Hlavní navigace

Postřehy z bezpečnosti: masivní DDoS útok na DNS nebyl úspěšný

Martin Čmelík 14. 12. 2015

V dnešním díle pravidelných pondělních Postřehů se podíváme na útok vůči kořenovým DNS serverům a proč nemohl být úspěšný, na novou službu podobnou serveru Shodan, zákaz používání SHA-1, pokrok Google a NASA s kvantovým počítačem, novou certifikační autoritu Let's Encrypt a spoustu dalšího.

Byl zaznamenán masivní DDoS útok vůči kořenovým DNS serverů s kadencí 5 milionů požadavků za vteřinu na jeden DNS server (průměr je 20 až 50 tisíc dotazů). První trval 160 minut a stal se 30. listopadu. Druhý pak 1. prosince o délce 60 minut. Ze třinácti kořenových DNS serverů byl tento útok schopen částečně „postihnout“ servery B, C, G a H.

Jen pro upřesnění, jedná se o 13 IP adres a ne 13 serverů. Infrastruktura za každou IP adresou může čítat desítky i stovky serverů, protože se jedná o Anycastovou IP adresu. Tj. pokud byste se na DNS ptali např. serveru E a NASA měla mirror server v Evropě, tak váš požadavek půjde k němu (k tomu nejbližšímu) a ne do US. Podle Wikipedie je, dle údajů ze října 2014, celkem 504 DNS root serverů. Díky geografickému load balancingu je tak víceméně nemožné, nebo jen velice náročné napadnout všechny DNS servery naráz. Jen v Praze je pět duplikátů kořenových DNS serverů (D, F, K, J a L).

DDoS útok sestával z dotazů na jednu doménu a používal spoofované  IP adresy. Nemusím snad upozorňovat, že pokud by byl útok dlouhodobě úspěšný, tak je znefunkčněn téměř celý Internet. Samozřejmě je doporučeno používat Network Ingress Filtering (BCP-38) pro omezení útoků používající spoofované adresy, ale to by se muselo začít u ISP a ty se bojí, že by to mohlo postihnout spojení jejich zákazníků, protože svým sítím ne vždy rozumí.

Dokonce jsem někdy v roce 2013 psal europoslankyni zodpovědné za kyberbezpečnost, jestli by nemohla uzákonit podmínku všem ISP používat Network Ingress Filtering, čímž by se enormně zabránilo útokům pomocí spoofovaných adres, a to nejen v rámci EU. Avšak podle odpovědi z její kanceláře (ve stylu sira Humphreyho Applebyho) jsem nabyl vědomí, že je veškerá snaha marná.

Podle posledních zpráv John McAfee věří, že za útokem stojí „zombie army“ botnet, sestávající se z blíže nespecifikované aplikace nainstalované na stovkách milionů mobilních zařízení.

Naše postřehy

Anonymous po “vyhlášení války” ISIS nyní udělali to samé Donaldu Trumpovi, kvůli jednomu z mnoha jeho kontroverzních názorů, kdy chtěl zakázat přístup všem muslimům do země. Vysvětlují to tím, že čím víc muslimů naštve, tím je větší pravděpodobnost, že někteří z nich k ISIS přejdou. Mezitím byla vytvořena stránka FriendsWhoLikeTrump.com, která vás přesměruje na Facebook a ukáže vám, kdo z vašich přátel “lajknul” stránky podporující Donalda Trumpa. Je to dětinské, ale můžete udělat ten odvážný krok a daného přítele si odebrat.

předchozím díle Postřehů psal Pavel Bašta o nové panence Barbie s připojením na WiFi posílající vše, co řeknete v jejím okolí, na servery společnosti. Nejde jen o přístup k datům společností vyrábějící podobné hračky (Hello Barbie, My Friend Cayla), ale tyto hračky se spolu se soudním příkazem mohou stát nástrojem šmírování pro stát. Dále pak tu máme další soukromá data, které se dají velice dobře prodat společnostem zabývajícím se např. novou personalizovanou cílenou reklamou (Mirriad, Sundaysky), která modifikuje scény filmů a vkládá do nich reklamu mířenou na vaši domácnost.

