1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Pensando en Contratar o Ejecutar un Servicio de Arranque? Piénselo De Nuevo.

Pensando en Contratar o Ejecutar un Servicio de Arranque? Piénselo De Nuevo.

La mayoría de las personas que operan negocios de DDoS por contrato intentan ocultar sus verdaderas identidades y ubicación. Los propietarios de estos llamados servicios de" arranque "o" estrés", diseñados para desconectar sitios web y usuarios, han operado durante mucho tiempo en un área legalmente turbia de la ley de delitos cibernéticos. Pero hasta hace poco, su mayor preocupación no era evitar la captura o el cierre por parte de los federales: Estaba minimizando el acoso de clientes o víctimas descontentos, y aislándose contra los ataques incesantes de los servicios de DDoS por contrato de la competencia.

Y luego están los operadores de tiendas de arranque como John Dobbs, un estudiante graduado de informática de 32 años que vive en Honolulu, Hawai. Durante al menos una década hasta finales del año pasado, Dobbs operó abiertamente IPStresser[.] com, un popular y poderoso servicio de ataque a sueldo que registró en el estado de Hawai con su nombre y dirección reales. Del mismo modo, el dominio se registró a nombre de Dobbs y su ciudad natal en Pensilvania.

Dobbs, en una foto sin fecha de su perfil de Github. Imagen: john-dobbs.github.io

La única experiencia laboral en la que figuran los Dobbs su currículum fue desarrollador freelance desde 2013 hasta la actualidad. El currículum de Dobbs no nombra su servicio de arranque, pero en él se jacta de mantener sitios web con medio millón de páginas vistas diarias y " diseñar implementaciones de servidores para rendimiento, alta disponibilidad y seguridad.”

En diciembre de 2022, el Departamento de Justicia de los Estados Unidos confiscó el sitio web IPStresser de Dobbs y lo acusó de un cargo de complicidad en intrusiones informáticas. Los fiscales dicen que su servicio atrajo a más de dos millones de usuarios registrados y fue responsable del lanzamiento la asombrosa cifra de 30 millones de ataques DDoS distintos.

El gobierno se apoderó de cuatro docenas de dominios de arranque, y Dobbs y otros cinco hombres estadounidenses acusados penalmente por presuntamente operar servicios de estrés. Este fue el segundo derribo masivo del Departamento de Justicia dirigido a los servicios de DDoS por contrato y sus operadores acusados. En 2018, los federales incautó 15 sitios estresantes e impuso cargos por delitos cibernéticos contra tres hombres por su operación de servicios de arranque.

El servicio de arranque de Dobbs, IPStresser, en junio de 2020. Imagen: archive.org.

Muchos operadores de sitios de estrés acusados se han declarado culpables a lo largo de los años después de haber sido acusados de cargos penales federales. Pero la afirmación central del gobierno, que operar un sitio de arranque es una violación de las leyes de delitos informáticos de los Estados Unidos, no se probó adecuadamente en los tribunales hasta septiembre de 2021.

Fue entonces cuando un jurado dictó un veredicto de culpabilidad contra Matthew Gatrel, un St.Charles de 32 años de edad, Ill. hombre acusado en la primera redada masiva de 2018 del gobierno. A pesar de admitir ante los agentes del FBI que dirigió dos servicios de arranque (y entregó muchas pruebas incriminatorias en el proceso), Gatrel optó por llevar su caso a juicio, defendido todo el tiempo por abogados designados por el tribunal.

Los fiscales dijeron que Gatrel's booter services-downthem[.] org y ampnode[.] com-ayudó a unos 2.000 clientes de pago a lanzar ataques digitales debilitantes en más de 20.000 objetivos, incluidos muchos sitios web gubernamentales, bancarios, universitarios y de juegos.

Gatrel fue condenado por los tres cargos de violar la Ley de Abuso y Fraude Informático, incluida la conspiración para cometer un deterioro no autorizado de una computadora protegida, conspiración para cometer fraude electrónico y deterioro no autorizado de una computadora protegida. Fue sentenciado a dos años de prisión.

Ahora, parece que Dobbs también planea arriesgarse con un jurado. En enero. 4, Dobbs se declaró inocente. Ni Dobbs ni su abogado designado por el tribunal respondieron a las solicitudes de comentarios.

