Todos os posts tagados ddos

17.000 dispositivos vulneráveis a ataques em Portugal

ntp_map_portugal_2

Com base nos últimos artigos que tenho escrito, tanto no WebSegura, como no Tek Sapo, decidi obter mais informação sobre algumas falhas em routers em Portugal. Foquei-me inteiramente nos protocolos NTP e SSDP, visto serem neste momento bastante utilizados como plataforma para amplificação de ataques DDoS.

Nesta investigação, e com dados recolhidos entre os dias 11 e 12 deste mês no projeto ShadowServer Foundation, concluí que existem cerca de 17.491 dispositivos alegadamente vulneráveis a ataques NTP e SSDP/UPnP em Portugal.

No topo dos ISPs com mais dispositivos vulneráveis, está a VODAFONE, logo seguido pela MEO e a TVCABO.

Elaborei dois gráficos para melhor ilustrar os ISPs afetados em Portugal.

TOP10 dos ISPs vulneráveis ao NTP em Portugal

grafico_ntp

Num total de 12010 ocorrências [o gráfico apenas ilustra o total do Top10] – https://ntpscan.shadowserver.org/

TOP10 dos ISPs vulneráveis ao SSDP em Portugal

ssdp_portugal_grafico

Num total de 5481 ocorrências [o gráfico apenas ilustra o total do Top10] – https://ssdpscan.shadowserver.org/

Só para ter ideia do tipo de amplificação dos ataques SSDP, se for feito um pedido de 64 bytes ao serviço, a resposta é de 3283 bytes. Ou seja, uma amplificação de cerca de 50x.
Geralmente os utilizadores maliciosos utilizam pedidos M-SEARCH numa determinada gama de IPs. Se o dispositivo SSDP/UPnP responder ao pedido com a descrição do dispositivo, então está vulnerável. Com base nestas respostas, os utilizadores elaboram uma lista de dispositivos vulneráveis para posteriormente criarem botnets ou booters.

O projeto Shadowserver Foundation tem como objectivo pesquisar e identificar dispositivos com os serviços NTP e SSDP abertos e disponíveis.
Posteriormente contatam os responsáveis para uma resolução.

Gostava também de salientar que o Brasil é atualmente o 8º país no mundo com mais dispositivos NTP abertos (118.030 ocorrências) e 7º em relação ao SSDP (395.251 ocorrências). De facto são números assustadores.

Embora os utilizadores possam, na maioria dos casos, recorrer ao painel de administração dos dispositivos e desligar os serviços que que não utiliza, o papel deveria ser implementado pelo ISPs. Uma pequena GRANDE atenção que os ISPs poderiam dar aos seus clientes, seria fornecer um manual de segurança ou uma newsletter mensal [ou imediata assim que aparecer uma falha crítica] com informação de segurança, qualquer um deles seria positivo para uma web mais segura.

Aumento da largura de banda, aumenta força dos DDoS

Créditos da foto: http://threatpost.com/

Com o aumento da largura de banda por parte dos ISPs aos utilizadores, impacto dos ataques DDoS também aumentam. Esta situação, derivada em grande parte do desconhecimento por parte dos utilizadores de protegerem corretamente o seu router, leva a uma amplificação dos ataques DDoS.

No meu ponto de vista, é para mim óbvio que não devemos limitar o aumento [da largura de banda] mas sim obrigar os fornecedores a lançarem atualizações para os routers e a enviarem informação regular com informação para os clientes melhorarem a segurança do equipamento contratado. Alguma vez receberam alguma newsletter ou notificação por parte do vosso ISP em relação a segurança?

Trocar a password de acesso de administração de acesso ao router; trocar chave de acesso ao Wi-Fi e desligar serviços que não utilizam poderá prevenir imensas complicações de segurança.

NTP e SSDP continuam a ser as técnicas favoritas para os ataques DDoS e a contratação de Booters [inclusive por portugueses] para o efeito já é um serviço conhecido. A questão é que nos últimos anos, a largura de banda destes ataques aumentaram exponencialmente. De referir que há uma década atrás, o maior ataque DDoS registado tinha pico em 8Gbps. Em 2014, o maior pico registado foi de 400Gbps.

Recentemente, recebemos no WebSegura.net uma notificação do Pedro Fernandes, de dois artigos que demonstram algumas fragilidades no software dos routers da ZON[NOS].

http://djprmf.com/nos-os-vossos-router-necessitam-de-uma-5473
http://djprmf.com/nos-wi-fi-powered-by-fon-dns-spoofing-5805

Também em novembro de 2014, o especialista de segurança Marco Vaz da empresa portuguesa da Integrity, encontrou uma falha nos routers Belkin.
Pessoalmente é de dar valor aos portugueses que demonstram este tipo de fragilidades.
Em Portugal temos qualidade na área de segurança de informação e é preciso apoiar estas iniciativas.

Claro que existem outros fatores de risco, como por exemplo um malware instalado num computador que funciona como zombie à espera de ativação para uma botnet. Tem de existir um fator de informação para o utilizador entender que o seu computador poderá ser uma via para ataques informáticos. Se o utilizador entender este fator, é um passo para o caminho de uma solução e diminuição de ataques DDoS e outro tipos ataques informáticos.

Da nossa parte, iremos sempre que possível alertar problemas relacionados com este assunto, mantendo o nosso papel de ajudar a comunidade.

O mundo dos Booters

booter_capa

Sabia que por alguns euros um utilizador pode colocar offline maioria dos sites que conhece?
Este facilitismo na contratação de serviços como Booters veio criar uma nova oportunidade a qualquer utilizador colocar sites em baixo.

Mas afinal o que é um Booter [também conhecido por Stresser]?
Um Booter é um serviço web que efetua DDoS com preços bastante baixos e de difícil deteção.
Os serviços de Booter têm um frontend web onde o cliente, após o devido pagamento, escolhe o site ou IP atacar. Basicamente um painel de controlo de aparente fácil utilização [exemplo].
No backend estão presentes os hosts, na grande maioria servidores dedicados com ligações superiores a 1Gbps, que executam o ataque, que por sua vez estão localizados noutro local.
Não existe qualquer tráfego DDoS feito diretamente pelo ISP do site. Todo o tráfego do ataque DDoS vem de uma infraestrutura separada que inclui muitos servidores espalhados [e computadores pessoais infetados] pela Internet, em que o Booter se coneta via proxies. Ou seja, temos uma aplicação web que se conecta a API preparada para lançar ataques de negação de serviço distribuído.
Pelo meio ainda existe um serviço que protege os sites de Booters com uma segurança web chave-na-mão. Basicamente, é necessário muita papelada, ordens do tribunal e muitas investigações para colocar estes serviços fora do ar.
Praticamente todos os Booters estão com conta no Cloudflare porque é muito recorrente os ataques DDoS à concorrência.
De referir que os Booters por vezes são suportados por botnets [conjunto de máquinas infetadas (bots) que recebem instruções do seu operador para ataques remotos] de grandes dimensões mas estes são muito dificeis de encontrar e de alugar.

Para ter uma ideia da capacidade de um Booter, segue as caracteristicas de um dos Booters mais utilizados no HackForums.net:

Métodos Layer 4 [ou SYN Flood] e Layer 7 [ou HTTP DoS]
Total capacidade – 216Gbps
Ligação garantida – 10 a 50Gbps usando SSDP e 20-70Gbps com NTP
Pode escolher o método de ataque: SSDP, SUDP, NTP, XML_RPC, POST, GET
Preços que começam em $17.99/mês [cerca de 15€] por 1200s (boot time)
Utilização de versões vulneráveis do CMS Joomla como amplificador de ataque

booter01

De referir que, segundo comentários e alguns contatos que fiz no HF, o método preferido neste momento é o SSDP porque amplifica o ataque em quase 30x. Já no passado muitos investigadores de segurança tinham alertado para o fato de haver muitos scanners à porta 1900/UDP – Simple Service Discovery Protocol (SSDP) que faz parte do Universal Plug and Play (UPnP). Routers vulneráveis a falhas UPnP estão a servir para lançar este tipo de ataques devastadores.

Como podemos ver pelo SSDPScan, em Portugal também temos bastantes portas abertas para lançar ataques indoor.

booter02

Pessoalmente acho estranho, quando o protocolo Network Time Protocol (NTP) tem um fator de amplificação maior. No entanto, nos exemplos de Booters que tenho visto, podem sempre escolher ambas as opções – SSDP ou NTP.

O mais grave é que os routers dos utilizadores estão a servir de arma de DDoS sem terem o conhecimento disso. Passwords default e serviços vulneráveis ativos são a porta de entrada para que os Booters tenham tanto sucesso.

Para ter noção da dimensão e o dano causa por este mercado, os Lizard Squad colocaram offline os serviços online da PSN e da XBOX na época natalícia para alegadamente promoverem o seu serviço de Booter – o Lizard Stresser [já encerrado pelas autoridades]. Esse ataque já foi explicado no blogue do Brian Krebs e confirmado por uma divulgação anónima feita no Pastebin. Os Lizard Squad para além de utilizarem routers domésticos para lançarem DDoS, utilizaram diversos IPs do Google – ou o grupo identificou uma falha em algum serviço do Google [não parece muito provável] ou então aproveitou-se de vouchers para o serviço VPS do Google.

Muitos dos últimos ataques DDoS que tem havido e tem sido divulgados nos media são resultado de Booters.

http://www.websegura.net/videos-no-youtube-anunciam-venda-de-ataques-ddos/
http://www.websegura.net/bancos-estao-a-ser-atingidos-por-ataques-ddos/
http://pplware.sapo.pt/informacao/depois-da-psn-e-do-xbox-live-o-alvo-do-ataque-e-a-rede-tor/
http://www.techworld.com/news/security/attackers-install-ddos-bots-on-amazon-cloud-exploiting-elasticsearch-weakness-3533164/
http://www.computerworld.com/article/2862652/garden-variety-ddos-attack-knocks-north-korea-off-the-internet.html
http://www.theregister.co.uk/2014/12/24/rackspace_restored_after_ddos_takes_out_dns/

É claro que este lado negro não é de confiar. A maioria dos Booters têm sempre uma validade bastante curta porque dependem muitas das máquinas comprometidas e do próprio suporte técnico do serviço. Em pesquisas pela web é possível ler várias queixas de utilizadores que no ínicio tinham ligações de ataques DDoS com 15 a 20Gbps e alguns dias depois tinha 3 a 1 Gbps. Afinal, estão a contratar um serviço ilegal, estão à espera de que?

Grande parte dos Booters que foram encerrados foi devido aos pagamentos. Os responsáveis dos sites de Booters preferem ter alternativas de pagamentos ao Bitcoin, como o PayPal e por vezes as autoridades apenas têm de seguir o dinheiro.

Tentei questionar alguns grupos portugueses que efetuam regularmente DDoS mas até à data não obtive qualquer resposta.
No entanto contatei um administrador de uma reputada empresa de hosting portuguesa sobre DDoS:

Penso que nenhum operador em Portugal tem capacidade para “gerir um ataque” bem realizado e bem direcionado de 20Gbps constantes de chegada sem grande impacto ou quebras no serviço. Não me refiro a “kiddies” mas sim de alguém ou de algum grupo com experiência que tenha conhecimento e recursos para iniciar um ataque elaborado e previamente estudado.

Claro que irá depender muito da origem, da estrutura, da evolução e do destino do ataque mas não existem muitos service providers nacionais com backbone internacional de 20gbps o que por si só tem algum significado. É também necessário ter equipamento com capacidade suficiente para gerir os 20gbps e como podem confirmar com uma pesquisa rápida não existem muitas opções com throughtput suficiente para tal, os que existem são ainda de valor bastante elevado. Quando falamos de um ataque estamos ainda a considerar tráfego adicional às normais operações do serviço o que pode significar a necessidade de um backbone e de uma capacidade de gestão global muito superior à força do ataque.

Mas tudo isto é muito subjectivo, “20gbps” pode ter realmente muitos significados, no entanto a nível geral teria com certeza grande impacto nos serviços de qualquer dos operadores nacionais. Prevejo mesmo um cenário bastante negro, a grande maioria ficaria offline por completo pelo menos por longos períodos de dezenas de minutos.

A nível nacional os services providers não estão preparados para acontecimentos desta magnitude. Os grandes operadores dispõe de algumas condições e capacidade mas se olharmos por exemplo para as empresas no hosting, 90% não dispõem sequer de equipamento de rede próprio o que significa que estão sempre dependentes de terceiros e nesse sentido também mais vulneráveis e incapacitadas nestas situações.

Na verdade não seria algo inédito, existem alguns reports não confirmados de DDoS com destino a Portugal nos 20gbps. Os resultados foram devastadores, com períodos elevados de total indisponibilidade do provider, desvalorização e queda da reputação do serviço e da empresa, perda elevada de clientes, etc…

São situações bastante complicadas, existem cada vez mais afectados mas também mais estudo, melhor preparação, mais compreensão e colaboração. Acredito que num futuro bastante próximo as forças estejam mais equilibradas a nível global.

Espero ter contribuído para um melhor entendimento sobre este assunto.
Fica a dica, estejam atentos à segurança do vosso router.

Vídeos no Youtube anunciam venda de ataques DDoS

iddos_ddos_sale

Ao que parece, a venda de ataques DDoS [booters] está na moda. Existem vídeos no Youtube a publicitar este tipo de serviço ilícito e contam já com bastantes visualizações [mais de 105000].

Exemplos:

www.youtube.com/watch?v=HRZ7d_QL8jY
www.youtube.com/watch?v=d1lv0zG1cVg
www.youtube.com/watch?v=PPI-Ef0b1Aw

Anunciam pacotes com as seguintes características:

  • 50-80GBPS
  • Cloudflare Resolver
  • Corre tudo online com um painel de administração
  • Aceitam Pagamentos por Bitcoin
  • Prometem anonimato [vindo de criminosos, vale o que vale]
  • Preços começam a partir dos $3.99

Com estes serviços à mão de semear, qualquer utilizador [mesmo sem conhecimento algum] poderá colocar offline sites, servidores ou mesmo um DNS. Na maioria dos casos, é só colocar o IP, ou domínio, e pressionar um botão.

Imagine se algum concorrente à sua empresa de vendas online quiser colocar offline o seu site? Por vezes estes ataques DDoS duram meses. Conseguiria manter o seu negócio online com o site offline?

Alerto para o fato que ao adquirir este tipo de serviços está alimentar um mercado ilegal que compromete máquinas para utilizar em ataques de negação de serviço. Além de que maioria do dinheiro recebido nestas atividades é posteriormente utilizado em lavagens de dinheiro utilizando outros esquemas fraudulentos.

Até à data deste artigo, os vídeos continuam ativos.

Bancos estão a ser atingidos por ataques DDoS

ddos

Bancos escandinavos estão a ser alvo de ataques DDoS que estão afetar o normal funcionamento dos mesmos.
Os clientes do banco finlandês OP Pohjola Group estiveram mesmo impedidos de efetuar transações online e levantamentos nos ATM no último dia do ano 2014.

O banco divulgou a seguinte informação no segundo dia consecutivo do ataque:

Durante a noite de Ano Novo, os serviços da OP sofreram alguns problemas na comunicação de informação. Estes problemas foram causados por um ataque de negação de serviço. Este ataque inundou as comunicações dos nossos sistemas e afetou os nossos clientes. Durante esta interrupção, os serviços online estiveram indisponíveis e os levantamentos nos ATM não eram possíveis. Também houve dificuldades nos pagamentos por cartão.

Entretanto o banco já está a normalizar a situação e a tomar medidas necessárias para prevenir novos ataques, embora alguns clientes ainda poderão ter algumas dificuldades aceder ao serviço online.
Mas este não foi o único banco a ser atingido. Também o banco Nordea e o banco dinâmarques Danske também também tiveram períodos de interrupções nos serviços online.

Todas as entidades bancárias visadas estão a cooperar com as autoridades para saber a razão e a origem destes ataques DDoS.

E se os alvos fossem os bancos em Portugal? Qual seria a resposta a estes ataques de negação de serviço? Teriam capacidade para prevenir que os seus clientes fossem afetados?