Hlavní navigace

Postřehy z bezpečnosti: DDoS Amplification attack s TCP

25. 11. 2019
Doba čtení: 6 minut

Sdílet

Dnes se podíváme na invenci útočníků, kteří našli cestu, jak zesílit své útoky pomocí SYN-ACK paketů, na další útoky ransomwaru nebo na závažnou zranitelnost Androidu a postoj společnosti Google k politickým reklamám.

Zesilující DDoS pomocí TCP

Výzkumníci ze společnosti Radware zaznamenali za poslední měsíc několik DDoS útoků, které využívají TCP Amplification. DDoS Amplification Attack spočívá ve znásobení útočníkem odeslaného síťového provozu zpravidla nějakou zranitelnou službou na Internetu, která vrátí odpověď s mnohem větším množstvím dat, než kolik útočník poslal jako požadavek na server.

Útočníkovi pak stačí ve svém požadavku udat falešnou IP adresu odesílatele, konkrétně IP adresu své oběti, kterou chce zahltit velkými odpověďmi. Pro tento typ útoku jsme tak v minulosti mohli běžně vidět zneužívané různé UDP služby (např. memcached), kde je zfalšování IP adresy odesílatele snadné. Nicméně útočníci nyní přišli na způsob, jak pro tento amplifikační útok zneužít také TCP.

Útočník pošle SYN pakety se zdrojovou IP adresou ze sítě oběti (na které však není běžící stroj) na různé IP adresy v Internetu, které začnou oběti posílat SYN-ACK odpovědi. Protože na tento SYN-ACK nebude žádná reakce (zejména ne RST, které by poslal běžící stroj), předpokládá se ztráta paketu a SYN-ACK bude zasláno znovu, čímž se zahlcuje síť oběti.

Protože výchozí nastavení linuxových systémů je zpravidla poslat SYN-ACK maximálně pětkrát, nejevil se tento útok dříve jako použitelný (malá amplifikace). Realita je ovšem taková, že některá zařízení se dají zmanipulovat, aby odeslala až 5 000 SYN-ACK během jedné minuty (za cenu pouhého jednoho zfalšovaného SYN paketu od útočníka). To už představuje pro útočníky dostatečně velkou amplifikaci, aby se jim podařilo úspěšně zahltit síť své oběti. Výzkumníci zaznamenali právě tento typ útoku, který směřoval na velké společnosti jako sázkovou společnost Eurobet, dále Korea Telecom, tureckou finanční společnost Garanti či jihokorejský SK Broadband.

Ransomware stále hrozbou

Stát Luisiana se stal terčem útoku ransomwaru. Na základě masivního koordinovaného útoku bylo nutné odstavit několik serverů, včetně vládních webů. Guvernér John Bel Edvards reagoval aktivací státního cybersecurity týmu a celou situaci komentoval na Twitteru. Podle předběžných odhadů nedošlo ke ztrátě dat a ani k zaplacení výkupného.

Naproti tomu francouzská nemocnice Rouen's Centre Hospitalier Universitaire (CHU), která se taktéž stala terčem ransomwaru, přišla o přístup k 6 000 počítačům. Útok se stal 15. listopadu v sedm hodin odpoledne místního času. Výsledkem je, že celá nemocnice se vrátila k tužce a papíru či telefonu, než se celá věc vyřešila. Pozitivní na celé věci je, že nemocnice odmítla zaplatit výkupné a počítá s návratem do normálního provozu po tomto víkendu.

Veřejné nabíjecí stanice mohou být rizikové

Na letištích, nádražích, v obchodních centrech a na mnoha dalších místech jsme si zvykli potkávat stanice, které zadarmo dobíjí mobilní telefony. Stačí připojit a zůstat poblíž, aby přístroj někdo nezcizil, či ho zamknout do boxu, pokud je stanice takto navržena. Napadlo vás někdy, zda je riziko si připojit mobil do neznámého kabelu? Je.

Stejně jako USB flash může být konec kabelu teoreticky upraven tak, aby připojené zařízení bez milosti nenávratně zkratoval, nebezpečí se může skrývat v datových drahách kabelu. Váš mobil může být po celou dobu připojení vykrádán zevnitř. Této technice se říká juice jacking. Lze se proti ní účinně bránit tím, že se mezi přístroj a kabel vloží tzv. USB kondom. To je jednoduché spojovací zařízení, které má odstraněné datové kabely a nechává pouze elektrické vodiče.

