Hlavní navigace

Postřehy z bezpečnosti: DoS jedním počítačem

Martin Čmelík 14. 11. 2016

Dnes se podíváme na DoS útok, který zvládne jakýkoliv počítač, na Pixel od Googlu nabouraný během minuty, 100GE switch od Facebooku, jak jsou miliardy účtů v ohrožení kvůli implementaci OAuth 2.0, a mnoho dalšího.

Nové DoS technice stačí 15 megabitů, případně 40 tisíc paketů za vteřinu, k úspěšnému útoku na Cisco, Palo Alto, Zyxel a SonicWall firewally. Stačí k tomu jeden počítač chrlící ICMP pakety typu 3 (Destination Unreachable) kód 3 (Port Unreachable). Nejedná se tedy o notoricky známý Ping flood (ICMP typ 8, kód 0), jehož cílem bylo vytížení linky nebo prostředků cílové stanice. Výzkumníci z dánského TDC novou techniku nazývají BlackNurse a cílem je vytížení CPU firewallů na cestě k cílovým serverům (např. v DMZ).

Některé firewally (např. Check Point) mají v základním nastavení povolené dva/tři ICMP pakety za vteřinu od jednoho zdroje (lze podvrhnout), ty ostatní jsou většinou schopny omezit počet ICMP paketů pomocí IPS modulu. Není doporučené tento typ zpráv úplně blokovat, i když to TDC uvádí ve své zprávě. ICMP typ 3, kód 4 zprávy se používají pro ICMP Path MTU discovery, což může způsobovat (mimo jiné) problémy s VPN spojením, kvůli zapouzdření paketů.

Pokud chcete částečně omezit ICMP, tak doporučuji vlákno na StackExchange. Nemá to však velký význam, protože v rámci IPv6 je stejně ICMP téměř nezbytností.

Podle zpráv Cisco tuto chybu neoznačuje za bezpečnostní problém, ale už nevysvětluje proč. Palo Alto chybu připustilo, ale jen pokud správci firewallu ICMP povolili v pravidlech (úsměvné). Pokud vás tématika DoS/DDoS útoků zajímá, sepsal jsem před několika lety principy DoS/DDos útoku a i pár rad, jak se proti nim chránit.

Pokud je riziko DDoS útoků vůči vaší společnosti opravdu vysoké, doporučuji použít DDoS pračku jako např. CloudFlare či Incapsula. Služba od Akamai (Kona Site Defender) je příliš drahá v porovnání s ostatními a F5 (SilverLine) ještě potřebuje rok i dva na to, aby dozrála.

Naše postřehy

Pixel, nový telefon od Googlu, byl na soutěži PwnFest 2016 pokořen během jedné minuty. Výzkumníci společnosti Qihoo 360 demonstrovali proof-of-concept kód používající 0day zranitelnost ke vzdálenému spuštění kódu. Exploit spustil Google Play Store a poté prohlížeč Chrome s načtením stránky zobrazující „Pwned By 360 Alpha Team“. Tým Qihoo 360 tímto získal finanční odměnu ve výši 120 tisíc dolarů. Mimo Pixel byl pokořen i MS Edge na Windows 10 a Safari na macOS Sierra. Qihoo tak odešli s celkovou výhrou 520 tisíc dolarů.

Nová verze OpenSSL opravuje tři chyby, kdy jedna je označena jako závažná. Chybu objevil Robert Swiecki (Google) a týká se TLS implementace šifrovací sady ChaCha20-Poly1305, která se stává novým standardem a hodí se i pro mobilní zařízení. 

Facebook omylem označil milióny profilů jako „zvěčněný účet s několika slovy pozůstalým, a to včetně profilu Marka Zuckerberga. Tento nový typ „tragické“ chyby byl však rychle napraven.

Mirai botnet útočil na systémy finské společnosti Valtia, která se stará o správu majetku a budov. Cílem útoků byly systémy vystrčené do internetu ovládající vytápění domů a ohřev vody, které nasadila společnost Fidelix. Díky tomu byly dva bloky domů ve Finsku odříznuty od dodávky tepla. Společnost přepnula systémy na manuální ovládání a poté celou situaci napravila tím, že před všechna zařízení dala firewall. Kvůli nekompetentnosti lidí můžete dnes už i umrznout.

Facebook představil BackPack – druhou generaci modulárního switche pro 100GE datacentrum. S přechodem z 40GE na 100GE rychlost se zvýšily nároky na spotřebu a chlazení 100GE ASIC čipů, které procesují síťový provoz. BackPack má oddělený data, control a management řadič, používá modulární komponenty (switch elements) a ortogonální architekturu šasi, díky němuž je možné poskládat si komponenty dle vašich představ a potřeb. Na switchi běží open-source produkty FBOSS a OpenBMC a i veškerý design a architekturu zařízení Facebook předal Open Compute projektu. To je obdivuhodné. Ani nechci odhadovat, kolik milionů dolarů by něco podobného stálo v Cisco světě a kolik SW problémů by s tím bylo spojeno.

Doplněk do prohlížečů WOT (Web of Trust) od stejnojmenné společnosti, která má chránit soukromí uživatelů naopak jejich soukromí ohrožuje. Německá stanice NDR objevila několik případů porušení soukromí, kdy společnost WOT prodávala data o svých cca 140 milionech uživatelů třetím stranám. Nejedná se o uživatele doplňku, ale dodatečné služby „Safe Web Search & Browsing“ sestávající i z vlastního prohlížeče.

Na webu Sophosu je pěkně sepsána anatomie útoku, popisující, jak prohlížeč Chrome na Androidu nezobrazí upozornění o stažení APK souboru z nedůvěryhodného zdroje. Vektor útoku používá URL.createObjectURL() k přeměně kusů bloku dat v paměti prohlížeče na APK formát, přičemž Chrome již neověřuje typ souboru. O tomto problému psali začátkem minulého týdne výzkumníci společnosti Kaspersky ve spojení s malwarem Svpeng.

Tři výzkumníci univerzity v Hong Kongu prezentovali minulý týden na konferenci Black Hat EU svou práci „Signing into One Billion Mobile App Accounts Effortlessly with OAuth 2.0. Práce popisuje slabou implementaci protokolu OAuth 2.0, která ohrožuje až jednu miliardu účtů. Tímto typem útoku bylo postiženo 41,2 % z testovaných mobilních aplikací.

Ve zkratce

Pro pobavení

Našli jste v článku chybu?

14. 11. 2016 9:30

llof (neregistrovaný)

Jaktože máte fotku mé klávesnice? :D

15. 11. 2016 9:49

andrej (neregistrovaný)

free skype alternativa: hangouts

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Vitalia.cz: Říká amoleta - a myslí palačinka

Říká amoleta - a myslí palačinka

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Babiš: E-shopů se EET možná nebude týkat

Babiš: E-shopů se EET možná nebude týkat

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Vitalia.cz: Paštiky plné masa ho zatím neuživí

Paštiky plné masa ho zatím neuživí

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Podnikatel.cz: Na poslední chvíli šokuje vyjímkami v EET

Na poslední chvíli šokuje vyjímkami v EET

Podnikatel.cz: Víme první výsledky doby odezvy #EET

Víme první výsledky doby odezvy #EET

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET