Dagens hacker-tilbud: Læg din fjendes web og telefoni død for 400 kr.
For godt og vel 400 kroner i døgnet kan skruppelløse personer købe sig til kriminelle, internetbaserede tjenester, som lægger websider og telefonlinjer døde ved at tæppebombe dem med datapakker og opkald.
Det skriver det danske it-sikkerhedsfirma CSIS i en pressemeddelelse om det fænomen, de betegner crime-as-a-service.
De kriminelle tjenester er som skabt til at lamme en konkurrerende virksomheds evne til at drive forretning, og det er for eksempel russiske it-kriminelle, der udbyder tjenesterne for små 80 dollars eller 430 kroner i døgnet.
CSIS påpeger, at specielt angrebene på telefoni er noget helt nyt i den voksende underverden af skumle cybertiltag.
»Denne form for ydelser er desværre tit yderst prisbillige og et lærebogseksempel på et hastigt voksende sortbørsmarked, hvor it-kriminelle med saft og kraft fra zombiemaskiner, indrullet i såkaldte botnets, kan udsulte både websider og telefonlinjer med datapakker og massevis af opkald der forhindrer al legitim trafik,« skriver CSIS.
For eksempel kan de 430 kroner købe en distribueret Denial of Service (DDoS) tjeneste, også kendt som "DDoS as a service", der bombarderer internetbaserede tjenester med datapakker og dermed lægger dem døde. Prisen afregnes i online valuta kaldet wmz eller webmoney, hvor en wmz svarer til cirka en amerikansk dollar.
En af de udbydere af crime-as-a-service, som CSIS har haft under luppen, er russiske Tamerlann, som tilbyder kunderne DDoS af en specifik webside eller flere websider på samme tid.
Som noget helt nyt og hidtil uset tilbyder Tamerlann også at opkaldsbombe traditionelle telefoni systemer, mobiltelefoner og IP telefoni og på den måde helt forhindre målet i at kunne modtage eller foretage opkald på telefonen.
CSIS påpeger, at tjenesterne er lette at købe sig til, svære at spore og ofte er den rigtige konkurrent kun indirekte indblandet i det digitale angreb.
De kriminelle tjenester opslås på russiske undergrundssider, hvor man skal oprette sig som medlem for at få adgang. Det kræver blot en e-mail adresse og eventuelt en ICQ konto, hvorefter man kan gå på indkøb i stjålne kreditkort, netbank konti, zombier og spambots og DDoS-as-a-service. Flere af serviceudbyderne tilbyder en smagsprøve, inden man beslutter sig for at købe, skriver CSIS.
CSIS overvåger for øjeblikket syv forskellige udbydere af DDoS services, der alle kontrollerer et botnet af zombiemaskiner, der står til rådighed for de krimielle tjenester.
Kommentarer (12)
Casen er illustrerer bare graden af sårbarheder som staten har (ladet/krævet) bygget ind i infrastrukturen.
Så længe man bliver ved med at fokusere på at overvåge og kontrollere borgerne istedet for at fokusere på at sikre og understøtte vil denne destruktive udvikling fortsætte.
-
0 -
0
Det handler lige så meget om at Internettet blev bygget på baggrund af at dette skulle kunne modstå et atom-angreb. Sikkerheden var slet ikke gennemtænkt :-) Det kan man dog håbe på sker langsomt i fremtiden hvis protokollerne eller nyere protokoller bliver mere sikre.
Selvom DDoS er effektivt er det blevet bevist før at hvis man har den rette viden behøver man dårligt nok et botnet til at lægge en side ned, medmindre at selve målet er sat 100% korrekt op og har forholdsvist god load-balancing samt midler mod DoS, så kræver det lidt mere :-)
-
0
-
0
Den eneste måde at beskytte mod denne type er at sløre målet, dvs. at fjerne muligheden for at addressere de fysiske objekter direkte.
Loadbalancing er 1/10 i den rigtige retning, men ikke mere.
Det oprindelige internet var et af de flotteste eksempler på god it-design, vi har set. Siden da er det gået lodret ned ad bakke fordi interesserne i at eje brugerne overvinder sund fornuft.
IPv6 er et stjerneeksempel på tåbelig designadfærd. Det vil maksimere sikkerhedsproblemerne fordi man fastlåser forældede sikkerhedsmekanismer i kommunikationslaget og totalt blotlægger målet.
-
0
-
0
Den eneste måde at beskytte mod denne type er at sløre målet, dvs. at fjerne muligheden for at addressere de fysiske objekter direkte.
Hvordan gøres det?
-
0
-
0
Virtualisering, dvs. at gøre alle aspekter som kan skabe en sårbarhed formålsspecifikke så en angriber ikke kan skalere et angreb.
Vi arbejder med det og bruger det i alle vores løsnngsmodeller. F.eks. RFIDsec producerer RFID-chip som i sikker tilstand bruger nye ikke-algoritmisk genererede nøgler hver gang.
Resten er i virkeligheden blot at applikere princippet til problemet. Kan man gøre det på en trådløs chip uden batteri og næsten uden regnekraft og storage, så kan man gøre det overalt.
-
0
-
0
RFID har altså ikke særligt meget at gøre med TCP/IP, desværre.
Det lyder smart, men det holder ikke vand. Med virtualisering løser det egentlig ikke problemet, da det grundlæggende problem stadigvæk ligger i protokollerne.
