el efecto general fue que
miles de las máquinas se infectaron e internet sufrió un particionamiento durante varios
días, es decir, que muchos sistemas se volvieron inalcanzables desde otros sistemas.

Una consecuencia positiva de este incidente fue:

La creación del centro coordinado del equipo informático de respuesta a incidentes

en el Instituto de Ingeniería del Software de la Universidad CMU, con el propósito
de proporcionar coordinación central para responder a sucesos como este en el
futuro.
¿Cómo funcionó?

A un nivel más técnico, el gusano funcionaba infectando un ordenador, ya sea a

través de un shell remoto o explotando vulnerabilidades en varios servicios.
La máquina infectada se utilizaba a continuación para atraer una copia del gusano:
o Comenzar a propagarse desde allí para ello.
o Para ello, el programa implementó varias capacidades que incluían encontrar
otros nombres de host para infectar.
o Descifrar contraseñas de usuario de las máquinas infectadas.
o Luego utilizar estas credenciales para conectarse a otras máquinas donde los
usuarios tenían cuentas. Desde 1988 muchos otros gusanos han poblado
internet, algunos de los cuales han causado un daño económico sustancial,
así como pérdidas y muchas molestias a los usuarios.
1.4.2 Casos prácticos: el PlayStation Network y el Dyn DDos

Con el estudio de varios incidentes relevantes en ciberseguridad. El segundo caso del que
hablaremos hoy es el ataque sufrido por la red de pago de Sony PlayStation en el año 2011.

Esta fue una de las mayores violaciones de seguridad de datos en la historia en aquel
momento. Según algunos informes, se expusieron hasta 100 millones de cuentas, que
incluían no sólo credenciales de acceso (es decir, nombres de usuario y sus contraseñas),
sino también mucha información de identificación personal, como el nombre, correo
electrónico, dirección fecha de nacimiento, etc., además de detalles de la tarjeta de crédito.
El ataque afectó también a Qriocity, que es el servicio de transmisión de Sony. Aparte de
esta pérdida masiva de datos, todo el servicio estuvo no disponible durante 23 días, por lo
cual la compañía tuvo que compensar a los usuarios afectados. De acuerdo con Sony, este
fue el resultado de un plan cuidadosamente planeado, un ataque muy profesional y
altamente sofisticado.

Otros robos/pérdida de datos:

Yahoo en el año 2013 con 1.000 millones de cuentas.

Yahoo en el 2014, 500 millones de cuentas.
 eBay sufrió en 2014 una pérdida 145 millones de cuentas.
MySpace, en 2016 una de 163 millones de cuentas.
Friend Finder Network, también en 2016, con 412 millones de cuentas.

Ataque DDos a Dyn (2016)

Quizás, el más significativo de todos ellos es el que afectó a Dyn, un proveedor de DNS, el
día 21 de octubre.

El servicio se congestionó debido a múltiples peticiones DNS procedentes de

decenas de millones de direcciones IP. Esto era posiblemente el mayor ataque de
denegación de servicio distribuida registrado hasta la fecha. con un ancho de banda
estimado de 1.2 Terabytes por segundo.
Las máquinas atacantes fueron dispositivos de la llamada Internet de las cosas, o
IOT, como impresoras, cámaras de internet, routers, etc, controlados por la botnet
Mirai.

La lista de servicios afectados incluidos:

Amazon, PayPal, Twitter y Airbnb.

BBC, la CNN, Fox News, y el New York Times, The Guardian, Wall Street Journal
y Wired.
HBO o Netflix; sitios de juegos como PlayStation o Xbox online y otros servicios
como Spotify o Twitter.

Botnet Mirai

La herramienta principal detrás de estos ataques es la botnet Mirai.

Los sistemas infectados fueron dispositivos conectados a internet, como cámaras,

routers, impresoras e incluso monitores para bebés.
La infección es bastante simple y se basaba en el uso de nombres de usuario y
contraseñas predeterminados de fábrica en estos dispositivos.
A parte del ataque contra ellos, Mirai fue utilizada en otros ataques de denegación
de servicio distribuidos a finales del año 2016.
Estos incluyen el ataque contra el blog de Krebs, el web host francés OVH y también la
infraestructura de Internet de Liberia. Para concluir con este caso, me gustaría comentar
que el código fuente de Mirai fue divulgado públicamente y partes de él se han utilizado
posteriormente para otros ataques más recientes.