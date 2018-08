Els recents atacs d'Anonymous contra una vintena de webs, algunes de partits polítics espanyols , podrien costar des de dos mil euros fins a desenes de milers, en cas que les víctimes utilitzin els serveis d'un proveïdor al núvol. Els bombardejos cibernètics suposen una inversió de pocs euros per a l'atacant i grans pèrdues, en imatge o inversió en ample de banda, per als atacats.De la vintena d'atacs ( https://hastebin.com/useqonataf.shell ) que ha orquestrat Anonymous a les darreres hores, dins l'anomenada Operació Catalunya ( #OpCatalunya ), la majoria són contra webs de l'Administració Pública espanyola, com ara el Tribunal Constitucional, la Policía Nacional ( https://twitter.com/NamaTikure/status/1031492459711352832 ), el portal de Firma Electrónica ( https://twitter.com/IiIskies/status/1031365680199872513 ) o el Ministeri d'Afers Exteriors ( https://twitter.com/Insentlves/status/1031342878570762241 ). Les webs de l'administració no solen utilitzar el núvol sinó que estan allotjades en servidors propis, sovint obsolets, que si són atacats com a molts es penjaran però no provocaran pèrdues econòmiques.Una altra història són les empreses i partits polítics. Anonymous ha atacat en aquesta tongada de l'#opCatalunya al PSOE ( https://twitter.com/anoncatalonia/status/1031226238411657216 ), el PP ( https://twitter.com/anoncatalonia/status/1031226238411657216 ), la Falange Espanyola ( https://twitter.com/Insentlves/status/1031345884372578304 ) i una empresa de robòtica, tecnologia aeronàutica i biomèdica de Sant Cugat del Vallès: Gutmar. Si aquestes entitats gestionen les seves webs al núvol i, com la majoria, no tenen contractat un sistema anti-DDoS, han begut oli.Cada cop més empreses i organitzacions, sobretot les grans i les start-up, contracten proveïdors al núvol (cloud), com ara Amazon, Microsoft Azure o Google, que ofereixen els seus serveis de forma contínua i amb una gestió molt fàcil i competitiva. Per exemple, en comptes de pagar a un proveïdor tradicional d'allotjament de webs un fix per cobrir l'ample de banda que gastaran les visites a la nostra web, al núvol es paga segons si n'hi ha més o menys, de forma flexible.Així, si hem posat un anunci de la nostra empresa a la televisió i augmenten les visites, el proveïdor obrirà més el canó, deixarà entrar tothom a la nostra web i ho reflectirà a la factura del mes. El problema ve quan l'augment de trànsit no és per un anunci sinó per un atac de Denegació Distribuïda de Servei (DDoS). El núvol ampliarà l'ample de banda a nivells altíssims per poder absorbir els centenars de gigabits per segon de l'atac i això pot suposar un importantíssim forat econòmic per a una petita empresa.Per als atacants, en canvi, és una inversió mínima. Un dels hacktivistes que ha participat als atacs d'Anonymous va cometre una equivocació: va publicar a Twitter una captura del seu escriptori personal ( https://twitter.com/Anon_CatRebel/status/1031554583972208640 ), on es veia que estava fent servir un servei d'atacs DDoS de pagament, Stressthem ( https://www.stressthem.to ). Aquest és un servei legal , concebut perquè qui vulgui comprovi si els seus servidors aguantarien un atac, però els hacktivistes l'aprofiten pels seus bombardejos.Pagant 19€ a Stressthem es pot orquestrar tants bombardejos com es vulgui durant un mes, de cinc minuts cadascun, amb una potència de 15 gigabits per segon. Si es vol fer un atac que duri quatre hores, pagarem 199€. Stressthem no és l'únic servei d'aquest estil. N'hi ha més i de més barats, legals i il·legals. Són famoses les xarxes Mirai, que estan formades per dispositius hackejats de la Internet de les Coses, com ara webcams, televisors intel·ligents o bombetes wifi i que es lloguem per minuts o hores per fer atacs que han arribat al record d'1,7 terabits per segon.( https://www.theregister.co.uk/2018/03/05/worlds_biggest_ddos_attack_record_broken_after_just_five_days Kenneth Peiruza, consultor i formador en seguretat i sistemes, explica que les conseqüències d'un atac DDoS per a una entitat o empresa "depenen de molts factors, d'on estigui allotjada la web, quina oferta tens i quin atac et fan". En cas que agafi l'amplada de banda del núvol, Peiruza ha calculat una ratio mínima de despeses per un atac DDoS: 500 euros per cada euro que inverteixi l'atacant. Aquest ratio que pot pujar fins els 2.000 euros i més enllà."Fent els números amb algun dels proveïdors d'atacs més populars, per 55 dòlars un atacant pot enviar 750 gigabits per segon durant una hora i, si la víctima és al núvol d'Amazon, haurà de pagar 23.000 dòlars per absorbir l'atac". Hi ha trucs que permeten rebaixar encara més el preu que paga l'atacant, com ara els "atacs d'amplificació" ( https://en.wikipedia.org/wiki/Denial-of-service_attack#Amplification ), que amplien dramàticament el nombre d'ordinadors que participen al bombardeig. Així, segons l'expert, el ratio pot arribar a ser de 21 milions d'euros de pèrdues per cada euro invertit per l'atacant.En canvi, explica Peiruza, "si tens hostatjat el lloc web al teu propi servidor o en un centre de dades que cobra un fix, com feien abans les empreses i com encara fan els particulars i la majoria d'administracions públiques, un atac farà caure la web perquè sobrepassa les megues per segon que tens contractades, però no et costarà diners". I també concreta que "atacar el web de la policia només ha suposat la molèstia d'interrompre temporalment l'accés al seu lloc web i les hores de feina dels tècnics".Si l'atac DDoS és contra una multinacional, tampoc no patirà gaire, assegura Peiruza, perquè "preferirà empassar-se el cop i escalar potència per garantir que continuï funcionant el seu web". La factura pujarà fàcilment als 50.000 euros però "hauran mostrat la seva fortalesa tècnica i restat importància a la força dels seus atacants".Cal recordar, però, que els més grans atacs DDoS de la història d'Internet no els ha provocat Anonymous, on milita gent jove i inexperta que actua per motius ideològics i que no té la capacitat econòmica ni operativa de les grans màfies de la ciberdelinqüència.

