[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[escepticos] RE: [escepticos] RE: [escepticos] El talón de Aquiles de Internet
----- Original Message -----
From: Javier Marí <jamc en ctv.es>
To: <escepticos en ccdis.dis.ulpgc.es>
Sent: Friday, July 28, 2000 6:34 PM
Subject: [escepticos] RE: [escepticos] El talón de Aquiles de Internet
>
> ----- Original Message -----
> From: Borja Marcos <borjamar en sarenet.es>
> To: <escepticos en ccdis.dis.ulpgc.es>
> Sent: Friday, July 28, 2000 2:49 PM
> Subject: Re: [escepticos] El talón de Aquiles de Internet
>
>
> > "Ramón Díaz-Alersi" wrote:
> > >
> > > En la portada del último número de Nature aparece una fotografía de un
> > > "mapa" de Internet. El título es "El talón de Aquiles de Internet".
> Según
> > > parece las redes complejas (sean cibernéticas o biológicas) tienen una
> > > tolerancia a los errores mayor de la esperada por la simple
redundancia,
> sin
> > > embargo son muy sensibles a los ataques dirigidos. Esto me ha causado
> una
> > > cierta sorpresa, ya conocía esas características en las células, pero
no
> > > comprendo bien porqué Internet reacciona igual, después de todo nos
han
> > > contado que su origen fue la construcción de una rd (ARPANET) que
fuese
> muy
> > > resistente a los ataques... ¿alguien me puede explicar la
contradicción?
>
> Ojo! a los ataques físicos no lógicos.
>
> ARPANET estaba diseñada para que en caso de destrucción de uno de sus
nodos,
> los demás siguieran funcionando independientemente. Esto se conseguía de
dos
> formas:
>
> a) Siempre existe más de un camino para ir de un punto a otro (dos nodos
no
> es una red, es una línea).
> b) Todos los nodos conocen la dirección de todos los demás (esto fue
posible
> por que habían pocos nodos)
>
> De esta forma, la única opción para incomunicar un nodo es destruirlo (o
> destruir todos los demás, claro) y la única forma de anular toda la red es
> destruirla por completo
>
> Internet, sin embargo, no funciona exactamente igual que ARPANET:
>
> a) Siempre existe más de un camino para ir de un punto a otro (si por
> ejemplo, se rompe el enlace entre España y USA, se puede acceder a USA a
> través de Francia) esto es idéntico puesto que es intrínseco a cualquier
> red, sin embargo:
> b) No todos los nodos conocen la dirección de todos los demás, sino que
para
> obtenerla han de consultar con otros nodos que tienen esta función
> específica (consecuencia del enorme número de nodos de la red)
>
> De esta forma, Internet es una red que tiene como puntos débiles los nodos
> que se encargan de proporcionar las direcciones de los demás nodos (los
así
> llamados, servidores de nombres, que son los encargados de traducir
> "sinaptic.com" a 209.15.130.191) de hecho, si solo existiera un servidor
de
> nombres, bastaría con destruir este nodo para dejar inoperativa toda la
> Internet... No, no hay solo uno claro... pero si se consigue entrar en un
> nodo de estos, todos los nodos que se encargan de hacer de servidores de
> nombres responden a un ataque sobre un punto concreto de la red como si
> fueran uno solo. Este es un truco que los crackers están aprendiendo
> rápidamente, y algunos de los ataques hacia sitios "gordos" que se han
hecho
> últimamente no se han hecho directamente, sino que se ha buscado un
servidor
> de nombres con un menor nivel de seguridad y se ha atacado este, cambiando
> la dirección a la que apunta el nombre del objetivo hacia otra propia, una
> vez echo esto, el servidor de nombres se comunica con los demás servidores
> de nombres y actualiza la nueva dirección, con lo que el nodo atacado a
> dejado de existir... hasta que los propietarios legítimos del nombre
> reaccionen, claro. Por suerte -o por desgracia- los servidores de nombres
> tardan bastante en actualizarse y puede darse el caso que según por donde
se
> acceda a la red, al solicitar una dirección se acceda a la original o a la
> crackeada.
>
> Los "pelos" de la red
>
> Un buen símil de lo que es Internet sería el mapa de carreteras. ¿Cuantas
> formas hay de ir, digamos, de Madrid a Barcelona por carretera? infinidad.
> Lo más rápido es lógicamente utilizar la autopista, pero si esta estuviera
> fuera de servicio, se podría dar un rodeo y coger una vía menos directa
pero
> que nos llevaría igual a nuestro destino, podríamos dar un rodeo e ir
> primero a Bilbao o a Valencia, o a Cádiz, o a Berlín, mientras no estén
> cortados todos los accesos a Barcelona o todas las salidas de Madríd
siempre
> es posible encontrar una ruta que nos lleve de un punto a otro. Y aun si
se
> diera el caso que todas las salidas y entradas de una y otra estuvieran
> cortadas, eso solo afectaria al tráfico entre esos dos puntos, el
transporte
> por carreteras entre los demás puntos seguiría siendo posible. Pero ¿que
> ocurriria si en lugar de salir de Madrid, nuestro punto de partida es un
> pueblo de montaña con una sola carretera de entrada y salida? pues que si
> esa carretera se cortara, sería imposible acceder a la red de carreteras y
> no podríamos ir a ningun lugar, puesto que para moverse por una red,
primero
> hay que entrar en ella (perrogrullada del día ;-). Eso son los pelos de la
> red, los puntos que para acceder a los demás nodos primero hay que pasar
> obligatoriamente por uno. Y estos pelos no son otra cosa que los
ordenadores
> domésticos que se conenctan a la red a través de un ISP (Internet Service
> Provider) si el ISP (CTV, Naveglia, Arrakis, Ono, etc.) cae, nuestro punto
> de entrada a la red está cortado. Lógicamente, esto se solventa teniendo
> varios puntos de entrada a la red (varios ISP)... o dedicandose a hacer
> otras cosas mientras nuestro acceso se recupera (¿recordáis aquellos
tiempos
> lejanos en que las personas se comunicaban cara a cara? en serio, os lo
> juro, se llamaba "hablar" y por muy raro que parezca, se requería la
> presencia física de la otra persona para hacerlo X-DDD )
>
> ¿Internet débil?
>
> Volviendo al inicio de esta parrafada, lo cierto es que Internet no és
débil
> en absoluto sino que es muchísimo más sólida de lo que era ARPANET. Del
> mismo modo sus nodos individualmente son mucho más débiles, y a medida que
> la red crece, se acentúa esta tendencia: mayor solidez global y menor
> solidez individual ¿Por qué? pues por DoS motivos:
>
> -Es mucho más solida globalmente por que al haber más nodos se multiplican
> los caminos posibles entre dos puntos y por lo tanto, la caida de un punto
> tiene menos relevancia en las rutas posibles que puenden seguir los datos,
y
> tambien, por que al haber muchos más nodos, la caida de uno de ellos no
> significa necesariamente que perdamos el acceso a una información
concreta,
> sino que sencillamene, tenemos que ir a buscarla en otra parte.
>
> -Los nodos individuales son más débiles puesto que cuanto mayor es la red,
> mayores es -en principio- la cantidad de información que cada uno de los
> nodos debe manejar, aumentando la posibilidad de que la cantidad de
> información a manejar sobrepase la capacidad del nodo para hacerlo. Esta
es
> una debilidad intrínseca a cualquier red y totalmente inevitable: si un
nodo
> tiene capacidad para procesar n peticiones de datos y se producen n+m
> peticiones, va a haber m peticiones que no van a poder ser atendidas.
> Ejemplos de esto son cuando intentamos entrar en el IRC y tenemos que
> cambiar de servidor por que el elegido nos dice que no admite más
> conexiones, cuando una página web nos dar error y tras recargarla va
bajando
> lentamente... estos son los casos de debilidades digamos "naturales"
debido
> al aumento del número de nodos de la red. Claro que siempre es posible
> "echarle una manita a la naturaleza": los casos que hace poco se hicieron
> famosos de ataques coordinados a sitios de elevado tráfico como Yahoo,
> basados en enviarle al nodo más peticiones de datos de las que puede
atender
> de forma continua. Esto se hace introduciendo -bien aprovechando una
> vulnerabilidad del sistema receptor, o bien sencillamente haciendo que una
> persona (por ejemplo un estudiante en una universidad, o cualquiera en un
> cybercafé) acceda físicamente al ordenador- en multitud de sistemas
> programas que permanecen escondidos a la espera de una señal (por ejemplo,
> una fecha determinada) y que cuando la reciben, empiezan a mandar
peticiones
> a un sitio en concreto de forma continua. Cuantos más programas de este
tipo
> se consigue coordinar, más efectivo es el ataque. Contra este tipo de
> ataques no existe practicamente ninguna defensa puesto que no se trata de
> ninguna vulnerabilidad de un sistema operativo en concreto sino que es una
> característica propia de cualquier red y la única defensa posible es
> desconectar y esperara a que "amaine el temporal" o evitar que se inicie
el
> ataque, algo bastante complicado mientras no exista una clara política de
> seguridad informática en muchos de los nodos (o subnodos, incluso "pelos")
> de la red.
>
> Resumiendo (creo que esto debería haberlo hecho antes =8-o). Cuanto mayor
es
> una red, más dificil es que esta deje de funcionar "globalmente" pero
> también es más facil que uno de sus nodos falle (concretamente, justo ese
> que queremos visitar en este momento, Murphy también extiende su reinado a
> las redes digitales ;-)) y los puntos débiles de cualquier red son
aquellos
> en los que existe un menor número de caminos posibles, los "pelos" de la
> red, así como las conexiones entre distintas subredes. Internet,
> globalmente, es cada vez más segura a medida que crece pero al mismo
tiempo,
> cada uno de los nodos que la componen es más vulnerable. A medida que la
red
> vaya creciendo, esta tendencia natural se acentuará, si bien es posible
> corregirla aumentando la capacidad de proceso de los nodos y el ancho de
> banda de las vías de comunicación entre ellos (es decir, ordenadores más
> rápidos, cables más gordos, y más satélites de comunicaciones) y a menos
que
> los responsables de los sistemas informáticos tanto en organismos públicos
> como privados se tomen la seguridad en serio, también se acentuará la
> vulnerabilidad de los nodos frente a ataques dirigidos, basícamente
mediante
> envío másivo de peticiones a un solo punto de la red, o mediante ataques
> convencionales tanto a los diferentes nodos como a los servidores de
> nombres, los mapas de la red..
>
>
> Perndonen vuestras mercedes la parrafada, pero hoy me apetecía darle a la
> tecla =8-o
>
> Saludos
>
> Javier Marí
> jamc en ctv.es
>
>
>
!Saludos a los colisteros!
Me estreno en la corrala con una duda que quiza sea tonta pero ahí va:
Entiendo que en la red, si se satura un nodo,la información se desvía por
otras rutas.
¿No podría darse el caso de que la información desviada de un nodo
saturado,a su vez sature otros nodos y provoque una saturación en cadena?
Carpe diem