Postřehy z bezpečnosti: back to the future

Zuzana Duračinská 31. 8. 2015

Dnes si přiblížíme nový druh reflektorů, který se objevil v DDoS amplifikačních útocích a v souvislosti s aktuálními závody ISP se podíváme, jaké novinky se uváděly na světový a český trh několik let zpátky. Na konci se dovíte, jaké nové závěry se objevují v souvislosti s Ashley Madison a na co narazil Android.

DDoS amplifikací, kde se zneužívá DNS, NTP nebo SNMP, jsme viděli již několik. Bylo to více než před rokem, kdy byl CloudFlare zasažen útokem o síle přes 400 Gbps. Na světě zatím není tolik sítí, které by dokázaly takový traffic odfiltrovat. CloudFlare alespoň zveřejnil seznam ‚hříšníků‘, kteří se na útoku podíleli, a vystavil je tak malé veřejné potupě. Osm NTP škodíků se našlo v českých sítích a šest ve slovenských. Což je poměrně málo v porovnání s “lídrem“, který na útok na CloudFlare (a jistě nejen na ten) přispěl hned 136 NTP servery.

DDoS útoky však podle Akamai neutichají. V posledních dnech jsme narazili již v několika zdrojích na informaci, že štafetu přebírají RPC služby, konkrétně Portmapper. Několik hostingových společností bylo svědky DDoSu, kde byl zneužit právě Portmapper. První neobvyklý provoz zaznamenal provider Level 3 Communication. Na útoku se podílelo přes 1,1 milionu serverů, na kterých Portmapper běží. Společnost zaslala jejich seznam všem providerům, kteří je u sebe hostovali. Podle testů, provedených zaměstnanci Level 3 Communications, může odpověď na dotaz o velikosti 68 bytů dosáhnout 486 bytů (amplifikační faktor 7,1) až 1 930 bytů (amplifikační faktor 28,4). Po dobu útoků společnost zaznamenala amplifikaci 19,4.

A proč nás právě tento případ dnes zaujal nejvíce? Nejde ani tak o amplifikaci, jako o fakt, že Level 3 Communications přispěli zhruba před rokem hned 28 NTP servery k NTP DDoS amplifikačnímu útoku.

Jak by řekl Kurt Vonnegut: „So it goes…“

Co se děje mezi Comcastem, AT&T a Google Fibrem? Comcast tento týden oznámil, že do dvou až tří let by mohli být všichni jeho zákazníci připojeni do Internetu rychlostí 1 Gbps. To však budou muset všichni jejich zákazníci změnit kabel k modemu a pravděpodobně také modem samotný, což bude určitě něco stát. A jak to funguje… každý zákazník chce to nejlepší, co může dostat; zda to skutečně potřebuje, je druhá věc. Tím však tyto „závody“ nekončí, právě naopak. Kdo první dokáže připojit větší část zákazníků 10 Gbps, dosáhne na pomyslný vrchol. Bude pak pračka připojená na Internet prát lépe i při 30 stupních? A co sací výkon vysavačů připojených do tak rychlé sítě? Možná i domácnosti někdy ocení takovéto připojení. Na menší DoS by tato rychlost už jistě stačila a s pomocí amplifikací se mohu generovat útoky o mnohem větší síle, než jsme svědky dnes.

Den předtím, než byla vydána předešlá zpráva, 24. srpna 2015, oslavil systém Windows 95 krásných 20 let. Kromě samotného operačního systému, jehož nejlepší vlastností byl dle reklamy multitasking, si mohli zákazníci Microsoftu zdarma stáhnout písničku od Rolling Stones Start me up, na kterou vývojáři Windows vesele poskakovali – a dali tak návod pro Apple, jak uvádět produkty na trh. Když si tehdy poskakoval zvláště vesele Bill Gates, asi ještě netušil, že svoji domácnost bude mít o pár let připojenou rychlostí 10 Gbps.

