Todos os posts tagados router

Aumento da largura de banda, aumenta força dos DDoS

Créditos da foto: http://threatpost.com/

Com o aumento da largura de banda por parte dos ISPs aos utilizadores, impacto dos ataques DDoS também aumentam. Esta situação, derivada em grande parte do desconhecimento por parte dos utilizadores de protegerem corretamente o seu router, leva a uma amplificação dos ataques DDoS.

No meu ponto de vista, é para mim óbvio que não devemos limitar o aumento [da largura de banda] mas sim obrigar os fornecedores a lançarem atualizações para os routers e a enviarem informação regular com informação para os clientes melhorarem a segurança do equipamento contratado. Alguma vez receberam alguma newsletter ou notificação por parte do vosso ISP em relação a segurança?

Trocar a password de acesso de administração de acesso ao router; trocar chave de acesso ao Wi-Fi e desligar serviços que não utilizam poderá prevenir imensas complicações de segurança.

NTP e SSDP continuam a ser as técnicas favoritas para os ataques DDoS e a contratação de Booters [inclusive por portugueses] para o efeito já é um serviço conhecido. A questão é que nos últimos anos, a largura de banda destes ataques aumentaram exponencialmente. De referir que há uma década atrás, o maior ataque DDoS registado tinha pico em 8Gbps. Em 2014, o maior pico registado foi de 400Gbps.

Recentemente, recebemos no WebSegura.net uma notificação do Pedro Fernandes, de dois artigos que demonstram algumas fragilidades no software dos routers da ZON[NOS].

http://djprmf.com/nos-os-vossos-router-necessitam-de-uma-5473
http://djprmf.com/nos-wi-fi-powered-by-fon-dns-spoofing-5805

Também em novembro de 2014, o especialista de segurança Marco Vaz da empresa portuguesa da Integrity, encontrou uma falha nos routers Belkin.
Pessoalmente é de dar valor aos portugueses que demonstram este tipo de fragilidades.
Em Portugal temos qualidade na área de segurança de informação e é preciso apoiar estas iniciativas.

Claro que existem outros fatores de risco, como por exemplo um malware instalado num computador que funciona como zombie à espera de ativação para uma botnet. Tem de existir um fator de informação para o utilizador entender que o seu computador poderá ser uma via para ataques informáticos. Se o utilizador entender este fator, é um passo para o caminho de uma solução e diminuição de ataques DDoS e outro tipos ataques informáticos.

Da nossa parte, iremos sempre que possível alertar problemas relacionados com este assunto, mantendo o nosso papel de ajudar a comunidade.

O mundo dos Booters

booter_capa

Sabia que por alguns euros um utilizador pode colocar offline maioria dos sites que conhece?
Este facilitismo na contratação de serviços como Booters veio criar uma nova oportunidade a qualquer utilizador colocar sites em baixo.

Mas afinal o que é um Booter [também conhecido por Stresser]?
Um Booter é um serviço web que efetua DDoS com preços bastante baixos e de difícil deteção.
Os serviços de Booter têm um frontend web onde o cliente, após o devido pagamento, escolhe o site ou IP atacar. Basicamente um painel de controlo de aparente fácil utilização [exemplo].
No backend estão presentes os hosts, na grande maioria servidores dedicados com ligações superiores a 1Gbps, que executam o ataque, que por sua vez estão localizados noutro local.
Não existe qualquer tráfego DDoS feito diretamente pelo ISP do site. Todo o tráfego do ataque DDoS vem de uma infraestrutura separada que inclui muitos servidores espalhados [e computadores pessoais infetados] pela Internet, em que o Booter se coneta via proxies. Ou seja, temos uma aplicação web que se conecta a API preparada para lançar ataques de negação de serviço distribuído.
Pelo meio ainda existe um serviço que protege os sites de Booters com uma segurança web chave-na-mão. Basicamente, é necessário muita papelada, ordens do tribunal e muitas investigações para colocar estes serviços fora do ar.
Praticamente todos os Booters estão com conta no Cloudflare porque é muito recorrente os ataques DDoS à concorrência.
De referir que os Booters por vezes são suportados por botnets [conjunto de máquinas infetadas (bots) que recebem instruções do seu operador para ataques remotos] de grandes dimensões mas estes são muito dificeis de encontrar e de alugar.

Para ter uma ideia da capacidade de um Booter, segue as caracteristicas de um dos Booters mais utilizados no HackForums.net:

Métodos Layer 4 [ou SYN Flood] e Layer 7 [ou HTTP DoS]
Total capacidade – 216Gbps
Ligação garantida – 10 a 50Gbps usando SSDP e 20-70Gbps com NTP
Pode escolher o método de ataque: SSDP, SUDP, NTP, XML_RPC, POST, GET
Preços que começam em $17.99/mês [cerca de 15€] por 1200s (boot time)
Utilização de versões vulneráveis do CMS Joomla como amplificador de ataque

booter01

De referir que, segundo comentários e alguns contatos que fiz no HF, o método preferido neste momento é o SSDP porque amplifica o ataque em quase 30x. Já no passado muitos investigadores de segurança tinham alertado para o fato de haver muitos scanners à porta 1900/UDP – Simple Service Discovery Protocol (SSDP) que faz parte do Universal Plug and Play (UPnP). Routers vulneráveis a falhas UPnP estão a servir para lançar este tipo de ataques devastadores.

