En la Internet moderna, los ataques de negación de servicio distribuido (abreviados en inglés como DDoS) son una amenaza considerable, ya que en su concepción básica sobrecargan a los sistemas de un modo que los hace inoperantes. Resulta obvio comprender que todo desarrollo tecnológico tiene límites, provengan estos de su propio diseño, de sus componentes internos, materiales constituyentes, recursos disponibles o de su interacción con el exterior donde opera.
No podemos construir “máquinas de movimiento perpetuo”, las leyes de la termodinámica nos lo confirman. Y todo nuestro ciberespacio tiene bases físicas, reales, con componentes electrónicos, señales electromagnéticas u ópticas. De manera que si usted dispone de suficientes recursos para sobresaturar un sistema, podrá hacerlo colapsar cuando rebase sus límites y ello es absoluto. Cuestión de costes dicen algunos. Si puedes gastar suficiente puedes llevar a su límite a tu contraparte.
En otro orden de ideas, aunque las aplicaciones (“app”) resultan llamativas, atractivas y hasta extensamente conocidas por los usuarios, la Internet es más una infraestructura para que ellas operen. Entre su teléfono inteligente y los servidores que le permiten comprar en línea, al igual que entre los puntos de venta y la banca o los comercios electrónicos con los cuales se negocia, hay una gama de software y de dispositivos específicos, que operan con reglas particulares, estructuradas, sistémicas que se conocen como protocolos.
Hay protocolos de comunicación y otros de redes, así como en distintos niveles de abstracción. Los protocolos de la Internet se asemejan a una cebolla, donde el centro es el “hardware” y la superficie son las aplicaciones. En el medio, como capas, una pila de protocolos, entrelazados y apilados, que proveen diferentes servicios y son la base para que las cosas funcionen. Las app tienen como piso diversos protocolos y si el suelo se derrumba, las aplicaciones también se caen. El asunto preocupante con los protocolos es que los usuarios los usan, pero no los controlan. Y si están defectuosos, no hay antivirus que los limpie o recupere, ya que no son mensajes, son el torrente por donde estos viajan.
Uno de los protocolos más referido es denominado protocolo de transferencia de hipertexto (HTTP) y resulta la base directa del “World Wide Web”. La mayoría de las direcciones web inician con su nombre y la siguen dos puntos con barras (“http://”). Esto significa que las aplicaciones pueden comunicarse usando el HTTP, tal como si este fuera una tubería que conduce el flujo de mensajes. Ahora bien, si ese canal se obstruye o se rompe, las aplicaciones no tendrán vía para trabajar. HTTP versión 1 nació teniendo en mente que las páginas tendrían texto simple y una que otra imagen de tamaño moderada. Pero la web se escapó del entorno científico y fue al ciudadano común, quien cada día demanda mucha más variedad en las páginas.
Hoy se estima además que el 60% del tráfico web funciona con HTTP versión 2. Un protocolo que lleva años operando y faculta peticiones concurrentes, por torrentes y así acelera las comunicaciones webs. Una tubería que hace posible que las aplicaciones envíen tráfico de imágenes, sonidos y texto por montañas. Pero tal mejora contiene también un potencial peligro y es un ataque DDoS sobre HTTP. Este puede hacer que esa tubería se sature con mensajes, hasta un grado que cualquier nueva petición de servicio válida, sea rechazada apenas llegue, por la imposibilidad de tener recursos para atenderla.
A finales de 2023, Cloudflare® y Google® hicieron pública una vulnerabilidad, sin contramedida existente para ese instante, denominada “rápido reinicio”. Esta se fundamentaba en la disparidad de velocidad del procesamiento de una orden de reinicio, contra la del conteo del procesamiento de los flujos transmitidos previamente. Ello podía ser mal aprovechado, para que se descartara el control de máxima cantidad de flujos por cliente. El problema se superó colocando otro límite, el de la cantidad de reinicios que un usuario podía usar, pero ahora el monstruo resurge con un nuevo truco. Este es el caso de un escenario bautizado técnicamente como “te hace reiniciar” (madeyoureset), que a comienzos de este mes sorprendió a la industria.
Y es que se supone que el protocolo HTTP v2 contiene el mecanismo intrínsico del contador máximo de flujos por cliente, pero en escenarios donde hay un intermediario de relevo (“proxie”), puede ser anulado por el mismo servidor que se supone es protegido ante el DDoS. Hace escasos días se reveló un modo de hacer inoperante ese control, con el mismo efecto desvastador del problema del reinicio rápido. Engañando al servidor con un falso error casual. La idea es enviar una andanada de flujos al servidor y obligarlo a transmitir un aviso de reinicio al cliente.
Esto se logra combinando el flujo de datos con flujo de control, deliberadamente mal formado. No hay azar, es una falla deliberada y caculada en el tiempo para engañar al otro extremo y hacer que, erróneamente, lo identifique como una perturbación aleatoria surgida durante la transmisión. Entonces por regla del mismo protocolo, tendrá que responder abortando la comunicación. Tal error forzado, obliga a que el servidor indique la necesidad de reiniciar, pero la disparidad de atención de tiempos con el intermediario de relevo y sus memorias temporales (“buffers”), hace viable ignorar el control del máximo contador de flujos. Con alta probabilidad, una avalancha de tráfico de ese tipo puede sobresaturar a cualquier servidor. Una dificultad que no sería factible de alcanzar con HTTP v1, dado que este protocolo no manejaba flujos, sino peticiones y en modo secuencial.
¿Entonces, cuál es la moraleja de esta historia? Una bien conocida en la ingeniería; todo nuevo desarrollo técnico genera sus propios problemas y perjuicios, sus monstruos. En la época previa a los trenes, no habían muertos por descarrilamiento de vagones. Antes que hubiese calderas, nadie moría por explosiones de estas. Y cuando no existían aviones, no ocurrían terribles accidentes de pasajeros en vuelos comerciales. Con la Internet, es ideal no olvidar esa lección y en especial, con el advenimiento de un futuro cercano, que traerá versátiles e interconectados robots domésticos, con poderosos sistemas de Inteligencia Artificial (IA) dentro de sus entrañas cibernéticas.
Ya tenemos casos de sistemas IA que para alcanzar sus metas engañan y estafan. Otros han adquirido prejuicios. Incluso, este año sorprendió una noticia donde uno de esos sistemas inteligentes, tratando de no ser reemplazado, pretendió chantajear a un ingeniero, al descubrir en mensajes de correo electrónico que el humano estaba teniendo una aventura. Se nos viene a la memoria una sentencia de impacto, que Stephen Hawking nos legó: “La IA será o la ‘mejor o la peor cosa’ para la humanidad”.
Autor: Miguel Torrealba Sánchez
Universidad Simón Bolívar Departamento de Computación y Tecnología de la Información
