ARTDEPARTMENT
ARTDEPARTMENT
Ibrahim Diallo, un programador hábil en explicación web, ha revelado en su blog una táctica radical, pero efectiva, para proteger su servidor del constante acoso de bots automáticos, especialmente de aquellos utilizados por compañías de IA para respaldar modelos de verbo a gran escalera. ¿La alternativa? Una trampa digital disfrazada de archivo comprimido: una obús ZIP.
Ransomware: qué es, cómo infecta y cómo guarecerse
Diallo parte de una observación inquietante: la viejo parte del tráfico en la Web ya no proviene de humanos, sino de bots. Algunos de ellos son benignos, como los de motores de búsqueda o lectores RSS. Otros, sin retención, no lo son tanto: entre ellos se encuentran bots diseñados para escanear vulnerabilidades de seguridad, inyectar scripts maliciosos, extraer contenido sin permiso (scraping) o incluso alistar servidores para redes de ataques DDoS.
En el caso de los bots para el entrenamiento de IA, éstos no sólo han mostrado una desmesurada avidez en el consumo de información actualizada (hasta tal punto que han llegado a poner en peligro la estabilidad de los servidores de la Wikipedia, por ejemplo), sino que acceden a los sitios web ignorando deliberadamente los mecanismos habituales de denegación de permiso usados por los webmasters.
Normalmente, a través del tradicional fichero 'robots.txt' (las webs de IA no tienen obligación permitido de respetarlo, pero se considera una cuestión de netiqueta):
Así que, en presencia de la violación de esa netiqueta por parte de los bots, Diallo decidió contraatacar.
Diallo aprovecha una tecnología fundamental del Internet nuevo: la compresión GZIP. Los navegadores y bots suelen mandar un código que indica su capacidad para cobrar archivos comprimidos, una función que ayuda a impulsar la navegación, al permitir que los servidores web entreguen versiones más ligeras de sus páginas, optimizando el uso de pancho de facción.
Pero asimismo ofrece una oportunidad para 'colocar una trampa'.
Cuando Diallo detectó actividad maliciosa de bots en su servidor, respondió con un archivo comprimido especialmente diseñado para colapsar al atacante. Estos archivos, conocidos como 'bombas ZIP', son pequeños en apariencia, pero se expanden masivamente al ser descomprimidos, llegando a instalarse hasta 10 GB de memoria.
El resultado: muchos bots que descargan el archivo sin conocer lo que contienen terminan siendo bloqueados, colapsados o directamente desconectados del servidor que los ejecuta.
El proceso de creación es simple: pasa por acudir a un breve comando que genera un archivo de 10 GB realizado de ceros, que luego es comprimido con GZIP hasta reducirse a unos 10 MB (esta extrema compresión es posible precisamente por la homogeneidad interna del fichero).
La implementación es sencilla. El servidor identifica al bot (por su IP, comportamiento sospechoso, o intentos de spam), y argumenta enviando la 'obús' comprimida, en circunstancia de un simple fichero HTML. Cuando, para poder analizar el contenido, el bot descomprime el archivo, es cuando llega el problema.
Cuando un bot lo recibe y comienza a descomprimirlo, sufre un desbordamiento de memoria si no está preparado para manejar tamaños tan descomunales. El script receloso se detiene y, en muchos casos, no vuelve a aparecer.
En los foros de Hacker News, la técnica ha generado un amplio debate. Algunos usuarios comparten anécdotas de estrategias similares, como contestar con flujos de datos aleatorios desde '/dev/urandom' o crear archivos HTML interminables para detener navegadores.
La técnica de Diallo se sitúa en una zona sombrío tanto ética como técnica. No instala software receloso en sistemas ajenos, pero sí genera consecuencias destructivas si los bots no están preparados. Él mismo señala, por otro banda, que las bombas ZIP no son infalibles: pueden ser detectadas, ignoradas o procesadas parcialmente por bots más sofisticados.
Sin retención, su objetivo no es causar daño indiscriminado, sino proteger su espacio digital de intrusos que, en muchos casos, actúan sin consentimiento y con fines dudosos.
Diallo no pretende presentar su táctica como una alternativa universal, pero sí es un magnífico ejemplo de la creciente tensión entre creadores de contenido y sistemas automatizados de compendio de datos: Frente a una regulación aún incierta sobre el uso de contenido divulgado por parte de sistemas de inteligencia químico, algunos desarrolladores comienzan a tomar medidas drásticas para apoyar el control sobre su trabajo.
Vía | Idiallo.com
Imagen | Marcos Merino mediante IA
En Genbeta | "No estoy segura": así argumenta la directora técnica de OpenAI cuando le preguntan si Sora está entrenada con vídeos de YouTube
Compartir este artículo
Consultoria Personalizada
¡Si aun no tienes presencia en internet o
necesitas ayuda con tus proyectos, por favor, escribenos!
En ARTDEPARTMENT nos especializamos en brindar soluciones para que tu negocio, empresa o proyecto sea visible en internet.