Pero da la casualidad de que el propio Dobbs proporcionó cierta perspectiva sobre su pensamiento en un intercambio de correo electrónico con KrebsOnSecurity en 2020. Me puse en contacto con Dobbs porque era obvio que no le importaba si la gente sabía que operaba uno de los sitios de DDoS por contrato más populares del mundo, y tenía verdadera curiosidad por saber por qué no tenía miedo de ser asaltado por los federales.

"Sí, soy el propietario del dominio que enumeró, sin embargo, no está autorizado a publicar un artículo que contenga dicho nombre de dominio, mi nombre o esta dirección de correo electrónico sin mi permiso previo por escrito", respondió Dobbs a mi alcance inicial el 10 de marzo de 2020 utilizando su dirección de correo electrónico de la Universidad de Hawai en Manoa.

Unas horas más tarde, recibí instrucciones más estridentes de Dobbs, esta vez a través de su dirección de correo electrónico oficial en ipstresser[.] com.

"Declararé nuevamente para una claridad absoluta, no está autorizado a publicar un artículo que contenga ipstresser.com, mi nombre, mi perfil de GitHub y/ o mi hawaii.edu dirección de correo electrónico", escribió Dobbs, como si tomara el dictado de un abogado que no entiende cómo funcionan los medios.

Cuando se le presionó para obtener detalles sobre su negocio, Dobbs respondió que el número de clientes de IPStresser era "información privilegiada" y dijo que ni siquiera anunciaba el servicio. Cuando se le preguntó si le preocupaba que muchos de sus competidores estuvieran en la cárcel por operar servicios de arranque similares, Dobbs sostuvo que la forma en que había establecido el negocio lo aislaba de cualquier responsabilidad.

"He estado al tanto de las recientes acciones de aplicación de la ley contra otros operadores de servicios de pruebas de estrés", explicó Dobbs. "No puedo hablar de las acciones de estos otros servicios, pero tomamos medidas proactivas para evitar el uso indebido de nuestro servicio y trabajamos con las agencias policiales con respecto a cualquier abuso reportado de nuestro servicio.”

¿Cuáles fueron esas medidas proactivas? En una entrevista de 2015 con ZDNet Francia, Dobbs afirmó que era inmune a la responsabilidad porque todos sus clientes tenían que presentar una firma digital que acreditara que no usarían el sitio con fines ilegales.

"Nuestros términos de uso son un documento legal que nos protege, entre otras cosas, de ciertas consecuencias legales", dijo Dobbs a ZDNet. "La mayoría de los otros sitios están satisfechos con una simple casilla de verificación, pero solicitamos una firma digital para implicar el consentimiento real de nuestros clientes.”

Dobbs le dijo a KrebsOnSecurity que su servicio no generaba muchas ganancias, sino que estaba motivado por " satisfacer una necesidad legítima.”

"Mi razón para ofrecer el servicio es proporcionar la capacidad de probar las medidas de seguridad de la red antes de que alguien con intenciones maliciosas ataque dicha red y cause tiempo de inactividad", dijo. "Claro, algunas personas solo ven los aspectos negativos, pero hay una larga lista de compañías con las que he trabajado a lo largo de los años que dirían que mi servicio es una bendición y les ha ayudado a evitar decenas de miles de dólares en tiempo de inactividad como resultado de un ataque malicioso.”

"No creo que proporcionar dicho servicio sea ilegal, asumiendo la debida diligencia para evitar el uso malicioso del servicio, como es el caso de IPstresser[.] com", continuó Dobbs. "Alguien que utiliza un servicio de este tipo para realizar pruebas no autorizadas es ilegal en muchos países, sin embargo, la responsabilidad legal es del usuario, no del proveedor del servicio.”

El perfil de Dobbs en GitHub incluye más de sus ideas sobre su trabajo, incluida una pieza curiosa sobre "ética de la ingeniería de software."En su tratado de enero de 2020 "Mi Viaje en Ingeniería de Software, "Dobbs lamenta que nada en su educación formal lo preparó para la realidad de que gran parte de su trabajo sería tan tedioso y repetitivo (esto sigue de cerca con una pieza de 2020 aquí llamada Consejo de Elección de Carrera: El Cibercrimen es En Su Mayoría Aburrido).