Daň za to může být pomalejší rychlost nabíjení, neboť přístroj se s USB adaptérem je schopen domluvit na vyšším napětí. Na trhu však existují i taková zařízení, která nevedou datové spoje až do mobilu, ale obsahují čip, který s adaptérem vyšší rychlost vyjedná. Nebo zkrátka noste vlastní nabíjecí adaptér a preferujte elektrické zásuvky před těmi USB.

Bezpečnost Androidu

Některé z modelů Androidů můžou trpět závažnou zranitelností, která některým nakaženým aplikacím může povolit tajně nahrávat videa či pořizovat fotografie. Bezpečnostní model mobilních zařízení Android je navržen tak, aby se u každé aplikace definovalo, jaké operace lze na zařízení Android provádět, a ke kterým funkcím telefonu přistupovat.

Zranitelnost však umožňuje obejít zabezpečení a získat přístup ke kameře a mikrofonu, i v případě, že uživatel neudělil aplikaci tato oprávnění. Vyžadováno je pouze oprávnění přístupu k úložišti, což je jedno z nejčastějších požadovaných oprávnění. Útočník tak může na zranitelném zařízení pořizovat fotografie, videa nebo také odposlouchávat i v případě, že je telefon uzamčen a aplikace vypnutá.

Udržovat váš Android aktuální je vhodný způsob, jak chránit bezpečnost vašeho zařízení. Před čím bohužel chránění nejste, jsou aplikace v Google Play obchodu, které mohou obsahovat známé zranitelnosti. Společnost Check Point tvrdí, že v některých populárních aplikací mohou být zranitelnosti, které by již měly být záplatované. Problémem jsou staré kódy, které využívají nativní knihovny, takže i v případě opravení kódu mohou být stále spuštěny. Zda-li se jedná o zranitelnou aplikaci nejde říct, protože aplikace obsahující zranitelnou knihovnu ji nemusí využívat. Check Point i přes tuhle skutečnost informoval společnosti odpovědné za aplikace, které obsahují zranitelné knihovny.

Google nastavil pravidla pro politické kampaně

Google zakáže cílení politických reklamních kampaní dle domnělých politických preferencí uživatelů. Nově rovněž nebude možné zaměřit tyto kampaně v návaznosti na uživatelskou základnu/databázi Googlu a zobrazovat je například na YouTube. Nová pravidla začnou v nejbližších dnech platit ve Velké Británii, postupně pak v dalších zemích.

Možnost cílit kampaně v závislosti na věku, pohlaví a místa pobytu uživatele však zadavatelům zůstane. Google ke změnám uvedl, že začne zasahovat proti „zjevně zavádějícím tvrzením“ v reklamách, což je rozdílný přístup, než jaký praktikuje Facebook, jehož šéf Mark Zuckerberg uvedl, že faktickou správnost inzerce politických zadavatelů ověřovat nebude. Twitter se chystá politickou reklamu zakázat úplně, Google tak vedle konkurence volí svým způsobem střední cestu.

Twitter ruší povinnost používat SMS pro 2FA

Twitter konečně dovolí uživatelům zakázat SMS jako výchozí metodu 2FA – bylo k tomu potřeba jen, aby se někdo naboural do účtu generálního ředitele Twitteru. Twitter dnes oznámil, že uživatelé budou moci konečně zakázat ověřování pomocí dvoufaktoru (2FA) založeného na SMS pro své účty a používat pouze alternativní metodu, jako je aplikace pro ověřování kódu OTP (mobile one-time code) nebo hardwarový bezpečnostní klíč. Do dneška to nebylo možné. Pokud uživatelé chtěli používat 2FA pro svůj účet na Twitteru, museli si zaregistrovat telefonní číslo a povolit metodu 2FA založenou na SMS. Bez ohledu na to, zda si to přáli či ne.

CS24 tip temata

Tato metoda s použitím SMS 2FA vystavila účet útokům známým jako SIM swap. Hackeři, kteří znali heslo uživatele, provedli výměnu SIM, aby dočasně využili telefonní číslo uživatele, obešli SMS verifikaci 2FA a pak převzali účet daného uživatele.Poslední dva roky bylo takto nabouráno mnoho vysoce profilovaných účtů, Twitter však přistoupil na rozhodnutí učinit SMS 2FA metodu jako nepovinnou až nyní.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Národní bezpečnostní tým CSIRT.CZ je provozován sdružením CZ.NIC. Podílí se především na řešení incidentů týkajících se kybernetické bezpečnosti v sítích provozovaných v České republice.