Como podemos ver pelo SSDPScan, em Portugal também temos bastantes portas abertas para lançar ataques indoor.

booter02

Pessoalmente acho estranho, quando o protocolo Network Time Protocol (NTP) tem um fator de amplificação maior. No entanto, nos exemplos de Booters que tenho visto, podem sempre escolher ambas as opções – SSDP ou NTP.

O mais grave é que os routers dos utilizadores estão a servir de arma de DDoS sem terem o conhecimento disso. Passwords default e serviços vulneráveis ativos são a porta de entrada para que os Booters tenham tanto sucesso.

Para ter noção da dimensão e o dano causa por este mercado, os Lizard Squad colocaram offline os serviços online da PSN e da XBOX na época natalícia para alegadamente promoverem o seu serviço de Booter – o Lizard Stresser [já encerrado pelas autoridades]. Esse ataque já foi explicado no blogue do Brian Krebs e confirmado por uma divulgação anónima feita no Pastebin. Os Lizard Squad para além de utilizarem routers domésticos para lançarem DDoS, utilizaram diversos IPs do Google – ou o grupo identificou uma falha em algum serviço do Google [não parece muito provável] ou então aproveitou-se de vouchers para o serviço VPS do Google.

Muitos dos últimos ataques DDoS que tem havido e tem sido divulgados nos media são resultado de Booters.

http://www.websegura.net/videos-no-youtube-anunciam-venda-de-ataques-ddos/
http://www.websegura.net/bancos-estao-a-ser-atingidos-por-ataques-ddos/
http://pplware.sapo.pt/informacao/depois-da-psn-e-do-xbox-live-o-alvo-do-ataque-e-a-rede-tor/
http://www.techworld.com/news/security/attackers-install-ddos-bots-on-amazon-cloud-exploiting-elasticsearch-weakness-3533164/
http://www.computerworld.com/article/2862652/garden-variety-ddos-attack-knocks-north-korea-off-the-internet.html
http://www.theregister.co.uk/2014/12/24/rackspace_restored_after_ddos_takes_out_dns/

É claro que este lado negro não é de confiar. A maioria dos Booters têm sempre uma validade bastante curta porque dependem muitas das máquinas comprometidas e do próprio suporte técnico do serviço. Em pesquisas pela web é possível ler várias queixas de utilizadores que no ínicio tinham ligações de ataques DDoS com 15 a 20Gbps e alguns dias depois tinha 3 a 1 Gbps. Afinal, estão a contratar um serviço ilegal, estão à espera de que?

Grande parte dos Booters que foram encerrados foi devido aos pagamentos. Os responsáveis dos sites de Booters preferem ter alternativas de pagamentos ao Bitcoin, como o PayPal e por vezes as autoridades apenas têm de seguir o dinheiro.

Tentei questionar alguns grupos portugueses que efetuam regularmente DDoS mas até à data não obtive qualquer resposta.
No entanto contatei um administrador de uma reputada empresa de hosting portuguesa sobre DDoS:

Penso que nenhum operador em Portugal tem capacidade para “gerir um ataque” bem realizado e bem direcionado de 20Gbps constantes de chegada sem grande impacto ou quebras no serviço. Não me refiro a “kiddies” mas sim de alguém ou de algum grupo com experiência que tenha conhecimento e recursos para iniciar um ataque elaborado e previamente estudado.

Claro que irá depender muito da origem, da estrutura, da evolução e do destino do ataque mas não existem muitos service providers nacionais com backbone internacional de 20gbps o que por si só tem algum significado. É também necessário ter equipamento com capacidade suficiente para gerir os 20gbps e como podem confirmar com uma pesquisa rápida não existem muitas opções com throughtput suficiente para tal, os que existem são ainda de valor bastante elevado. Quando falamos de um ataque estamos ainda a considerar tráfego adicional às normais operações do serviço o que pode significar a necessidade de um backbone e de uma capacidade de gestão global muito superior à força do ataque.

Mas tudo isto é muito subjectivo, “20gbps” pode ter realmente muitos significados, no entanto a nível geral teria com certeza grande impacto nos serviços de qualquer dos operadores nacionais. Prevejo mesmo um cenário bastante negro, a grande maioria ficaria offline por completo pelo menos por longos períodos de dezenas de minutos.

A nível nacional os services providers não estão preparados para acontecimentos desta magnitude. Os grandes operadores dispõe de algumas condições e capacidade mas se olharmos por exemplo para as empresas no hosting, 90% não dispõem sequer de equipamento de rede próprio o que significa que estão sempre dependentes de terceiros e nesse sentido também mais vulneráveis e incapacitadas nestas situações.

Na verdade não seria algo inédito, existem alguns reports não confirmados de DDoS com destino a Portugal nos 20gbps. Os resultados foram devastadores, com períodos elevados de total indisponibilidade do provider, desvalorização e queda da reputação do serviço e da empresa, perda elevada de clientes, etc…

São situações bastante complicadas, existem cada vez mais afectados mas também mais estudo, melhor preparação, mais compreensão e colaboração. Acredito que num futuro bastante próximo as forças estejam mais equilibradas a nível global.

Espero ter contribuído para um melhor entendimento sobre este assunto.
Fica a dica, estejam atentos à segurança do vosso router.

Vulnerabilidades de segurança nos modems/routers ADSL

O Daniel Teixeira elaborou um estudo sobre algumas vulnerabilidades em modems/routers ADSL no qual tenho o prazer de partilhar aqui no blogue.

No artigo podemos encontrar vários exemplos, bastante compreensivos e práticos, de como certa informação confidencial é divulgada, podendo mesmo ser utilizada para, por exemplo, ataques de phishing.

Podem consultar o artigo aqui.

Deixo aqui também algumas perguntas que fiz ao autor do artigo, Daniel Teixeira, no qual transcrevo na íntegra:

David Sopas: Qual é o teu background na segurança de informação?
Daniel Teixeira: Sempre tive interesse na área da segurança em particular na implementação de redes e serviços, no entanto foi quando comecei a usar FreeBSD, a explorar o sistema operativo e a sua implementação como espinha dorsal do que conhecemos como internet que esse interesse latente na segurança de informação passou para um patamar mais sério. Acabei por abandonar o curso superior que frequentava e tirar o certificado de CEH, de momento estou a debruçar-me na área de Avaliação de Vulnerabilidades e Pen Testing.

DS: O que te levou a elaborares este artigo?
DT: O que me levou a elaborar este artigo prende-se ao facto da segurança estar directamente dependente do seu elo mais fraco, como exemplo disso temos as implementações das redes domésticas, um criminoso tendencialmente procura o caminho de menor resistência. É muito mais simples obter acesso a rede doméstica de um funcionário, comprometer os seus dados e usa-los para aceder o seu local de trabalho do que perder dias a tentar comprometer os serviços empresariais que por norma são mais seguros. Resumindo é muito mais simples usar o nome de utilizador e palavra pass de um utilizador válido do que usar ataques de dicionário ou brute-force, que são barulhentos para entrar.

DS: Achas que após estas vulnerabilidades, os responsáveis vão tomar algumas medidas de correcção ou prevenção?
DT: Penso que estes só vão tomar medidas quando estas falhas se traduzirem em prejuízos ou em má publicidade para os mesmos. Posso dizer que assim que tomei conhecimento das falhas sobre as quais elaborei o relatório, tentei entrar em contacto com alguns dos ISPs, sem sucesso, de forma a que pudessem mitigar algumas dessas mesmas falhas. Em especial as dos routers D-Link DVA-G3170i/PT que por estarem configurados por defeito e com os serviços de administração publicitados na internet permitem que com quatro linhas de código qualquer pessoa possa aceder aos dados de milhares de clientes e possivelmente produzir um DDOS a todos os utilizadores desses equipamentos.

Botnet Chuck Norris ataca routers

Para quem não mudou a palavra passe default do router de acesso à Internet, poderá ser vítima de um ataque de Chuck Norris, não o Texas Ranger, mas do botnet.
Mais informações [aqui].

Routers D-Link vulneráveis na autenticação

Vários modelos dos routers da D-Link são afectados por uma falha de segurança no “Home Network Administration Protocol” (HNAP) que permite visualizar e modificar as configurações administrativas sem ser necessário autenticação.

Além desta situação, é possível também ultrapassar a protecção de login CAPTCHA, no qual a D-Link adicionou nas mais recentes actualizações de firmware.

Ainda não passa de uma suposição mas praticamento todos os routers D-Link fabricados desde 2006 tem HNAP e estão vulneráveis.

Nos seguintes modelos foram testados estas vulnerabilidades:

  1. DI-524 versão do hardware C1, versão do firmware 3.23
  2. DIR-628 versão do hardware B2, versão do firmware 1.20NA e na 1.22NA
  3. DIR-655 versão do hardware A1, versão do firmware 1.30EA

Ter em conta que a D-Link é uma das marcas mais comercializadas em Portugal juntamente com a Thomson, que no passado também teve alguns problemas em relação à senha padrão dos routers.

Podem ler o estudo deste problema [aqui] e podem descarregar também uma ferramenta para testarem, [aqui].

Actualização:

D-Link já lançou correcções, consultar [aqui].