Postřehy z bezpečnosti: back to the future

Zuzana Duračinská 31. 8. 2015

Dnes si přiblížíme nový druh reflektorů, který se objevil v DDoS amplifikačních útocích a v souvislosti s aktuálními závody ISP se podíváme, jaké novinky se uváděly na světový a český trh několik let zpátky. Na konci se dovíte, jaké nové závěry se objevují v souvislosti s Ashley Madison a na co narazil Android.

DDoS amplifikací, kde se zneužívá DNS, NTP nebo SNMP, jsme viděli již několik. Bylo to více než před rokem, kdy byl CloudFlare zasažen útokem o síle přes 400 Gbps. Na světě zatím není tolik sítí, které by dokázaly takový traffic odfiltrovat. CloudFlare alespoň zveřejnil seznam ‚hříšníků‘, kteří se na útoku podíleli, a vystavil je tak malé veřejné potupě. Osm NTP škodíků se našlo v českých sítích a šest ve slovenských. Což je poměrně málo v porovnání s “lídrem“, který na útok na CloudFlare (a jistě nejen na ten) přispěl hned 136 NTP servery.

DDoS útoky však podle Akamai neutichají. V posledních dnech jsme narazili již v několika zdrojích na informaci, že štafetu přebírají RPC služby, konkrétně Portmapper. Několik hostingových společností bylo svědky DDoSu, kde byl zneužit právě Portmapper. První neobvyklý provoz zaznamenal provider Level 3 Communication. Na útoku se podílelo přes 1,1 milionu serverů, na kterých Portmapper běží. Společnost zaslala jejich seznam všem providerům, kteří je u sebe hostovali. Podle testů, provedených zaměstnanci Level 3 Communications, může odpověď na dotaz o velikosti 68 bytů dosáhnout 486 bytů (amplifikační faktor 7,1) až 1 930 bytů (amplifikační faktor 28,4). Po dobu útoků společnost zaznamenala amplifikaci 19,4.

A proč nás právě tento případ dnes zaujal nejvíce? Nejde ani tak o amplifikaci, jako o fakt, že Level 3 Communications přispěli zhruba před rokem hned 28 NTP servery k NTP DDoS amplifikačnímu útoku.

Jak by řekl Kurt Vonnegut: „So it goes…“

Co se děje mezi Comcastem, AT&T a Google Fibrem? Comcast tento týden oznámil, že do dvou až tří let by mohli být všichni jeho zákazníci připojeni do Internetu rychlostí 1 Gbps. To však budou muset všichni jejich zákazníci změnit kabel k modemu a pravděpodobně také modem samotný, což bude určitě něco stát. A jak to funguje… každý zákazník chce to nejlepší, co může dostat; zda to skutečně potřebuje, je druhá věc. Tím však tyto „závody“ nekončí, právě naopak. Kdo první dokáže připojit větší část zákazníků 10 Gbps, dosáhne na pomyslný vrchol. Bude pak pračka připojená na Internet prát lépe i při 30 stupních? A co sací výkon vysavačů připojených do tak rychlé sítě? Možná i domácnosti někdy ocení takovéto připojení. Na menší DoS by tato rychlost už jistě stačila a s pomocí amplifikací se mohu generovat útoky o mnohem větší síle, než jsme svědky dnes.

Den předtím, než byla vydána předešlá zpráva, 24. srpna 2015, oslavil systém Windows 95 krásných 20 let. Kromě samotného operačního systému, jehož nejlepší vlastností byl dle reklamy multitasking, si mohli zákazníci Microsoftu zdarma stáhnout písničku od Rolling Stones Start me up, na kterou vývojáři Windows vesele poskakovali – a dali tak návod pro Apple, jak uvádět produkty na trh. Když si tehdy poskakoval zvláště vesele Bill Gates, asi ještě netušil, že svoji domácnost bude mít o pár let připojenou rychlostí 10 Gbps.

V témž roce 1995 spustil svou první www stránku také Jára Cimrman.

So it goes…

O dva dny později, ale v roce 2001, začala v České republice služba VOLNÝ, která poskytovala Internet zdarma. Platily se pouze telefonní poplatky. Zákazníci mohli být připojeni neomezeně rychlostí až 57,6 kbit/s a k tomu dostali zdarma 5 MB pro svou poštovní schránku. V témže roce byl portál Register.com svědkem prvního DDoS útoku, při němž byly využity DNS jako reflektory.

