Hlavní navigace

Postřehy z bezpečnosti: back to the future

Zuzana Duračinská

Dnes si přiblížíme nový druh reflektorů, který se objevil v DDoS amplifikačních útocích a v souvislosti s aktuálními závody ISP se podíváme, jaké novinky se uváděly na světový a český trh několik let zpátky. Na konci se dovíte, jaké nové závěry se objevují v souvislosti s Ashley Madison a na co narazil Android.

DDoS amplifikací, kde se zneužívá DNS, NTP nebo SNMP, jsme viděli již několik. Bylo to více než před rokem, kdy byl CloudFlare zasažen útokem o síle přes 400 Gbps. Na světě zatím není tolik sítí, které by dokázaly takový traffic odfiltrovat. CloudFlare alespoň zveřejnil seznam ‚hříšníků‘, kteří se na útoku podíleli, a vystavil je tak malé veřejné potupě. Osm NTP škodíků se našlo v českých sítích a šest ve slovenských. Což je poměrně málo v porovnání s “lídrem“, který na útok na CloudFlare (a jistě nejen na ten) přispěl hned 136 NTP servery.

DDoS útoky však podle Akamai neutichají. V posledních dnech jsme narazili již v několika zdrojích na informaci, že štafetu přebírají RPC služby, konkrétně Portmapper. Několik hostingových společností bylo svědky DDoSu, kde byl zneužit právě Portmapper. První neobvyklý provoz zaznamenal provider Level 3 Communication. Na útoku se podílelo přes 1,1 milionu serverů, na kterých Portmapper běží. Společnost zaslala jejich seznam všem providerům, kteří je u sebe hostovali. Podle testů, provedených zaměstnanci Level 3 Communications, může odpověď na dotaz o velikosti 68 bytů dosáhnout 486 bytů (amplifikační faktor 7,1) až 1 930 bytů (amplifikační faktor 28,4). Po dobu útoků společnost zaznamenala amplifikaci 19,4.

A proč nás právě tento případ dnes zaujal nejvíce? Nejde ani tak o amplifikaci, jako o fakt, že Level 3 Communications přispěli zhruba před rokem hned 28 NTP servery k NTP DDoS amplifikačnímu útoku.

Jak by řekl Kurt Vonnegut: „So it goes…“

Co se děje mezi Comcastem, AT&T a Google Fibrem? Comcast tento týden oznámil, že do dvou až tří let by mohli být všichni jeho zákazníci připojeni do Internetu rychlostí 1 Gbps. To však budou muset všichni jejich zákazníci změnit kabel k modemu a pravděpodobně také modem samotný, což bude určitě něco stát. A jak to funguje… každý zákazník chce to nejlepší, co může dostat; zda to skutečně potřebuje, je druhá věc. Tím však tyto „závody“ nekončí, právě naopak. Kdo první dokáže připojit větší část zákazníků 10 Gbps, dosáhne na pomyslný vrchol. Bude pak pračka připojená na Internet prát lépe i při 30 stupních? A co sací výkon vysavačů připojených do tak rychlé sítě? Možná i domácnosti někdy ocení takovéto připojení. Na menší DoS by tato rychlost už jistě stačila a s pomocí amplifikací se mohu generovat útoky o mnohem větší síle, než jsme svědky dnes.

Den předtím, než byla vydána předešlá zpráva, 24. srpna 2015, oslavil systém Windows 95 krásných 20 let. Kromě samotného operačního systému, jehož nejlepší vlastností byl dle reklamy multitasking, si mohli zákazníci Microsoftu zdarma stáhnout písničku od Rolling Stones Start me up, na kterou vývojáři Windows vesele poskakovali – a dali tak návod pro Apple, jak uvádět produkty na trh. Když si tehdy poskakoval zvláště vesele Bill Gates, asi ještě netušil, že svoji domácnost bude mít o pár let připojenou rychlostí 10 Gbps.

V témž roce 1995 spustil svou první www stránku také Jára Cimrman.

So it goes…

O dva dny později, ale v roce 2001, začala v České republice služba VOLNÝ, která poskytovala Internet zdarma. Platily se pouze telefonní poplatky. Zákazníci mohli být připojeni neomezeně rychlostí až 57,6 kbit/s a k tomu dostali zdarma 5 MB pro svou poštovní schránku. V témže roce byl portál Register.com svědkem prvního DDoS útoku, při němž byly využity DNS jako reflektory.

So it goes…

Postřehy z bezpečnosti

Sphinx je nová varianta bankovního trojana Zeus, která se objevila na černém trhu. Kód je napsaný v C++ a byl vytvořen tak, aby byl spustitelný jenom přes síť Tor. Zakoupit jej je možné přes Bitcoiny nebo platební systém DASH. Autoři slibují, že Sphinx je imunní vůči Zeus trackeru, blacklistingu a sinkholingu.

Nový bug, který se objevil v Androidu, se jmenuje Certifi-Gate. Exploituje jej aplikace jedné londýnské společnosti, která umožňuje získat plný přístup do smartphonu nebo tabletu.

Z důvodu ochrany soukromí Android běžně zamezuje nahrávání plochy; vývojáři aplikace však použili děravou verzi pluginu TeamViewer a proto aplikace prošla přes Android Google Play. Zranitelnost bude asi náročnější opravit, protože Android neumožňuje revokaci certifikátu, který poskytuje práva roota.

Kdybyste si chtěli vydělat, Ashley Madison nabízí 500 000 dolarů za poskytnutí informací o hackerovi, který se podílel na zveřejnění databáze této seznamky pro zadané. John McAfee se vyjádřil, že nejde o hacknutí. Z analýzy dat mu vyšly tři závěry:

1. Šlo o práci jednotlivce

2. Útok šel zevnitř organizace

3. Za útokem stojí žena

Jak došel k prvnímu závěru, John McAfee neprozradil. K druhému ho vedl fakt, že útočník/útočnice měl/a dobrou znalost infrastruktury. Třetí, a ten nejzajímavější, postavil na tom, že útočník používá slova jako „scumbag“ či „cheating dirtbags“. Zároveň zmiňuje ve špatném světle někoho, kdo se na seznamku přihlásil den po Valentýnu.

Pierluigi Paganini zase naznačil, že je možné, že za útokem stojí stejná osoba jako za útokem na Iránskou energetickou společnosti v roce 2012. Při obou útocích totiž hacknutým osobám přišla ve zprávě o hacknutí také písnička od AC/DC „Thunderstruck“. Okruh útočníků se zúžil jenom na několik miliónů. Je to žena, která zná AC/DC.

Ve zkratce

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

31. 8. 2015 18:38

. (neregistrovaný)

Matka samoživitelka - z Prahy vydělala úžasných 7650 euro za měsíc!
Reklama Sklik.

Zase zapínám AdBlock.


DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

DigiZone.cz: TV Philips a Android verze 6.0

TV Philips a Android verze 6.0

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Taky věříte na pravidlo 5 sekund?

Taky věříte na pravidlo 5 sekund?

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Měšec.cz: mBank cenzuruje, zrušila mFórum

mBank cenzuruje, zrušila mFórum

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák