Datos recogidos al ataque que sufrió confidencial.com.ni

Durante la protesta #SOSNicaragua, #SOSINSS -y específicamente la mañana del 23 de Abril de 2018- el sitio web del medio de comunicación confidencial estaba parcialmente inaccesible, principalmente desde Nicaragua. Desde sus redes sociales el inconveniente fue hecho público de esta manera:

 

Lo primero que se me vino a la cabeza -como buen “mal pensado”- fue que desde el NIC de Nicaragua habían deshabilitado el dominio, pero para mi (grata) sorpresa las consultas DNS a sus servidores respondían correctamente los registros NS para confidencial.com.ni (y a su vez indicaba que el NIC no estaba siendo mangoneado como TELCOR):

ns-dreamhost

En la captura de pantalla está la consulta a uno de los DNS públicos de NIC.NI (el otro es ns.ni), donde indicaba bien los registros de tipo “NS”. El dominio confidencial.com.ni estaba apuntando correctamente a los DNS de su proveedor de alojamiento llamado DreamHost (ns1.dreamhost.com y ns2.dreamhost.com).

Luego la consulta DNS para registros de tipo “A” a los servidores de DreamHost estaban arrojando dos apuntadores:

a-confidencial

  • 192.124.249.105: Perteneciente a SUCURI-ARIN-002 (Sucuri)
  • 173.236.148.3: Perteneciente a DREAMHOST-BLK10 (New Dream Network, LLC)

La IP “correcta” para el sitio de Confidencial es la segunda, 173.236.148.3, la primera por su parte, pertecene a una empresa que ofrece soluciones de seguridad para sitios web llamada Sucuri, la cual -hasta donde he visto- enfoca su publicidad en español hacia WordPress (líder del mercado de CMS), plataforma bajo la que está hecho el sitio web de Confidencial.

El comportamiento para nombres de dominio con más de un registro tipo “A” es balanceo de carga con algorítmo round-robin, eso quiere decir que cada vez que solicitemos la resolución del nombre de dominio confidencial.com.ni (bajo las circunstancia en que se encontraba la configuración DNS durante la captura de pantalla anteior) estaremos obteniendo una de las dos direcciones IP e iterando entre ellás mientras sigamos realizando nuevas consulta DNS (No todas las aplicaciones hacen la consulta en cada petición, muchas usan caché DNS). Esto se define en el RFC 1794.

Por ejemplo al realizar una traza usando protocolo TCP se puede ver como en la primera ocasión va hacia una IP y en la siguiente hacia la segunda IP:

Traza 1:

traza-

Traza 2:

traza-2

Esta dualidad en la resolución DNS llevó a algunos a pensar de que se trataba de DNS hijacking o poisoning y que por ello el sitio no servía las nuevas solicitudes a la página.

 

La IP de Sucuri (192.124.249.105) es un WAF (Web Application Firewall), o bien, un filtro a nivel de capa de aplicación que detecta ataques basándose en una base de datos de firmas y patrones de ataques web comunes. Un WAF bastante popular para Apache, servidor web bajo el que está alojado Confidencial en DreamHost, es el módulo mod_security (OWASP CRS).

Una vez que el sitio estaba arriba la resolución DNS ya únicamente apuntaba a la IP de DreamHost y la IP de Sucuri no figuraba más. A nivel de WAF no había nada nuevo que pudiera ser detectado a simple vista, o por lo menos con WAFW00F.

Queda la duda del porqué el dominio estuvo apuntando al WAF mientras el sitio estuvo caído y porque luego desapareció cuando el sitio se encontraba arriba nuevamente. Una posibilidad es que estuvo ahí con fines de reconocimiento mientras duró el ataque, otra es que estuvo mal configurada.

Por la noche en el programa “Esta Noche”, Carlos Fernando Chamorro indicó que se trataba de un DoS pero me quedó la duda del porqué en otros países el sitio seguía accesible durante el ataque (peticiones provenientes de otros países estuvieron siendo servidas por CDNs geográficamente distribuidas?).

No se dieron a conocer más detalles del ataque.

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: