Ataki DDoS II poł. 2011

Przeczytaj także: Zagrożenia internetowe III kw. 2011

Wewnętrzne konflikty między cyberprzestępcami

Ataki DDoS to nie tylko narzędzie nieuczciwej konkurencji nie tylko na tradycyjnym rynku fizycznych towarów i usług, ale również w ciemnym światku cyberprestępczości. Ponieważ wszystkie operacje cyberprzestępcze odbywają się w internecie, ataki DDoS stanowią bardzo skuteczne narzędzie wywierania presji na konkurencję.

W drugiej połowie roku najwięcej ataków (384) przeprowadzono na serwis służący do sprzedaży podrabianych dokumentów. Najczęściej do ataków DDoS uciekają się najczęściej carderzy i ich koledzy: boty atakują fora, na których omawiane są podobne tematy, jak również strony, na których sprzedawane są dane osobowe posiadaczy kart. Kolejną popularną grupą ofiar ataków DDoS stanowią strony oferujące tzw. hosting typu „bullet-proof” oraz usługi VPN dla cyberprzestępców. Świadczy to o zaciętej konkurencji między cyberprzestępcami oraz sugeruje, że mają oni wolny dostęp do botnetów DDoS.

Nowe techniki w atakach DoS/DDoS

Google+

Pod koniec sierpnia włoski badacz Simone «ROOT_ATI» Quatrini z AIR Sicurezza Informatica podał podał na blogu IHTeam Security dwa specjalne serwisy URL Google+, przy pomocy których cyberprzestępcy mogą wykorzystywać serwery Google’a do przeprowadzania ataków DDoS na dowolną stronę: : https://plus.google.com/_/sharebox/linkpreview/ oraz https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy?

Pierwszy jest narzędziem służącym do podglądu stron internetowych, natomiast drugi to gadżet pozwalający wykorzystywać odsyłacze i przechowywać kopie pamięci cache plików na serwerach Google’a. Wykorzystując oba te narzędzia, można wysłać parametr w adresie URL zawierający odsyłacz do dowolnego pliku zlokalizowanego na atakowanej stronie. Serwery Google’a zażądają tego pliku, a następnie prześlą go użytkownikowi, tj. będą działały jak proxy. Automatyczne narzędzia (takie jak skrypt) mogą zostać wykorzystane do wysłania wielu takich żądań; jeżeli pomnożymy je przez przepustowość internetu szerokopasmowego Google’a z pewnością będzie można mówić o ataku DDoS HTTP na stronę ofiary.

Badacz zauważył, że metoda ta pozwala osobie atakującej zachować anonimowość. Jednak w przypadku wykorzystania drugiego adresu URL, adres IP osoby atakującej jest wysyłany do żądanej strony w polu żądania HTTP, dlatego atak z określonego adresu IP może zostać łatwo zablokowany przez atakowany serwer.

Po wysłaniu opisów tych „luk” zespołowi odpowiedzialnemu za bezpieczeństwo w firmie Google, zamknęła ona pierwszą stronę /_/sharebox/linkpreview/, jednak drugą, gadgets/proxy?, pozostawiła niezmienioną. Najwyraźniej, twórcy serwisu nie sądzili, że możliwość wykorzystania tej strony do przeprowadzenia ataku DDoS będzie stanowić poważny problem, ponieważ tego rodzaju atak można łatwo odeprzeć.

Publiczne usługi prawdopodobnie nigdy nie będą powszechnie wykorzystywane jako narzędzia do przeprowadzania ataków DDoS, ponieważ, jak tylko zostaną zidentyfikowane, tego rodzaju luki zostaną szybko usunięte przez dostawców usług.

THC-SSL-DOS

Ostatnio analitycy coraz bardziej zwracają uwagę na możliwości skutecznego przeprowadzenia ataku DDoS przy minimalnym wysiłku ze strony osoby atakującej, tj. bez wykorzystania dużych botnetów. Może to zwiastować odejście od konwencjonalnych ataków DDoS z wykorzystaniem dużego ruchu na rzecz ataków, które prowadzą do wykorzystywania dużych zasobów na atakowanym serwerze. Opisany poniżej rodzaj ataku doskonale wpisuje się w ten model.

W październiku niemiecki zespół analityków The Hacker's Choice wypuścił nowe oprogramowanie „proof-of-concept” do przeprowadzania ataków DoS na serwery sieciowe wykorzystując charakterystykę protokołu SSL. Przy użyciu nowego narzędzia o nazwie THC-SSL-DOS jeden zwyczajny komputer PC może pozwolić na całkowite zablokowanie przeciętnie skonfigurowanego serwera, jeżeli obsługuje on renegocjację SSL. Opcja ta pozwala serwerowi na stworzenie nowego tajnego klucza na bazie istniejącego połączenia SSL. Mimo, że jest rzadko wykorzystywana, opcja ta jest w większości serwerów włączona domyślnie. Ustanowienie bezpiecznego połączenia i przeprowadzenie renegocjacji SSL wymaga znacznie większych zasobów po stronie serwera niż po stronie klienta. Ta asymetria zostaje odpowiednio wykorzystana: jeżeli klient wysyła dużą liczbę żądań renegocjacji SSL, zostają obciążone zasoby serwera.

Należy zauważyć, że nie wszystkie serwery sieciowe są podatne na tego typu ataki: niektóre z nich, takie jak serwer IIS, nie obsługują renegocjacji SSL inicjowanej przez klienta. Ponadto, serwery sieciowe mogą wykorzystywać akcelerację SSL w celu ochrony serwera sieciowego przed nadmiernym obciążeniem.