Интернет-провайдеры должны нести ответственность за DoS-атаки, производимые через их сети, говорит Лилиан Эдвардс, юрист Университета Саутгемптона. Её мнение, высказанное 13 ноября на конференции «Защита от DoS-атак в интернете» в Лондоне, цитирует New Scientist.

В ходе DoS-атаки злоумышленник заваливает тот или иной сервер большим количеством бесполезного трафика, тем самым блокируя нормальный доступ к этому серверу и сайтам, расположенным на нём. «Мусорный» трафик чаще всего генерируют сотни или даже тысячи компьютеров, заражённых вирусом и с его помощью управляемых удалённо. Единственное предназначение вируса – в определённый момент по команде «вирусописателя» атаковать цель.

Лилиан Эдвардс, одна из ведущих юристов в области интернет-права, отмечает необходимость ответственности за подобные действия по отношению ко всем «соучастникам». На данный момент провайдеры не несут никакой ответственности за те данные, которые проходят через их сети, и Эдвардс считает, что власти должны заставить их заняться проверкой этих данных.

Ян Браун, глава Communication Research Network, отметил тот факт, что многие компании готовы заплатить «выкуп» за то, чтобы их сетевое представительство оставалось нетронутым. Злоумышленники подчас требуют по 50 тысяч долларов за то, чтобы атаки не проводились.

«На eBay всегда можно приобрести свежий вирус примерно за $4000, от которого в течение 2 недель не смогут защитить никакие антивирусные программы. За это время можно организовать не одну DoS-атаку», – говорит Браун. – «Защититься от атак со стороны заражённых вирусом компьютеров можно, только если Windows станет более безопасной операционной системой. Однако Microsoft движется к этому очень медленно. Пользователи могут предпринять некоторые защитные меры, установив антивирусное программное обеспечение, но власти должны иметь возможность установить законодательные ограничения».

Уже существует технология, которая поможет провайдерам в блокировании DoS-атак – «deep packet inspection»: с её помощью можно различить, к примеру, интернет-звонки и скачивание видео-файлов. Эдвардс отмечает, что с её же помощью можно идентифицировать резкий рост бесполезного веб-трафика: «У провайдеров есть знания, ресурсы и соответствующие возможности, так что они должны контролировать необычные всплески трафика в сетях».

Идея заставить провайдеров бороться с DoS-атаками обречена на провал, говорит Малколм Хотти, представитель ассоциации провайдеров Лондона: «В атаках виноваты не провайдеры, а заражённые компьютеры». Кроме того, различить «атакующий» и «невинный» трафик достаточно затратно как по финансам, так и по времени: в результате пострадает скорость передачи данных, а следовательно – все клиенты компаний, предоставляющих услуги доступа в интернет.

«Блог Форума по вопросам управления интернетом был столь популярен, что серверы, на которых он размещается, просто не выдержали наплыва пользователей. Это не была DoS-атака, но для систем проверки данных это выглядело бы именно так. Каким же образом тогда интернет-провайдеры смогут различать просто популярные сайты и мишени атак?», — возмущается Хотти.

Представитель компании Symantec говорит, что злоумышленники в случае, если провайдеры действительно будут проверять трафик на предмет наличия атак, будут просто шифровать свои команды. Тем самым обнаружение таких команд станет для провайдеров практически невозможным: «Если мы попытаемся отделить хороший трафик от плохого, плохие парни просто сделают свой трафик нераспознаваемым».

C 15:00 не работает интернет-сайт издательского дома «Коммерсантъ» (в том числе не работает он и у самих сотрудников издания). Как раз сегодня «Коммерсантъ» опубликовал стенограмму допроса своего бывшего владельца Борис Березовского, который российская прокуратура проводила в Лондоне. Причем на сайте была представлена полная версия стенограммы (расшифровка шести аудио-кассет).

В принципе, может эти две вещи и не связаны друг с другом. В конце концов, ничего нового Березовский не сказал: он обвинил людей Владимира Путина в убийстве в прошлом году в Лондоне диссидента Александра Литвиненко, но об этих его заявлениях ранее уже было известно. С другой стороны, оппозиционные сайты все чаще становятся жертвами DoS-атак, что наводит на определенные мысли.

Update. Сайт пытается вернуться к жизни, то работает, то не работает. Причем в тот момент, когда он работал, я заметил, что расшифровку допроса убрали. Осталась только копия статьи из бумажной версии газеты. В ней сказано, что полная версия допроса доступна на сайте, но гипер-ссылка на эту полную версию исчезла (а она была — копия этой же статьи с «Яндекса»).
Update-2 Сам текст допроса был здесь, и вроде эта ссылка иногда открывается. Получается, что убрали только линк на неё.
Update-3 Часам к восьми вернули ссылку на стенограмму, но сайта по-прежнему то работает, то нет. Похоже на DoS-атаку, потому что при удачном заходе на сайт появляется объявление с просьбой подождать пять секунд (аналогично тому, что сделали год назад на compromat.ru после серии DoS-атак).
Final update: Сайт по-прежнему в подвешенном состоянии, в «Коммерсанте» официально подтвердили, что стали жертвой DoS-атаки. А хабр был первым, гле об этом сообщили!

«Сайт газеты „Коммерсант“ подвергся массированной DoS-атаке, в результате чего функционирование интернет-страницы издания было приостановлено. Атака на сайт „Коммерсанта“ началась около 15:00 по московскому времени и до сих пор специалистам не удалось справиться с действиями злоумышленников. В телефонном разговоре с корреспондентом „Ленты.Ру“ главный редактор сайта Павел Черников заявил, что возможные методы противодействия DoS-атакам в этом случае пока к положительным результатам не привели. По мнению Черникова, сегодняшняя атака может быть следствием утренней публикации стенограммы допроса Бориса Березовского по делу Александра Литвиненко, однако, подчеркнул главный редактор сайта „Коммерсант“, подтверждений этой версии пока нет», — сообщает «Лента.ру».

А Хабр, между прочим, был первым, кто об этом сообщил! Хабрахабр!!!

P.S. Кстати, вчера DoS-атаке также подвергся сайт радиостанции «Эхо Москвы». Так что может это были заранее спланированные «учения» спецслужб, которые просто совпали с моментом публикации допроса Березовского.

В продолжение темы хакерских атак, которые наши госорганы якобы устраивают на этонские правительственные сайты: Поскольку некоторые хабралюди засомневались в том, что власти Эстонии открыто могли заявить об атаках на них с «кремлевских IP-адресов», достал соответствующий фрагмент выступления посла этой республики в России Марина Кальюранд. Фрагмент небольшой, ничего нового существенного не сказано, но… звучит очень прикольно!

Удалённый пользователь может произвести DoS атаку из-за ошибки при обработке WAP Push пакетов.
Отказ в обслуживании может быть вызван специально сформированным SMS сообщением или UDP пакетом, отправленным на 2948 порт (в этом случае, один пакет может быть использован для атаки на большое число устройств).
Атака приводит к перезагрузке или аварийному завершению работы.

Сайт Международной федерации звукозаписывающих компаний IFPI 21.04.09 находился под распределённой DoS-атакой. Таким образом, группа сочувствующих хакеров мстит организаторам суда над владельцами торрент-трекера The Pirate Bay, которые были признаны виновными в нарушении копирайта в минувшую пятницу.

Хотелось бы предупредить владельцев PIX/ASA (пока не грянул гром) о достаточно обширной уязвимости (DoS):
www.cisco.com/warp/public/707/cisco-sa-20090408-asa.shtml
(в той части, которая называется «Crafted TCP Packet DoS Vulnerability»).

Уязвимость вполне реальна и воспроизводима любым script-kiddie, что не может не печалить. Cкрипт, приведенный на milw0rm-е, валит (в невменяемое состояние) почти любую PIX/ASA буквально через 5-7 минут.
Подвержены влиянию открытые в интернет TCP-порты следующих служб:
— SSL VPNs
— ASDM Administrative Access
— Telnet Access
— SSH Access
— cTCP for Remote Access VPNs
— Virtual Telnet
— Virtual HTTP
— TLS Proxy for Encrypted Voice Inspection
— Cut-Through Proxy for Network Access
— TCP Intercept

Вчера fixed-версии софта стали доступны через официальный CCO, до этого с момента опубликования Security Advisory они были доступны только через PSIRT.

Спойлер: Open vSwitch версий меньше 1.11 уязвим перед атакой вида «flow flood», позволяющей злоумышленнику прервать работу сети отправкой относительно небольшого потока пакетов в адрес любой виртуальной машины. Версии 1.11 и старше проблеме не подвержены. Большинство серверов с OVS до сих пор используют OVS 1.4 или 1.9 (LTS-версии). Администраторам таких систем настоятельно рекомендуется обновить систему на более новую версию OVS.

Лирика: Прошло уже больше полутора лет с момента, когда я впервые сумел воспроизвести эту проблему. В рассылке OVS на жалобу сказали, что «в следующих версиях исправят» — и исправили, пол-года спустя. Однако, это исправление не коснулось LTS-версии, а значит, большинство систем, использующих OVS, всё так же уязвимо. Я пытался несколько раз связаться с Citrix'ом (т.к. он использует самую уязвимую версию OVS в составе Xen Server — в тот момент это был мой основной продукт для эксплуатации), но никакой внятной реакции не последовало. Сейчас у администраторов есть возможность устранить проблему малой кровью, так что я решил опубликовать описание очень простой в воспроизведении и крайне запутанной и в диагностике проблемы — проблеме «flow congestion», она же «flow flood attack», она же «странная неведомая фигня, из-за которой всё работает странно». Раньше в комментариях и в рассылках про эту проблему я уже несколько раз писал, но у меня ни разу не хватало пороху полностью описать проблему на русском языке так, чтобы суть проблемы была понятна обычному айтишнику. Исправляюсь.

Следующая строчка hping3 -i u10 virtual.machine.i.p нарушает работоспособность хоста виртуализации, где запущена виртуальная машина. И не только хоста виртуализации — любую систему, работающую на Open vSwitch версий меньше 1.11. Я делаю особый упор на версиях 1.4.3 и 1.9, потому что они являются LTS-версиями и используются чаще всего.

Более суровая версия того же вызова, на этот раз с нарушением правил пользования сетью: hping3 --flood --rand-source virtual.machine.i.p. Соотношение исходящего трафика (~10-60Мбит/с) и (потенциальной) пропускной способности интерфейса жертвы (2x10G, соотношение по доступной полосе атакующий/атакуемый порядка 1:300-1:1000) позволяет говорить именно про уязвимость, а не про традиционную DoS атаку флудом, забивающем каналы аплинков до нерабочего состояния.

Симптомы со стороны хоста виртуализации: неожиданные задержки при открытии соединений, рост потребления CPU процессом ovs-vswitchd до 100%, потеря пакетов для новых или малоактивных сессий. Если используется OVS 1.4, то процесс ovs-vswitchd не только съедает свои 100% CPU, но и начинает подъедать память и делает это со скоростью до 20 мегабайт в минуту, пока к нему не приходит добрый дедушка OOM и не проводит воспитательную беседу.

Важно отметить, что использование этой уязвимости является незаконным, если только у вас нет разрешения владельца веб-сайта.

В платформе WordPress CMS была обнаружена простая, но очень серьезная уязвимость, связанная с атаками типа «отказ в обслуживании» (DoS) на уровне приложений, которая позволяет любому пользователю приводить в нерабочее состояние большинство веб-сайтов WordPress даже с помощью одной машины. Происходит это без необходимости задействовать огромное количество компьютеров для переполнения полосы пропускания, как это требуют DDoS-атаки, но с достижением того же результата.

Поскольку WordPress Foundation отказали в исправлении проблемы, уязвимость (CVE-2018-6389) остается без патча и затрагивает почти все версии WordPress, выпущенные за последние девять лет, включая последнюю стабильную (WordPress версия 4.9.2).

Сетевая архитектура LTE

На прошедшей конференции по безопасности сетей и распределённых систем в Сан-Диего NDSS 2018 было немало интересного, но самое большое внимание привлёк доклад американских исследователей из Университета Айовы и Университета Пердью по уязвимостям в сетях связи четвёртого поколения (4G): LTEInspector: A Systematic Approach for Adversarial Testing of 4G LTE (pdf). Такое внимание объяснимо, учитывая широкую распространённость сетей 4G LTE.

Исследователи сосредоточились на анализе трёх критических процедур, которые используются в протоколе:

• Attach — процедура, которая связывает абонентское устройство с сетью (например, при включении телефона).
• Detach — осуществляется при выключении устройства или отключении сети (например из-за плохого качества сигнала или если телефон не может пройти проверку подлинности в сети).
• Paging — этот протокол является частью установки вызова, чтобы форсировать на устройстве повторный приём системной информации, а также сообщений экстренного характера.

На китайских интернет-аукционах появилось громадное количество устройств для проведения различных атак на Wi-Fi протокол, например, Jammer. Каждый из нас может столкнуться с ситуацией, когда в настроенной и сданной в успешную эксплуатацию сети появляются проблемы, причины которых могут оказаться весьма неожиданными. В статье я хочу рассказать, как выявить DoS атаку на радиоканал Wi-Fi, и обозначить способы противодействия. Материалы не несут технической сложности и доступны в интеллектуальном смысле широкому кругу читателей, которые могут элементарно столкнуться с соседом, начитавшимся распространённых мануалов по взлому Wi-Fi, оттачивающим свои скилы на практике и тем самым намеренно или не очень вредящим своими действиями добропорядочным соседям.