Jeg har endnu ikke set nogen metode der beskytter en mod DDoS på nogen som helst måde, udover at hvis det er DNS-baseret som i www.eksempel.tld der bliver DoS'et ja så kan man route den videre til 127.0.0.1. Så er siden nede ja, men det løser midlertidigt problemet hvor man f.eks. efterfølgende kan route ip'en tilbage eller til en ny.
(Man kan selvfølgelig håbe på at angrebet er stoppet når man sætter A-addressen (eller måske AAAA-addressen i tilfælde af IPv6) tilbage til en gyldig ip-addresse og så eventuelt håbe at dns-cachen hos angriberen ikke er opdateret hvis denne skulle få lyst til at fortsætte angrebet).
Hvis angrebet er ip-baseret kan man "null"-route men så ender trafikken jo også bare ude i ingenting. Men til gengæld så er der ikke fare for nedbrud af systemet imens angrebet står på.
Den eneste måde jeg kender imod DDoS er simpelthen ikke at være på Internettet, og det løser jo ikke noget. Selv NAT vil ikke løse problemet da det så bare er ens router der bliver DDoS'et, og det er altså ikke sjovt hvis angrebet er seriøst. Så har man nemlig ikke noget Internet :-) Det har jeg prøvet engang.
-
0
-
0
RFID har altså ikke særligt meget at gøre med TCP/IP, desværre. Det lyder smart, men det holder ikke vand. Med virtualisering løser det egentlig ikke problemet, da det grundlæggende problem stadigvæk ligger i protokollerne
Selvfølgelig ligger det i protokollen/strukturen.
Jeg sagde ikke at RFID løste TCP/IP problemet - jeg nævnte det som et eksempel på en teknologi som grundliggende i selve designet er resistent mod DDOS fordi nodes ikke har persistente addresser. Og som et princip der nemt kan overføres til alle andre områder.
Hvis du vil sikre TCP/IP skal du tværtimod gøre det stik modsatte af IPv6 - i stedet for at fokusere på at overvåge/spore angriberen skal du virtualisere målet så angriberen ikke kan sigte.
Det er f.eks. det som Freegate går for at beskytte mod kraftfulde angribere som Iran, Kina og andres statslige stærkt ressourcefulde angribere. Kriminelle hackere kan på samme måde sagtens beskytte sig ligesom de kan bruge botnets til at tage hele lande ned som vi så med Estland.
Pointen er blot at dette værktøj - virtualisering - skal tages rigtigt i brug, så man både muliggør legitime transaktioner og stopper de kriminelle.
Det må ikke opfattes så primitivt som anonymisering og trusted third parties. Der skal langt flere nuancer tilpasset kontekst til.
-
0
-
0
På et tidspunkt så jeg noget (remote execution) kode, der appendede en <iframe> på samtlige filer (.php,.htm,.html), så enhver(decentral) sidevisning ville resultere i en request mod offeret.
Den slags ting kan man ikke rigtig gardere sig imod, blot vente til det er overstået.
-
0
-
0
På et tidspunkt så jeg noget (remote execution) kode, der appendede en <iframe> på samtlige filer (.php,.htm,.html), så enhver(decentral) sidevisning ville resultere i en request mod offeret.
Ja, iframe's bliver især brugt til browser-angreb, phishing og lignende i tilfælde af at det ikke er rent mel der er i posen.
Men der kommer altså ikke et <iframe> inde i ens filer hvis man bliver DDoS'et (i relation til artiklen), det er bare normal RCE / Remote Code Execution i dit tilfælde. :-)
Man kan dog også godt få smuglet en iframe med vha HTML-injection, SQL-injection (i tilfælde af databasen viser html enheder uden at det er filtreret / valideret) og endda også vha Cross Site Scripting hvor offeret dog først skal klikke på et link :-)
Den slags ting kan man ikke rigtig gardere sig imod, blot vente til det er overstået.
I tilfælde af RCE-angreb (se ovenstående) så venter man altså ikke bare, så lukker man siden ned og opdaterer til den nyeste version og er 100% sikker på at alt skadelig kode er fjernet fra ens web-applikations system ;-) (Der er dog nogle firmaer som helst ikke vil have nedetid på deres hjemmeside selvfølgelig).
-
0
-
0
Men der kommer altså ikke et <iframe> inde i ens filer hvis man bliver DDoS'et
Vi taler om forskellige ting.
Jeg snakker om hvordan man fabrikerer et large scale DDoS attack, ikke om offeret.
Hvis det kun er nogle få (high volume) IP adreseer, kan man bare lukke for dem i router/firewall.
Så mit gæt er, at det er 'mange bække små', der giver et effektivt DDoS attack.
-
0
-
0
Det ser ud til, at ovenstående indlæg, har medført debatforsiden ikke viser indlæg efter ovenstående. Måske er version2's side følsom overfor ordet iframe med klamme om på debatforsiden. Så dette bedes helst undgået.
-
0
-
0
Må man nu ikke engang gøre brug af ytringsfriheden mere?
Hvis forsiden ikke kan lide ordet iframe, så må folk heller ikke skrive: script, onmouseover, onkeydown, embed, meta, osv :-) De tags kan misbruges lige så slemt og bare vent til HTML 5 kommer, så bliver det sjovt :-D
Altså jeg tror ikke på at der er nogen blacklist af ord på denne side, jeg tror nærmere at den bevidst er blevet fjernet.
-
0
-
0
