DDoS amplifikací, kde se zneužívá DNS, NTP nebo SNMP, jsme viděli již několik. Bylo to více než před rokem, kdy byl CloudFlare zasažen útokem o síle přes 400 Gbps. Na světě zatím není tolik sítí, které by dokázaly takový traffic odfiltrovat. CloudFlare alespoň zveřejnil seznam ‚hříšníků‘, kteří se na útoku podíleli, a vystavil je tak malé veřejné potupě. Osm NTP škodíků se našlo v českých sítích a šest ve slovenských. Což je poměrně málo v porovnání s “lídrem“, který na útok na CloudFlare (a jistě nejen na ten) přispěl hned 136 NTP servery.
DDoS útoky však podle Akamai neutichají. V posledních dnech jsme narazili již v několika zdrojích na informaci, že štafetu přebírají RPC služby, konkrétně Portmapper. Několik hostingových společností bylo svědky DDoSu, kde byl zneužit právě Portmapper. První neobvyklý provoz zaznamenal provider Level 3 Communication. Na útoku se podílelo přes 1,1 milionu serverů, na kterých Portmapper běží. Společnost zaslala jejich seznam všem providerům, kteří je u sebe hostovali. Podle testů, provedených zaměstnanci Level 3 Communications, může odpověď na dotaz o velikosti 68 bytů dosáhnout 486 bytů (amplifikační faktor 7,1) až 1 930 bytů (amplifikační faktor 28,4). Po dobu útoků společnost zaznamenala amplifikaci 19,4.
A proč nás právě tento případ dnes zaujal nejvíce? Nejde ani tak o amplifikaci, jako o fakt, že Level 3 Communications přispěli zhruba před rokem hned 28 NTP servery k NTP DDoS amplifikačnímu útoku.
Jak by řekl Kurt Vonnegut: „So it goes…“
Co se děje mezi Comcastem, AT&T a Google Fibrem? Comcast tento týden oznámil, že do dvou až tří let by mohli být všichni jeho zákazníci připojeni do Internetu rychlostí 1 Gbps. To však budou muset všichni jejich zákazníci změnit kabel k modemu a pravděpodobně také modem samotný, což bude určitě něco stát. A jak to funguje… každý zákazník chce to nejlepší, co může dostat; zda to skutečně potřebuje, je druhá věc. Tím však tyto „závody“ nekončí, právě naopak. Kdo první dokáže připojit větší část zákazníků 10 Gbps, dosáhne na pomyslný vrchol. Bude pak pračka připojená na Internet prát lépe i při 30 stupních? A co sací výkon vysavačů připojených do tak rychlé sítě? Možná i domácnosti někdy ocení takovéto připojení. Na menší DoS by tato rychlost už jistě stačila a s pomocí amplifikací se mohu generovat útoky o mnohem větší síle, než jsme svědky dnes.
Den předtím, než byla vydána předešlá zpráva, 24. srpna 2015, oslavil systém Windows 95 krásných 20 let. Kromě samotného operačního systému, jehož nejlepší vlastností byl dle reklamy multitasking, si mohli zákazníci Microsoftu zdarma stáhnout písničku od Rolling Stones Start me up, na kterou vývojáři Windows vesele poskakovali – a dali tak návod pro Apple, jak uvádět produkty na trh. Když si tehdy poskakoval zvláště vesele Bill Gates, asi ještě netušil, že svoji domácnost bude mít o pár let připojenou rychlostí 10 Gbps.
V témž roce 1995 spustil svou první www stránku také Jára Cimrman.
So it goes…
O dva dny později, ale v roce 2001, začala v České republice služba VOLNÝ, která poskytovala Internet zdarma. Platily se pouze telefonní poplatky. Zákazníci mohli být připojeni neomezeně rychlostí až 57,6 kbit/s a k tomu dostali zdarma 5 MB pro svou poštovní schránku. V témže roce byl portál Register.com svědkem prvního DDoS útoku, při němž byly využity DNS jako reflektory.
So it goes…
Postřehy z bezpečnosti
Sphinx je nová varianta bankovního trojana Zeus, která se objevila na černém trhu. Kód je napsaný v C++ a byl vytvořen tak, aby byl spustitelný jenom přes síť Tor. Zakoupit jej je možné přes Bitcoiny nebo platební systém DASH. Autoři slibují, že Sphinx je imunní vůči Zeus trackeru, blacklistingu a sinkholingu.
Nový bug, který se objevil v Androidu, se jmenuje Certifi-Gate. Exploituje jej aplikace jedné londýnské společnosti, která umožňuje získat plný přístup do smartphonu nebo tabletu.
Z důvodu ochrany soukromí Android běžně zamezuje nahrávání plochy; vývojáři aplikace však použili děravou verzi pluginu TeamViewer a proto aplikace prošla přes Android Google Play. Zranitelnost bude asi náročnější opravit, protože Android neumožňuje revokaci certifikátu, který poskytuje práva roota.
Kdybyste si chtěli vydělat, Ashley Madison nabízí 500 000 dolarů za poskytnutí informací o hackerovi, který se podílel na zveřejnění databáze této seznamky pro zadané. John McAfee se vyjádřil, že nejde o hacknutí. Z analýzy dat mu vyšly tři závěry:
1. Šlo o práci jednotlivce
2. Útok šel zevnitř organizace
3. Za útokem stojí žena
Jak došel k prvnímu závěru, John McAfee neprozradil. K druhému ho vedl fakt, že útočník/útočnice měl/a dobrou znalost infrastruktury. Třetí, a ten nejzajímavější, postavil na tom, že útočník používá slova jako „scumbag“ či „cheating dirtbags“. Zároveň zmiňuje ve špatném světle někoho, kdo se na seznamku přihlásil den po Valentýnu.
Pierluigi Paganini zase naznačil, že je možné, že za útokem stojí stejná osoba jako za útokem na Iránskou energetickou společnosti v roce 2012. Při obou útocích totiž hacknutým osobám přišla ve zprávě o hacknutí také písnička od AC/DC „Thunderstruck“. Okruh útočníků se zúžil jenom na několik miliónů. Je to žena, která zná AC/DC.
Ve zkratce
- CERT z Carnegie Mellon University varuje přes radou zranitelných domácích routerů pro které není patch
- Sedm nejčastějších Trojanů se vzdáleným přístupem
- Tisíce Androidích aplikací v Google Play je potencionálně škodlivých
- BitTorrent opravil zranitelnost, která umožňovala zneužití p2p protokolu na amplifikační DDoS
- Cross Site Scripting v Paypale umožňuje získání čísel kreditních karet v clear texte
- Proof of concept převzetí kontroly na Facebookovým Fan Page
- Miliarda lidí se připojila na Facebook v jeden den
- Výměna uživatelských metadat obyvatelů Německa za sledovací software
- Google Chrome znemožní od prvního septembra automatické přehrávaní Flashu
- GitHub opět po DDoSem
- Jaké jsou nejčastejší chyby, kterým by se uživatele měli vyhnout
Závěr
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.
