Postřehy z bezpečnosti: masivní DDoS útok na DNS nebyl úspěšný

Martin Čmelík 14. 12. 2015

V dnešním díle pravidelných pondělních Postřehů se podíváme na útok vůči kořenovým DNS serverům a proč nemohl být úspěšný, na novou službu podobnou serveru Shodan, zákaz používání SHA-1, pokrok Google a NASA s kvantovým počítačem, novou certifikační autoritu Let's Encrypt a spoustu dalšího.

Byl zaznamenán masivní DDoS útok vůči kořenovým DNS serverů s kadencí 5 milionů požadavků za vteřinu na jeden DNS server (průměr je 20 až 50 tisíc dotazů). První trval 160 minut a stal se 30. listopadu. Druhý pak 1. prosince o délce 60 minut. Ze třinácti kořenových DNS serverů byl tento útok schopen částečně „postihnout“ servery B, C, G a H.

Jen pro upřesnění, jedná se o 13 IP adres a ne 13 serverů. Infrastruktura za každou IP adresou může čítat desítky i stovky serverů, protože se jedná o Anycastovou IP adresu. Tj. pokud byste se na DNS ptali např. serveru E a NASA měla mirror server v Evropě, tak váš požadavek půjde k němu (k tomu nejbližšímu) a ne do US. Podle Wikipedie je, dle údajů ze října 2014, celkem 504 DNS root serverů. Díky geografickému load balancingu je tak víceméně nemožné, nebo jen velice náročné napadnout všechny DNS servery naráz. Jen v Praze je pět duplikátů kořenových DNS serverů (D, F, K, J a L).

DDoS útok sestával z dotazů na jednu doménu a používal spoofované  IP adresy. Nemusím snad upozorňovat, že pokud by byl útok dlouhodobě úspěšný, tak je znefunkčněn téměř celý Internet. Samozřejmě je doporučeno používat Network Ingress Filtering (BCP-38) pro omezení útoků používající spoofované adresy, ale to by se muselo začít u ISP a ty se bojí, že by to mohlo postihnout spojení jejich zákazníků, protože svým sítím ne vždy rozumí.

Dokonce jsem někdy v roce 2013 psal europoslankyni zodpovědné za kyberbezpečnost, jestli by nemohla uzákonit podmínku všem ISP používat Network Ingress Filtering, čímž by se enormně zabránilo útokům pomocí spoofovaných adres, a to nejen v rámci EU. Avšak podle odpovědi z její kanceláře (ve stylu sira Humphreyho Applebyho) jsem nabyl vědomí, že je veškerá snaha marná.

Podle posledních zpráv John McAfee věří, že za útokem stojí „zombie army“ botnet, sestávající se z blíže nespecifikované aplikace nainstalované na stovkách milionů mobilních zařízení.

Naše postřehy

Anonymous po “vyhlášení války” ISIS nyní udělali to samé Donaldu Trumpovi, kvůli jednomu z mnoha jeho kontroverzních názorů, kdy chtěl zakázat přístup všem muslimům do země. Vysvětlují to tím, že čím víc muslimů naštve, tím je větší pravděpodobnost, že někteří z nich k ISIS přejdou. Mezitím byla vytvořena stránka FriendsWhoLikeTrump.com, která vás přesměruje na Facebook a ukáže vám, kdo z vašich přátel “lajknul” stránky podporující Donalda Trumpa. Je to dětinské, ale můžete udělat ten odvážný krok a daného přítele si odebrat.

předchozím díle Postřehů psal Pavel Bašta o nové panence Barbie s připojením na WiFi posílající vše, co řeknete v jejím okolí, na servery společnosti. Nejde jen o přístup k datům společností vyrábějící podobné hračky (Hello Barbie, My Friend Cayla), ale tyto hračky se spolu se soudním příkazem mohou stát nástrojem šmírování pro stát. Dále pak tu máme další soukromá data, které se dají velice dobře prodat společnostem zabývajícím se např. novou personalizovanou cílenou reklamou (Mirriad, Sundaysky), která modifikuje scény filmů a vkládá do nich reklamu mířenou na vaši domácnost.

Máme tu novou službu, podobnou serveru Shodan, která mapuje zařízení na Internetu a pomocí google-like dotazů můžete pak hledat konkrétní zařízení (tiskárny, servery, IoT, WiFi routery, bankomaty, …), služby a jejich verze, bezpečnostní chyby, či konkrétní nastavení systémů naznačující např. chyby ve firmwaru. Jmenuje se Censys a k mapování používa ZMap, ZGrab a ZTag. ZMap je specializovaný tool zaměřený právě na skenování celého Internetu a aktualizaci předchozích dat. ZGrap je potom parser pro HTTPS a ZTab umí raw data obohatit o výrobce, možné bezpečnostní chyby zařízení apod. Z dané služby lze získat opravdu velkou spoustu zajímavých informací.

Od roku 2016 se podle CA/Browser fóra musí přestat používat hashovací algoritmus SHA-1 a novým standardem bude SHA-256. Podle Facebooku a CloudFlare tímto však budou desítky milionů úživatelů neschopných navštívit HTTPS weby, protože algoritmus SHA-256 jejich zařízení nepodporují (tj. typicky nejspíš Windows XP s IE6, nebo Windows CE). Jedná se podle odhadů o 7 % uživatelů. Mým názorem je, že 7 % uživatelů bude mít alespoň motivaci upgradovat své staré systémy.

Kaspersky na svém webu shrnuje úspěšnost své prognózy z roku 2014 o vývoji útoků v roce 2015. Ve zkratce mají slušnou úspešnost a ve článku je spousta zajímavých statistik a informací o největších či nejpokročilejších útocích.

Před dvěma lety koupil Google a NASA kvantový počítač D-Wave 2X. Minulý týden tým Quantum AI zveřejnil výsledky jejich dosavadní spolupráce. Podle testů pomocí kvantových algoritmů Monte Carlo je kvantový počítač až stomilionkrát rychlejší než dnešní nejrychlejší procesor. K tomu všemu je kvantový počítač předurčen k masivním paralelním výpočetním operacím. Jak jistě víte, to také znaméná, že (za nějaký čas) bude většina šifrovacích algoritmů prolomena, protože většina z nich se jen spoléhá na výpočetní náročnost zjištění šifrovacího/privátního klíče.

Certifikační autorita Let’s Encrypt začala nabízet SSL certifikáty zdarma! CA Let’s Encrypt vznikla za pomoci společností jako Mozilla, EFF, Cisco, Akamai, Facebook apod. a cílem je vytvořit bezpečnou CA, která bude nabízet certifikáty zdarma, pokud však přijmete její odlišný (ale lepší) koncept. Hlavní rozdíl oproti tomu, co znáte teď, je, že certifikát bude mít platnost maximálně 90 dnů. Proč? Protože celý proces vydávání a výměny certifikátů má být automatizovaný. Proč? Protože když dojde ke kompromitování vašeho klíče, nebo když se zjistí slabina některého šifrovacího/hashovacího protokolu, tak za 90 dnů bude daný problém efektivně vyřešen a nebude se čekat až dva roky, než se nový standard pro certifikáty uplatní celosvětově. CA samozřejmě pro potřeby automatizace poskytuje několik návodů a utilit k tomu určených na svém Githubu. Pokud máte své webové stránky na sdíleném hostingu, doporučuji otravovat vašeho poskytovatele alespoň jednou do týdne, kdy už hodlá nasadit nativní podporu Let’s Encrypt CA. Můžete k tomu rovnou přihodit DNSSEC, TLSA, HTTP/2 a a další moderní technologie. Sbohem předraženým autoritám.

Ve zkratce

Pro pobavení

Neděste nám programátory, děkujeme :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
120na80.cz: Cestovní nevolnost. Co pomůže?

Cestovní nevolnost. Co pomůže?

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie

Vitalia.cz: Jaké sushi mají Češi nejraději?

Jaké sushi mají Češi nejraději?

Podnikatel.cz: Babiš představil daňovou revoluci Moje daně

Babiš představil daňovou revoluci Moje daně

Lupa.cz: Zaměstnanec T-Mobilu ukradl data o zákaznících

Zaměstnanec T-Mobilu ukradl data o zákaznících

DigiZone.cz: Robinsonův ostrov moderuje Novotný

Robinsonův ostrov moderuje Novotný

Lupa.cz: Nej aplikace? Vodafone, Mozkovna, Záchranka

Nej aplikace? Vodafone, Mozkovna, Záchranka

Lupa.cz: Text umírá, na webu zbude jen video

Text umírá, na webu zbude jen video

DigiZone.cz: Nova stahuje bonus díl „Tvoje tvář má...“

Nova stahuje bonus díl „Tvoje tvář má...“

DigiZone.cz: Satelitní Flix TV vyráží do boje

Satelitní Flix TV vyráží do boje

Podnikatel.cz: Takhle si Babiš představuje nové daně

Takhle si Babiš představuje nové daně

DigiZone.cz: Mobilní aplikace pro DVTV je tady

Mobilní aplikace pro DVTV je tady

Vitalia.cz: Máte chutě? Nejezděte do světa, ale do Dobřichovic

Máte chutě? Nejezděte do světa, ale do Dobřichovic

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

DigiZone.cz: Pardubicko: Výrazně posílen Mux 3

Pardubicko: Výrazně posílen Mux 3

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Slováci první, Češi třetí. Krásný...

Slováci první, Češi třetí. Krásný...

120na80.cz: Léky a dietní opatření při kopřivce

Léky a dietní opatření při kopřivce

Lupa.cz: Facebook tlačí Moments a hrozí mazáním fotek

Facebook tlačí Moments a hrozí mazáním fotek

DigiZone.cz: Kritické poznámky k DVB-T2

Kritické poznámky k DVB-T2