Máme tu novou službu, podobnou serveru Shodan, která mapuje zařízení na Internetu a pomocí google-like dotazů můžete pak hledat konkrétní zařízení (tiskárny, servery, IoT, WiFi routery, bankomaty, …), služby a jejich verze, bezpečnostní chyby, či konkrétní nastavení systémů naznačující např. chyby ve firmwaru. Jmenuje se Censys a k mapování používa ZMap, ZGrab a ZTag. ZMap je specializovaný tool zaměřený právě na skenování celého Internetu a aktualizaci předchozích dat. ZGrap je potom parser pro HTTPS a ZTab umí raw data obohatit o výrobce, možné bezpečnostní chyby zařízení apod. Z dané služby lze získat opravdu velkou spoustu zajímavých informací.

Od roku 2016 se podle CA/Browser fóra musí přestat používat hashovací algoritmus SHA-1 a novým standardem bude SHA-256. Podle Facebooku a CloudFlare tímto však budou desítky milionů úživatelů neschopných navštívit HTTPS weby, protože algoritmus SHA-256 jejich zařízení nepodporují (tj. typicky nejspíš Windows XP s IE6, nebo Windows CE). Jedná se podle odhadů o 7 % uživatelů. Mým názorem je, že 7 % uživatelů bude mít alespoň motivaci upgradovat své staré systémy.

Kaspersky na svém webu shrnuje úspěšnost své prognózy z roku 2014 o vývoji útoků v roce 2015. Ve zkratce mají slušnou úspešnost a ve článku je spousta zajímavých statistik a informací o největších či nejpokročilejších útocích.

Před dvěma lety koupil Google a NASA kvantový počítač D-Wave 2X. Minulý týden tým Quantum AI zveřejnil výsledky jejich dosavadní spolupráce. Podle testů pomocí kvantových algoritmů Monte Carlo je kvantový počítač až stomilionkrát rychlejší než dnešní nejrychlejší procesor. K tomu všemu je kvantový počítač předurčen k masivním paralelním výpočetním operacím. Jak jistě víte, to také znaméná, že (za nějaký čas) bude většina šifrovacích algoritmů prolomena, protože většina z nich se jen spoléhá na výpočetní náročnost zjištění šifrovacího/privátního klíče.

Certifikační autorita Let’s Encrypt začala nabízet SSL certifikáty zdarma! CA Let’s Encrypt vznikla za pomoci společností jako Mozilla, EFF, Cisco, Akamai, Facebook apod. a cílem je vytvořit bezpečnou CA, která bude nabízet certifikáty zdarma, pokud však přijmete její odlišný (ale lepší) koncept. Hlavní rozdíl oproti tomu, co znáte teď, je, že certifikát bude mít platnost maximálně 90 dnů. Proč? Protože celý proces vydávání a výměny certifikátů má být automatizovaný. Proč? Protože když dojde ke kompromitování vašeho klíče, nebo když se zjistí slabina některého šifrovacího/hashovacího protokolu, tak za 90 dnů bude daný problém efektivně vyřešen a nebude se čekat až dva roky, než se nový standard pro certifikáty uplatní celosvětově. CA samozřejmě pro potřeby automatizace poskytuje několik návodů a utilit k tomu určených na svém Githubu. Pokud máte své webové stránky na sdíleném hostingu, doporučuji otravovat vašeho poskytovatele alespoň jednou do týdne, kdy už hodlá nasadit nativní podporu Let’s Encrypt CA. Můžete k tomu rovnou přihodit DNSSEC, TLSA, HTTP/2 a a další moderní technologie. Sbohem předraženým autoritám.

Ve zkratce

Pro pobavení

Neděste nám programátory, děkujeme :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

21. 12. 2015 9:17

Zdravy rozum je odrazen v RFC - a ta filtrovani dle zdrojove IP adresy explicitne pripousti - v pripade IPv6 to dokonce vyzaduji. To ze vas chory mozek neco povazuje za spravne reseni o nicem doopravdy nevypovida. A pochybuji, ze reklamaci technicky spravneho chovani vam nekde uznaji. Ale klidne si myslete opak :-D

17. 12. 2015 18:31

Vim o cele rade ISP, ktere to implementovane maji a pred krachem skutecne nejsou ;-) Par hykalu vaseho typu jejich byznys vazne neohrozi.

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

120na80.cz: Jak oddálit Alzheimera?

Jak oddálit Alzheimera?

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Lupa.cz: Google měl výpadek, nejel Gmail ani YouTube

Google měl výpadek, nejel Gmail ani YouTube

Lupa.cz: Propustili je z Avastu, už po nich sahá ESET

Propustili je z Avastu, už po nich sahá ESET

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu