El caso en que mi gato me avisó de un ataque DDoS

 (dannyguo.com)
3 puntos por GN⁺ 2024-04-15 | 1 comentarios | Compartir por WhatsApp

El gato que me avisó de un ataque DDoS

  • Cuando el autor trabajaba en una startup, no había una rotación formal de guardias on-call
    • Como el on-call es algo desgastante, deliberadamente decidieron no implementarlo
    • En su lugar, el equipo en conjunto prestaba atención a las alertas urgentes
  • Un día, alrededor de las 3 a. m., el gato del autor lo despertó acicalándole la cabeza
    • Que el gato lo acicalara no era algo fuera de lo normal, pero era la primera vez en 9 años que hacía eso mientras él dormía
  • Al revisar su teléfono, vio que unos minutos antes se había activado una alerta de AWS CloudWatch
    • Era una alerta por objetivos anómalos en el balanceador de carga
  • Como el sitio web de la empresa no cargaba, revisó el panel de monitoreo
    • Estaban entrando grandes volúmenes de solicitudes desde muchas direcciones IP, en su mayoría del extranjero
    • El producto de la empresa solo podía usarse dentro de Estados Unidos, así que el tráfico internacional no era normal
    • Se dio cuenta de que era un ataque distribuido de denegación de servicio (DDoS)
  • Al principio intentó bloquear direcciones IP a nivel de servidor, pero recordó que AWS WAF (Web Application Firewall) ya estaba configurado
    • Para responder de inmediato a la caída del servicio, creó una regla para bloquear solicitudes desde otros países
    • Esa medida bloqueó cientos de miles de solicitudes y el sitio volvió a funcionar
  • Más tarde descubrió que, en el momento en que comenzó el ataque, había llegado un mensaje al correo de soporte al cliente
    • El remitente, con una gramática terrible, afirmaba haber encontrado una vulnerabilidad del sitio web para tumbar Apache, que ni siquiera usaban
    • Decía que entregaría un "archivo de solución" si le enviaban 5,000 dólares en Bitcoin, pero decidió no responder
  • Al autor todavía le cuesta creer el timing perfecto con el que su gato lo despertó
    • Se podría suponer que el gato se despertó antes porque la alerta de AWS hizo vibrar o sonar el teléfono, pero por la noche tenía activado el modo No molestar
    • Por eso, le gusta pensar que el gato detectó de alguna manera que había un problema que no podía esperar hasta la mañana
    • Fue una forma mucho más agradable de despertarse que con una alerta de PagerDuty

La opinión de GN⁺

  • Es cierto que en las primeras etapas de una startup puede ser difícil tener una rotación formal de guardias on-call, pero al menos conviene contar con un sistema básico de monitoreo y alertas. No es sostenible que todo el equipo esté siempre pendiente
  • Tener AWS WAF y otras medidas configuradas de antemano parece haber facilitado mucho la respuesta en una situación urgente. Es un buen ejemplo de la importancia de prepararse de antemano ante amenazas de seguridad
  • Decidir no responder al correo del atacante fue una elección sensata. Ceder ante una extorsión puede causar problemas mayores
  • Si se implementa un sistema de detección de anomalías basado en machine learning, un algoritmo podría detectar este tipo de ataques antes que el gato. Aun así, quizá no convenga subestimar la intuición de las mascotas

Lecturas relacionadas

1 comentarios

 
GN⁺ 2024-04-15
Opiniones de Hacker News
  • Es fácil pasar por alto la amenaza interna. Con un correo de extorsión con gramática sospechosa y una exigencia de rescate en bitcoin, nunca pensé que el gato pudiera estar detrás del ataque
  • En Kansas casi no hay terremotos, pero la única experiencia de terremoto que recuerdo:
    • Un gato siamés me despertó rascándome la cara y luego se sentó al borde de la cama gruñendo (un comportamiento fuera de lo normal)
    • 30 segundos después empezó el temblor. No sé cómo lo supo, pero fue impresionante. Falleció en 2020 y todavía lo extraño
  • También pudo haber detectado el parpadeo de la pantalla incluso en modo silencioso
  • En mi primer trabajo, un compañero podía detectar incidentes en el dashboard de monitoreo antes de que ocurrieran. No podía explicar exactamente qué era, pero sentía que algo andaba raro, y la mayoría de las veces la alerta sonaba poco después
  • Un rescate ridículo de 5,000 dólares. Cuando recibimos un ataque DDoS en 2016 preparé bitcoin, pero decidí ignorarlo. En cambio, gastamos mucho más en defensa contra DDoS, pero vale la pena no darles dinero a los extorsionadores
  • Consideré burlarme de los extorsionadores, pero era arriesgado porque podía hacer que apareciéramos más en su radar. No responder es la única solución
  • Un familiar de alguien dijo que su gato le advirtió sobre una fuga del lavavajillas. Era difícil concluir si el gato intentaba salvarlos o matarlos
  • Podría ser sensible a los campos eléctricos y magnéticos. Si dormía sobre una almohadilla térmica eléctrica o un colchón magnético, al día siguiente me sentía mal, y si pasaba mucho tiempo frente a un monitor CRT me daba diarrea. Después de cambiar a una LCD o una laptop, los síntomas desaparecieron. Si al dormir tenía un router inalámbrico a la derecha y veía YouTube en un smartphone a la izquierda, tenía sueños extraños y me despertaba temprano. Pero si ponía el smartphone a la derecha, los síntomas disminuían
  • Supongo que el gato también detectó algo sin hacer ruido
  • Me recordó al libro "El perro que sabía cuándo volvía su dueño"
  • Pensé que habías conectado el comedero del gato a una alarma, pero resultó ser una anécdota tierna. Me da curiosidad el nombre del gato
  • ¿Habrá alguna forma de detener por completo un ataque DDoS? A diferencia de otras amenazas, es un ataque de bajo nivel que se puede lanzar solo con scripts o servicios, sin habilidades ni conocimientos especiales