V témž roce 1995 spustil svou první www stránku také Jára Cimrman.

So it goes…

O dva dny později, ale v roce 2001, začala v České republice služba VOLNÝ, která poskytovala Internet zdarma. Platily se pouze telefonní poplatky. Zákazníci mohli být připojeni neomezeně rychlostí až 57,6 kbit/s a k tomu dostali zdarma 5 MB pro svou poštovní schránku. V témže roce byl portál Register.com svědkem prvního DDoS útoku, při němž byly využity DNS jako reflektory.

So it goes…

Postřehy z bezpečnosti

Sphinx je nová varianta bankovního trojana Zeus, která se objevila na černém trhu. Kód je napsaný v C++ a byl vytvořen tak, aby byl spustitelný jenom přes síť Tor. Zakoupit jej je možné přes Bitcoiny nebo platební systém DASH. Autoři slibují, že Sphinx je imunní vůči Zeus trackeru, blacklistingu a sinkholingu.

Nový bug, který se objevil v Androidu, se jmenuje Certifi-Gate. Exploituje jej aplikace jedné londýnské společnosti, která umožňuje získat plný přístup do smartphonu nebo tabletu.

Z důvodu ochrany soukromí Android běžně zamezuje nahrávání plochy; vývojáři aplikace však použili děravou verzi pluginu TeamViewer a proto aplikace prošla přes Android Google Play. Zranitelnost bude asi náročnější opravit, protože Android neumožňuje revokaci certifikátu, který poskytuje práva roota.

Kdybyste si chtěli vydělat, Ashley Madison nabízí 500 000 dolarů za poskytnutí informací o hackerovi, který se podílel na zveřejnění databáze této seznamky pro zadané. John McAfee se vyjádřil, že nejde o hacknutí. Z analýzy dat mu vyšly tři závěry:

1. Šlo o práci jednotlivce

2. Útok šel zevnitř organizace

3. Za útokem stojí žena

Jak došel k prvnímu závěru, John McAfee neprozradil. K druhému ho vedl fakt, že útočník/útočnice měl/a dobrou znalost infrastruktury. Třetí, a ten nejzajímavější, postavil na tom, že útočník používá slova jako „scumbag“ či „cheating dirtbags“. Zároveň zmiňuje ve špatném světle někoho, kdo se na seznamku přihlásil den po Valentýnu.

Pierluigi Paganini zase naznačil, že je možné, že za útokem stojí stejná osoba jako za útokem na Iránskou energetickou společnosti v roce 2012. Při obou útocích totiž hacknutým osobám přišla ve zprávě o hacknutí také písnička od AC/DC „Thunderstruck“. Okruh útočníků se zúžil jenom na několik miliónů. Je to žena, která zná AC/DC.

widgety

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

DigiZone.cz: DVB-T2 ověřeno: ČRa doplňují seznam

DVB-T2 ověřeno: ČRa doplňují seznam

Podnikatel.cz: Poslanci chtějí sebrat majetek Bakalovi

Poslanci chtějí sebrat majetek Bakalovi

Lupa.cz: Blíží se konec Wi-Fi sítí bez hesla?

Blíží se konec Wi-Fi sítí bez hesla?

DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Podnikatel.cz: Byla finanční manažerka, teď cvičí jógu

Byla finanční manažerka, teď cvičí jógu

DigiZone.cz: Funbox 4K v DVB-T2 má ostrý provoz

Funbox 4K v DVB-T2 má ostrý provoz

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Lupa.cz: Aukro.cz mění majitele. Vrací se do českých rukou

Aukro.cz mění majitele. Vrací se do českých rukou

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

DigiZone.cz: Na jaká videa se vlastně díváme

Na jaká videa se vlastně díváme

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink

Vitalia.cz: Jak Ondra o astma přišel

Jak Ondra o astma přišel

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Podnikatel.cz: EET pro e-shopy? Postavené na hlavu

EET pro e-shopy? Postavené na hlavu

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští