Blue Security vs. PharmaMaster

Quizá es que yo me dedico a cosas así, y es defecto profesional, pero la historieta esta me pareció bastante interesante y esclarecedora, supongo que en parte porque me recuerda a The Cuckoo's Egg.

La idea de Blue Security, una compañía de software antispam israelí, era muy sencilla. El usuario se descargaba un pequeño software —llamado Blue Frog— que se integraba con los principales clientes de correo, y se suscribía a un servicio de la compañía que mantenía una base de datos centralizada de direcciones y formatos de correo basura. Así, cuando el cliente recibía un correo que se identificaba como spam, el software buscaba en éste algún enlace a través del cual realizar una compra, y mandaba mediante éste una solicitud para ser borrado de la lista de correo spam. Hay que tener en cuenta que cuando hablamos de este tipo de correo basura, por una parte se encuentra el tipo que mantiene la lista de direcciones e incluso manda los correos, y por otra el tipo que vende el producto, que es cliente de los primeros. Por tanto, las peticiones de dessuscripción (¿?) le llegaban a los vendedores, no a los emisores. Y los colapsaban.

La idea de Blue Security también era efectiva. Teniendo en cuenta que a finales de abril este servicio tenía casi medio millón de suscriptores, los vendedores estaban virtualmente colapsados. Esto llevó a que seis del top diez de los principales emisores de correo spam se comprometiesen a eliminar de sus listas de correo a los clientes de Blue Security.

Pero al parecer uno de los top ten, PharmaMaster, dedicado a la venta de falso Viagra, Cialis y otros compuestos farmacéuticos, no estaba demasiado dispuesto a colaborar. El 1 de mayo, una parte de los suscriptores de Blue Frog empezaron a recibir veinte veces la cantidad de correo basura que habían recibido hasta el momento, en los que se les acusaba de estar realizando actividades ilegales.

Al día siguiente, empezó una serie de ataques contra Blue Security. PharmaMaster incluso avisó a la compañía de que un administrador de un proveedor de Internet de alto nivel comenzaría a bloquear el tráfico entrante a su web, algo que no está al alcance de muchas personas. Y así fue. Poco después, su página web era accesible únicamente desde Israel. Horas más tarde, la compañía recibía un ataque de denegación de servicio distribuido (ataque en el que utilizando numerosos orígenes, se satura un servicio o sistema hasta el punto de hacerlo inoperativo) sobre el resto de sus servicios que provenía de decenas de miles de máquinas, generando más tráfico del que habéis visto jamás.

Debido al bloqueo sobre la web y el ataque posterior sobre el resto de servicios de la compañía, y aparentemente con objeto de informar a sus clientes de los problemas que estaban teniendo, Blue Security cambió los registros DNS de su página web a bluesecurity.blogs.com, un blog alojado en Six Apart, empresa desarrolladora del software Movable Type y un importante proveedor de blogs. Digamos que un registro DNS es algo así como una entrada en la guía telefónica, de modo que la consecuencia de este cambio fue que de repente todo el tráfico del ataque se dirigió hacia Six Apart. El proveedor de blogs hincó las rodillas y estuvo inaccesible durante aproximadamente ocho horas, momento en el que se recuperó del ataque.

Entonces PharmaMaster dirigió su ataque al "listín telefónico" donde se encontraba la dirección www.bluesecurity.com. Aunque cada entrada del "listín" [entrada DNS] puede encontrarse de modo temporal almacenada en servidores intermedios, en última instancia quien te puede decir cuál es la dirección válida de una página web, es uno de los servidores autorizados. Y estos servidores pertenecían a Tucows, uno de los distribuidores de software más importantes de Internet. Tucows perdió con este ataque varios de sus servicios durante doce horas, momento en el que decidió eliminar de sus sistemas la dirección de Blue Security. Poco después no había en el mundo ningún servidor que pudiera decir cuál era la dirección de www.bluesecurity.com. Por supuesto, esto dió al traste con el ataque, pero a la vez, impidió que cualquier persona queriendo acceder a la web de la compañía fuese incapaz de hacerlo.

Algún tiempo después de estos ataques, Blue Security contrató a Prolexic, una compañía especializada en la defensa contra ataques de denegación de servicio, y volvió a poner en marcha la web, afirmando que continuaría su lucha contra el spam.

Mal hecho, porque entonces, PharmaMaster adaptó la idea original de Blue Security en su lucha contra el correo basura: atacar a los clientes. Y compañías enteras, suscritas al servicio de anti-spam Blue Frog, comenzaron a sufrir ataques de denegación de servicio y recibir mensajes de correo con virus y similares. Llegado este punto, y consciente de que aquello estaba lejos de beneficiar a sus clientes, Blue Security abandonó su cruzada y se retiró. Prolexic emitió posteriormente una nota en la que indicaban haber estado bajo ataques de DDoS, aunque no reportaban mayores consecuencias, obviamente (se dedican a eso).

Así que cuando recibas un correo que te ofrece C14l1s o V14gr4, piensa en todo lo que hay detrás y acuérdate de PharmaMaster y eso que dicen de que Internet es segura y cosas así.