"Un área de la ingeniería de software que creo que debería cubrirse más en las clases universitarias es el mantenimiento", escribió Dobbs. "Los proyectos a menudo se trabajan durante unos pocos meses como máximo, y los estudiantes no experimentan el aspecto de mantenimiento de la ingeniería de software hasta que llegan al lugar de trabajo. Seamos realistas, el mantenimiento continuo de un proyecto es aburrido; no hay nada como la euforia de completar un proyecto en el que has estado trabajando durante meses y lanzarlo al mundo, pero diría que la mitad de mi carrera profesional ha estado relacionada con el mantenimiento.”

Allison Nixon es director de investigación de la firma de ciberseguridad con sede en Nueva York Unidad 221B.Nixon es parte de un pequeño grupo de investigadores que han estado siguiendo de cerca la industria de DDoS por contrato durante años, y dijo que la afirmación de Dobbs de que lo que está haciendo es legal tiene sentido dado que el gobierno tardó años en reconocer el tamaño del problema.

"Estos tipos argumentan que sus servicios son legales porque durante mucho tiempo no les pasó nada", dijo Nixon. "Es difícil argumentar que algo es ilegal si nadie ha sido arrestado por ello antes.”

Nixon dice que la lucha del gobierno contra los servicios de arranque, y por extensión otros tipos de delitos cibernéticos, se ve obstaculizada por un sistema legal que a menudo tarda años en recorrer los casos de delitos cibernéticos.

"Con el delito cibernético, el ciclo entre el delito y la investigación y el arresto a menudo puede tomar un año o más, y eso es para un caso realmente rápido", dijo Nixon. "Si alguien robara una tienda, esperaríamos una respuesta policial en unos minutos. Si alguien roba el sitio web de un banco, podría haber algún indicio de actividad policial dentro de un año.”

Nixon elogió las operaciones de desmontaje de booter de 2022 y 2018 como "grandes pasos hacia adelante", pero agregó que "es necesario que haya más y más rápido.”

"Este retraso de tiempo es parte de la razón por la que es tan difícil cerrar la tubería de nuevos talentos que entran en el cibercrimen", dijo. "Piensan que lo que están haciendo es legal porque no ha pasado nada y por la cantidad de tiempo que lleva cerrar estas cosas. Y es realmente un gran problema, donde vemos a muchas personas convertirse en delincuentes sobre la base de que lo que están haciendo no es realmente ilegal porque los policías no harán nada.”

En diciembre de 2020, Dobbs presentó una solicitud ante el estado de Hawái para retirar IP Stresser Inc. de su lista de empresas activas. Pero según los fiscales, Dobbs continuaría operando su sitio de DDoS por contrato hasta al menos noviembre de 2022.

Dos meses después de nuestra entrevista por correo electrónico de 2020, Dobbs obtendría su segunda licenciatura (en ciencias de la computación; su currículum dice que obtuvo una licenciatura en ingeniería civil de la Universidad de Drexel en 2013). Los cargos federales contra Dobbs se produjeron justo cuando se preparaba para ingresar a su último semestre hacia una maestría en ciencias de la computación en la Universidad de Hawai.

Nixon dice que tiene un mensaje para cualquier persona involucrada en la operación de un servicio de DDoS por contrato.

"A menos que esté verificando que el objetivo posee la infraestructura a la que se dirige, no existe una forma legal de operar un servicio DDoS por contrato", dijo. "No hay Términos de servicio que pueda poner en el sitio que de alguna manera lo hagan legal.”

¿Y su mensaje a los clientes de esos servicios de arranque? Es convincente para reflexionar, particularmente ahora que los investigadores en los Estados Unidos, el Reino Unido y en otros lugares han comenzó a perseguir a los clientes del servicio de arranque.

"Cuando un servicio de arranque afirma que no comparte registros, está mintiendo porque los registros son un apalancamiento legal para cuando el operador del servicio de arranque es arrestado", dijo Nixon. "Y cuando lo hagan, ustedes serán las primeras personas que arrojen debajo del autobús.”



>>Más