Postřehy z bezpečnosti: back to the future

Zuzana Duračinská 31. 8. 2015

Dnes si přiblížíme nový druh reflektorů, který se objevil v DDoS amplifikačních útocích a v souvislosti s aktuálními závody ISP se podíváme, jaké novinky se uváděly na světový a český trh několik let zpátky. Na konci se dovíte, jaké nové závěry se objevují v souvislosti s Ashley Madison a na co narazil Android.

DDoS amplifikací, kde se zneužívá DNS, NTP nebo SNMP, jsme viděli již několik. Bylo to více než před rokem, kdy byl CloudFlare zasažen útokem o síle přes 400 Gbps. Na světě zatím není tolik sítí, které by dokázaly takový traffic odfiltrovat. CloudFlare alespoň zveřejnil seznam ‚hříšníků‘, kteří se na útoku podíleli, a vystavil je tak malé veřejné potupě. Osm NTP škodíků se našlo v českých sítích a šest ve slovenských. Což je poměrně málo v porovnání s “lídrem“, který na útok na CloudFlare (a jistě nejen na ten) přispěl hned 136 NTP servery.

DDoS útoky však podle Akamai neutichají. V posledních dnech jsme narazili již v několika zdrojích na informaci, že štafetu přebírají RPC služby, konkrétně Portmapper. Několik hostingových společností bylo svědky DDoSu, kde byl zneužit právě Portmapper. První neobvyklý provoz zaznamenal provider Level 3 Communication. Na útoku se podílelo přes 1,1 milionu serverů, na kterých Portmapper běží. Společnost zaslala jejich seznam všem providerům, kteří je u sebe hostovali. Podle testů, provedených zaměstnanci Level 3 Communications, může odpověď na dotaz o velikosti 68 bytů dosáhnout 486 bytů (amplifikační faktor 7,1) až 1 930 bytů (amplifikační faktor 28,4). Po dobu útoků společnost zaznamenala amplifikaci 19,4.

A proč nás právě tento případ dnes zaujal nejvíce? Nejde ani tak o amplifikaci, jako o fakt, že Level 3 Communications přispěli zhruba před rokem hned 28 NTP servery k NTP DDoS amplifikačnímu útoku.

Jak by řekl Kurt Vonnegut: „So it goes…“

Co se děje mezi Comcastem, AT&T a Google Fibrem? Comcast tento týden oznámil, že do dvou až tří let by mohli být všichni jeho zákazníci připojeni do Internetu rychlostí 1 Gbps. To však budou muset všichni jejich zákazníci změnit kabel k modemu a pravděpodobně také modem samotný, což bude určitě něco stát. A jak to funguje… každý zákazník chce to nejlepší, co může dostat; zda to skutečně potřebuje, je druhá věc. Tím však tyto „závody“ nekončí, právě naopak. Kdo první dokáže připojit větší část zákazníků 10 Gbps, dosáhne na pomyslný vrchol. Bude pak pračka připojená na Internet prát lépe i při 30 stupních? A co sací výkon vysavačů připojených do tak rychlé sítě? Možná i domácnosti někdy ocení takovéto připojení. Na menší DoS by tato rychlost už jistě stačila a s pomocí amplifikací se mohu generovat útoky o mnohem větší síle, než jsme svědky dnes.

Den předtím, než byla vydána předešlá zpráva, 24. srpna 2015, oslavil systém Windows 95 krásných 20 let. Kromě samotného operačního systému, jehož nejlepší vlastností byl dle reklamy multitasking, si mohli zákazníci Microsoftu zdarma stáhnout písničku od Rolling Stones Start me up, na kterou vývojáři Windows vesele poskakovali – a dali tak návod pro Apple, jak uvádět produkty na trh. Když si tehdy poskakoval zvláště vesele Bill Gates, asi ještě netušil, že svoji domácnost bude mít o pár let připojenou rychlostí 10 Gbps.

V témž roce 1995 spustil svou první www stránku také Jára Cimrman.

So it goes…

O dva dny později, ale v roce 2001, začala v České republice služba VOLNÝ, která poskytovala Internet zdarma. Platily se pouze telefonní poplatky. Zákazníci mohli být připojeni neomezeně rychlostí až 57,6 kbit/s a k tomu dostali zdarma 5 MB pro svou poštovní schránku. V témže roce byl portál Register.com svědkem prvního DDoS útoku, při němž byly využity DNS jako reflektory.

So it goes…

Postřehy z bezpečnosti

Sphinx je nová varianta bankovního trojana Zeus, která se objevila na černém trhu. Kód je napsaný v C++ a byl vytvořen tak, aby byl spustitelný jenom přes síť Tor. Zakoupit jej je možné přes Bitcoiny nebo platební systém DASH. Autoři slibují, že Sphinx je imunní vůči Zeus trackeru, blacklistingu a sinkholingu.

Nový bug, který se objevil v Androidu, se jmenuje Certifi-Gate. Exploituje jej aplikace jedné londýnské společnosti, která umožňuje získat plný přístup do smartphonu nebo tabletu.

Z důvodu ochrany soukromí Android běžně zamezuje nahrávání plochy; vývojáři aplikace však použili děravou verzi pluginu TeamViewer a proto aplikace prošla přes Android Google Play. Zranitelnost bude asi náročnější opravit, protože Android neumožňuje revokaci certifikátu, který poskytuje práva roota.

Kdybyste si chtěli vydělat, Ashley Madison nabízí 500 000 dolarů za poskytnutí informací o hackerovi, který se podílel na zveřejnění databáze této seznamky pro zadané. John McAfee se vyjádřil, že nejde o hacknutí. Z analýzy dat mu vyšly tři závěry:

1. Šlo o práci jednotlivce

2. Útok šel zevnitř organizace

3. Za útokem stojí žena

Jak došel k prvnímu závěru, John McAfee neprozradil. K druhému ho vedl fakt, že útočník/útočnice měl/a dobrou znalost infrastruktury. Třetí, a ten nejzajímavější, postavil na tom, že útočník používá slova jako „scumbag“ či „cheating dirtbags“. Zároveň zmiňuje ve špatném světle někoho, kdo se na seznamku přihlásil den po Valentýnu.

Pierluigi Paganini zase naznačil, že je možné, že za útokem stojí stejná osoba jako za útokem na Iránskou energetickou společnosti v roce 2012. Při obou útocích totiž hacknutým osobám přišla ve zprávě o hacknutí také písnička od AC/DC „Thunderstruck“. Okruh útočníků se zúžil jenom na několik miliónů. Je to žena, která zná AC/DC.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
120na80.cz: Jak se zbavit nadměrného pocení?

Jak se zbavit nadměrného pocení?

DigiZone.cz: Skylink o půlnoci vypnul 12 525

Skylink o půlnoci vypnul 12 525

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: HBO dočasně vypnulo Chromecast

HBO dočasně vypnulo Chromecast

Lupa.cz: Největší pitominy s logem “nyní smart a připojené”

Největší pitominy s logem “nyní smart a připojené”

DigiZone.cz: Epson: 4K projektory s podporou HDR

Epson: 4K projektory s podporou HDR

Podnikatel.cz: Polská vejce na českém pultu Albertu

Polská vejce na českém pultu Albertu

DigiZone.cz: Test Noxon A560+: kvalitka do vaší věže

Test Noxon A560+: kvalitka do vaší věže

DigiZone.cz: Sat novinky: Skylink skončil s kanály ČT

Sat novinky: Skylink skončil s kanály ČT

Vitalia.cz: Klíšťata letos řádí, skvrna se udělá jen někomu

Klíšťata letos řádí, skvrna se udělá jen někomu

Lupa.cz: Japonská invaze. Proč SoftBank kupuje ARM?

Japonská invaze. Proč SoftBank kupuje ARM?

120na80.cz: 7 překážek při odvykání kouření

7 překážek při odvykání kouření

Lupa.cz: IT scéna po brexitu: přijde exodus vývojářů?

IT scéna po brexitu: přijde exodus vývojářů?

Podnikatel.cz: Od baletu k požární ochraně. A jiné rarity

Od baletu k požární ochraně. A jiné rarity

Vitalia.cz: Nejdůležitější změny v potravinářské novele

Nejdůležitější změny v potravinářské novele

Vitalia.cz: Jak může být v uzenině 150 % masa?

Jak může být v uzenině 150 % masa?

Podnikatel.cz: 3 velké průšvihy obchodních řetězců

3 velké průšvihy obchodních řetězců

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

120na80.cz: Tipy pro odvodnění organismu

Tipy pro odvodnění organismu

Podnikatel.cz: Italské těstoviny nebyly k mání, tak je začal vyrábět

Italské těstoviny nebyly k mání, tak je začal vyrábět