So it goes…

Postřehy z bezpečnosti

Sphinx je nová varianta bankovního trojana Zeus, která se objevila na černém trhu. Kód je napsaný v C++ a byl vytvořen tak, aby byl spustitelný jenom přes síť Tor. Zakoupit jej je možné přes Bitcoiny nebo platební systém DASH. Autoři slibují, že Sphinx je imunní vůči Zeus trackeru, blacklistingu a sinkholingu.

Nový bug, který se objevil v Androidu, se jmenuje Certifi-Gate. Exploituje jej aplikace jedné londýnské společnosti, která umožňuje získat plný přístup do smartphonu nebo tabletu.

Z důvodu ochrany soukromí Android běžně zamezuje nahrávání plochy; vývojáři aplikace však použili děravou verzi pluginu TeamViewer a proto aplikace prošla přes Android Google Play. Zranitelnost bude asi náročnější opravit, protože Android neumožňuje revokaci certifikátu, který poskytuje práva roota.

Kdybyste si chtěli vydělat, Ashley Madison nabízí 500 000 dolarů za poskytnutí informací o hackerovi, který se podílel na zveřejnění databáze této seznamky pro zadané. John McAfee se vyjádřil, že nejde o hacknutí. Z analýzy dat mu vyšly tři závěry:

1. Šlo o práci jednotlivce

2. Útok šel zevnitř organizace

3. Za útokem stojí žena

Jak došel k prvnímu závěru, John McAfee neprozradil. K druhému ho vedl fakt, že útočník/útočnice měl/a dobrou znalost infrastruktury. Třetí, a ten nejzajímavější, postavil na tom, že útočník používá slova jako „scumbag“ či „cheating dirtbags“. Zároveň zmiňuje ve špatném světle někoho, kdo se na seznamku přihlásil den po Valentýnu.

Pierluigi Paganini zase naznačil, že je možné, že za útokem stojí stejná osoba jako za útokem na Iránskou energetickou společnosti v roce 2012. Při obou útocích totiž hacknutým osobám přišla ve zprávě o hacknutí také písnička od AC/DC „Thunderstruck“. Okruh útočníků se zúžil jenom na několik miliónů. Je to žena, která zná AC/DC.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Měšec.cz: Cestujte bez starostí, získejte výhodné pojištění

Cestujte bez starostí, získejte výhodné pojištění

Lupa.cz: Vydavatelé jsou v háji, ale neumí si to připustit

Vydavatelé jsou v háji, ale neumí si to připustit

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

DigiZone.cz: ČRa hodnotí pilotní 4K vysílání

ČRa hodnotí pilotní 4K vysílání

DigiZone.cz: Kritické poznámky k DVB-T2

Kritické poznámky k DVB-T2

Podnikatel.cz: 10 citátů Billa Gatese: tesat do kamene

10 citátů Billa Gatese: tesat do kamene

DigiZone.cz: Satelitní Flix TV vyráží do boje

Satelitní Flix TV vyráží do boje

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Vitalia.cz: Epidemie: Klíšťová encefalitida po ovčím sýru

Epidemie: Klíšťová encefalitida po ovčím sýru

120na80.cz: Proč komáři létají hlavně večer?

Proč komáři létají hlavně večer?

Lupa.cz: Nej aplikace? Vodafone, Mozkovna, Záchranka

Nej aplikace? Vodafone, Mozkovna, Záchranka

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Lupa.cz: Facebook tlačí Moments a hrozí mazáním fotek

Facebook tlačí Moments a hrozí mazáním fotek

DigiZone.cz: Dabingové ceny znají letošní nominace

Dabingové ceny znají letošní nominace

Lupa.cz: Zaměstnanec T-Mobilu ukradl data o zákaznících

Zaměstnanec T-Mobilu ukradl data o zákaznících

Podnikatel.cz: Takhle si Babiš představuje nové daně

Takhle si Babiš představuje nové daně

DigiZone.cz: Náhrada za nevrácená zařízení?

Náhrada za nevrácená zařízení?

DigiZone.cz: Noxon iRadio 1 W bude za pár měsíců

Noxon iRadio 1 W bude za pár měsíců

120na80.cz: Krémy, nebo spreje na opalování?

Krémy, nebo spreje na opalování?