Postřehy z bezpečnosti: masivní DDoS útok na DNS nebyl úspěšný

14. 12. 2015
Doba čtení: 5 minut

Sdílet

V dnešním díle pravidelných pondělních Postřehů se podíváme na útok vůči kořenovým DNS serverům a proč nemohl být úspěšný, na novou službu podobnou serveru Shodan, zákaz používání SHA-1, pokrok Google a NASA s kvantovým počítačem, novou certifikační autoritu Let's Encrypt a spoustu dalšího.

Byl zaznamenán masivní DDoS útok vůči kořenovým DNS serverů s kadencí 5 milionů požadavků za vteřinu na jeden DNS server (průměr je 20 až 50 tisíc dotazů). První trval 160 minut a stal se 30. listopadu. Druhý pak 1. prosince o délce 60 minut. Ze třinácti kořenových DNS serverů byl tento útok schopen částečně „postihnout“ servery B, C, G a H.

Jen pro upřesnění, jedná se o 13 IP adres a ne 13 serverů. Infrastruktura za každou IP adresou může čítat desítky i stovky serverů, protože se jedná o Anycastovou IP adresu. Tj. pokud byste se na DNS ptali např. serveru E a NASA měla mirror server v Evropě, tak váš požadavek půjde k němu (k tomu nejbližšímu) a ne do US. Podle Wikipedie je, dle údajů ze října 2014, celkem 504 DNS root serverů. Díky geografickému load balancingu je tak víceméně nemožné, nebo jen velice náročné napadnout všechny DNS servery naráz. Jen v Praze je pět duplikátů kořenových DNS serverů (D, F, K, J a L).

DDoS útok sestával z dotazů na jednu doménu a používal spoofované  IP adresy. Nemusím snad upozorňovat, že pokud by byl útok dlouhodobě úspěšný, tak je znefunkčněn téměř celý Internet. Samozřejmě je doporučeno používat Network Ingress Filtering (BCP-38) pro omezení útoků používající spoofované adresy, ale to by se muselo začít u ISP a ty se bojí, že by to mohlo postihnout spojení jejich zákazníků, protože svým sítím ne vždy rozumí.

Dokonce jsem někdy v roce 2013 psal europoslankyni zodpovědné za kyberbezpečnost, jestli by nemohla uzákonit podmínku všem ISP používat Network Ingress Filtering, čímž by se enormně zabránilo útokům pomocí spoofovaných adres, a to nejen v rámci EU. Avšak podle odpovědi z její kanceláře (ve stylu sira Humphreyho Applebyho) jsem nabyl vědomí, že je veškerá snaha marná.

Podle posledních zpráv John McAfee věří, že za útokem stojí „zombie army“ botnet, sestávající se z blíže nespecifikované aplikace nainstalované na stovkách milionů mobilních zařízení.

Naše postřehy

Anonymous po “vyhlášení války” ISIS nyní udělali to samé Donaldu Trumpovi, kvůli jednomu z mnoha jeho kontroverzních názorů, kdy chtěl zakázat přístup všem muslimům do země. Vysvětlují to tím, že čím víc muslimů naštve, tím je větší pravděpodobnost, že někteří z nich k ISIS přejdou. Mezitím byla vytvořena stránka FriendsWhoLikeTrump.com, která vás přesměruje na Facebook a ukáže vám, kdo z vašich přátel “lajknul” stránky podporující Donalda Trumpa. Je to dětinské, ale můžete udělat ten odvážný krok a daného přítele si odebrat.

předchozím díle Postřehů psal Pavel Bašta o nové panence Barbie s připojením na WiFi posílající vše, co řeknete v jejím okolí, na servery společnosti. Nejde jen o přístup k datům společností vyrábějící podobné hračky (Hello Barbie, My Friend Cayla), ale tyto hračky se spolu se soudním příkazem mohou stát nástrojem šmírování pro stát. Dále pak tu máme další soukromá data, které se dají velice dobře prodat společnostem zabývajícím se např. novou personalizovanou cílenou reklamou (Mirriad, Sundaysky), která modifikuje scény filmů a vkládá do nich reklamu mířenou na vaši domácnost.

Máme tu novou službu, podobnou serveru Shodan, která mapuje zařízení na Internetu a pomocí google-like dotazů můžete pak hledat konkrétní zařízení (tiskárny, servery, IoT, WiFi routery, bankomaty, …), služby a jejich verze, bezpečnostní chyby, či konkrétní nastavení systémů naznačující např. chyby ve firmwaru. Jmenuje se Censys a k mapování používa ZMap, ZGrab a ZTag. ZMap je specializovaný tool zaměřený právě na skenování celého Internetu a aktualizaci předchozích dat. ZGrap je potom parser pro HTTPS a ZTab umí raw data obohatit o výrobce, možné bezpečnostní chyby zařízení apod. Z dané služby lze získat opravdu velkou spoustu zajímavých informací.

Od roku 2016 se podle CA/Browser fóra musí přestat používat hashovací algoritmus SHA-1 a novým standardem bude SHA-256. Podle Facebooku a CloudFlare tímto však budou desítky milionů úživatelů neschopných navštívit HTTPS weby, protože algoritmus SHA-256 jejich zařízení nepodporují (tj. typicky nejspíš Windows XP s IE6, nebo Windows CE). Jedná se podle odhadů o 7 % uživatelů. Mým názorem je, že 7 % uživatelů bude mít alespoň motivaci upgradovat své staré systémy.

Kaspersky na svém webu shrnuje úspěšnost své prognózy z roku 2014 o vývoji útoků v roce 2015. Ve zkratce mají slušnou úspešnost a ve článku je spousta zajímavých statistik a informací o největších či nejpokročilejších útocích.

Před dvěma lety koupil Google a NASA kvantový počítač D-Wave 2X. Minulý týden tým Quantum AI zveřejnil výsledky jejich dosavadní spolupráce. Podle testů pomocí kvantových algoritmů Monte Carlo je kvantový počítač až stomilionkrát rychlejší než dnešní nejrychlejší procesor. K tomu všemu je kvantový počítač předurčen k masivním paralelním výpočetním operacím. Jak jistě víte, to také znaméná, že (za nějaký čas) bude většina šifrovacích algoritmů prolomena, protože většina z nich se jen spoléhá na výpočetní náročnost zjištění šifrovacího/privátního klíče.

Certifikační autorita Let’s Encrypt začala nabízet SSL certifikáty zdarma! CA Let’s Encrypt vznikla za pomoci společností jako Mozilla, EFF, Cisco, Akamai, Facebook apod. a cílem je vytvořit bezpečnou CA, která bude nabízet certifikáty zdarma, pokud však přijmete její odlišný (ale lepší) koncept. Hlavní rozdíl oproti tomu, co znáte teď, je, že certifikát bude mít platnost maximálně 90 dnů. Proč? Protože celý proces vydávání a výměny certifikátů má být automatizovaný. Proč? Protože když dojde ke kompromitování vašeho klíče, nebo když se zjistí slabina některého šifrovacího/hashovacího protokolu, tak za 90 dnů bude daný problém efektivně vyřešen a nebude se čekat až dva roky, než se nový standard pro certifikáty uplatní celosvětově. CA samozřejmě pro potřeby automatizace poskytuje několik návodů a utilit k tomu určených na svém Githubu. Pokud máte své webové stránky na sdíleném hostingu, doporučuji otravovat vašeho poskytovatele alespoň jednou do týdne, kdy už hodlá nasadit nativní podporu Let’s Encrypt CA. Můžete k tomu rovnou přihodit DNSSEC, TLSA, HTTP/2 a a další moderní technologie. Sbohem předraženým autoritám.

bitcoin školení listopad 24

Ve zkratce

Pro pobavení

Neděste nám programátory, děkujeme :)

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Security Architect, šéfredaktor serveru Security-Portal.cz, spoluorganizátor konference Security Session a hlavní vývojář distribuce Securix GNU/Linux.