Slo-Tech - Danes je bila nekaj ur slabše dosegljiva spletna stran predsednice države, ker je bila tarča napada DDoS. Kot so potrdili na SI-CERT, ni šlo za vdor ali izkoriščenje kakšne ranljivosti, temveč za običajen napad s preobremenitvijo (DDoS). Spletna stran je trenutno spet dostopna.

Ob nedosegljivosti se je oglasila tudi ruska hekerska skupina Cyber Army Russia Reborn in prevzela odgovornost za napad. Trdijo, da so začeli napade proti državnim službam, ker se je Slovenija pridružila češki pobudi za nakup topniškega streliva za Ukrajino. Ni še znano, ali je omenjena skupina res odgovorna za napad na strani slovenske predsednice.

Pred napadi DDoS se je težko ubraniti, ker ne izkoriščajo ranljivosti v programski opremi pri tarči, temveč jo preobremenijo z zahtevki z drugih ranljivih sistemov, nad katerimi pridobijo nadzor. Pred napadi ščitijo veliki ponudniki, kot je Cloudflare, ki med tarčo in internet postavijo svoje velike sisteme, ki lahko odfiltrirajo napad in prepuščajo le...

Slo-Tech - Zloglasna spletna skupnost zalezovalcev Kiwi Farms je obsojena na podtalno životarjenje, po tem ko ji je v preteklem tednu hrbet obrnila večina ponudnikov gostovanja in drugih internetnih storitev.

Pred slabim desetletjem je eden od administratorjev foruma 8chan, Joshua Moon, ustanovil forum CWCki Forums, namenjen organiziranju nadlegovanja spletne umetnice Christine Weston Chandler. Leto zatem se je forum preimenoval v Kiwi Farms in si pričel izbirati nove žrtve - povečini transspolne in istospolne osebe, feministke, razne spletne umetnike, novinarje, politike in aktiviste. Skozi leta je postal razvpit kot ena najbolj sovražnih in zahrbtnih spletnih skupnosti v obstoju, ki je povezana s samomori najmanj treh oseb. Njegovi uporabniki so bili dovolj vešči, da so znali o svojih tarčah skozi prosto dostopne ali shekane vsebine pridobiti veliko količino osebnih podatkov. Nato je sledilo doxxanje, ustrahovanje, swattanje in nameščanje lažnih dokazov za očrnitev, zaradi katerih so bile...

Slo-Tech - Z naraščajočo povezljivostjo do interneta in kapaciteto povezav rastejo tudi napadi DDoS, s katerimi se skušajo začasno onesposobiti posamezni strežniki. Microsoft je sporočil, da je njihova storitev Azure DDoS Protection lani novembra branila pred največjim napadom dotlej, ki je potekal s 3,47 Tb/s. Izvajalo ga je več kot 10.000 računalnikov iz več kot 10 držav. Identitete tarče napada, ki je iz Azije, seveda ne razkrivajo.

Napad je trajal vsega dve minuti in še zdaleč ni bil edini v tolikšnem obsegu. Decembra sta sledila še dva velika napada, ki sta merila 3,25 Tb/s in 2,54 Tb/s. Prvi je v več sunkih trajal petnajst minut, drugi pa dobrih pet minut. Kaže, da se obseg napadov povečuje, saj je bil največji v prvem polletju lani 2,37 Tb/s. Še pred tremi leti ni bilo napadov prek 2 Tb/s.

Zanimivo je, da napadi niso več zgoščeni okrog božično-novoletnih praznikov, kot je to veljalo v minulih letih, temveč so enakomerno razporejeni skozi celotno leto. Lani jih je bilo celo največ...

Slo-Tech - Četudi dandanes deskamo po spletnih straneh, do katerih so povezane šifrirane (HTTPS), prometni podatki še vedno curljajo v internet. Ob obisku posamezne spletne strani namreč brskalnik zahteva naslov IP, ki pripada iskani domeni. Ta podatek strežniki DNS vrnejo v nešifrirani obliki, zato ga lahko prestreže kdorkoli. Problem pa ni le prisluškovanje, temveč tudi možnost vrivanja lažnih informacij z namenom zlonamerne preusmeritve. Apple in Cloudflare sta predlagala tehniko, ki to težavo odpravi.

Da so poizvedbe odprte in vidne vsem, je že dlje časa prepoznano kot zasebnostni problem. Razvile so se že alternative, denimo DNS over HTTPS (DoH) in DNS over TLS (DoT), ki zagotavljata zasebnost s šifriranjem poizvedb. A to ne odpravlja problema, da ponudnik strežnika DNS še vedno vidi, kdo išče kaj. To je po navadi ponudnik dostopa do interneta, lahko pa tudi namenski ponudnik storitve, denimo Google (8.8.8.8) ali Cloudflare (1.1.1.1). Nova tehnologija, ki sta jo Apple in Cloudflare...

Krebs On Security - Spletna stran DDOSecrets (Distributed Denial of Secrets) je objavila milijone dokumentov, povezanih z ameriškimi organi pregona in njihovim delom. Do objave 270 GB težkega paketa je simbolično prišlo prejšnji petek, torej na praznik Juneteenth, ko se Američani spominjajo osvoboditve sužnjev na svojem ozemlju. Dokumenti obsegajo obdobje zadnjih desetih let, najmlajši med njimi pa so stari komaj tri tedne.

Med dokumenti so tudi občutljivi podatki, denimo fotografije osumljencev, bančni računi in podatki FBI. Predstavniki DDOSecrets so sicer v izjavi za javnost zatrdili, da so podatke pred objavo pregledali in umaknili za 50 GB spornih listin, ki so se nanašale na otroke, žrtve kaznivih dejanj, podjetja in druge podobne zasebne subjekte.

Kot domnevajo pri varnostnem podjetju KrebsOnSecurity, kjer so objavo zaznali med prvimi, ukradeni podatki izvirajo iz vdora v teksaško podjetje Netsential, katerega stranke so številne državne agencije in organi pregona. Dostop do dokumentov je še...

Cloudflare - Protesti, ki v ZDA potekajo po smrti Georgea Floyda, se zrcalijo tudi v internetnih napadih. Tu ne mislimo ne raznovrstna obračunavanja na družbenih omrežjih, temveč na prave hekerske napade. Cloudflare, vodilni ponudnik zaščite pred napadi, je objavil statistiko dogajanja na internetu, ki sledi ustaljenim vzorcem. S krajšo zamudo se namreč nasilje v resničnem svetu prelije tudi na internet. Obseg napadov DDoS na protirasistične spletne strani se je konec tedna povečal za 1120-krat!

Napadi DDoS so sorazmerno preprosti. Gre za napad s količino, saj napadalci strežnike napadene spletne strani zasujejo s tako količino zahtevkov, da ta poklekne in stran postane nedosegljiva. Cloudflare svoje naročniki ščiti pred tovrstnimi napadi, saj zahtevki potujejo prek njihovih zmogljivih strežnikov, ki blokirajo zlonamerni promet. Minuli konec tedna se je število blokiranih zahtevkov povečalo za 17 odstotkov. Najbolj so bile na udaru strani protirasističnih in aktivističnih skupin, kjer je bilo...

CNet - Jigsaw, eno od Alphabetovih hčerinskih podjetij, je predstavilo aplikacijo Intra, ki preprečuje manipulacije prek DNS strežnikov. Vlade nekaterih držav, denimo Kitajske, Turčije in Venezuele - v slednji so app skrivaj tudi preizkušali - namreč občasno poskušajo prestreči uporabniške...

Slo-Tech - V minulih dveh letih smo bile priče nekaterih izjemno obsežnim napadom DDoS, ki so z uporabo ojačitev prek strežnikov NTP ali DNS dosegali več sto gigabitov na sekundo. Ko je na internet let 2016 ušla koda Mirai, ki je sleherniku omogočila uporabo naprav IoT v botnetu za napade DDoS, sta pogostnost in obseg napadov zrasla. Sedaj pa so raziskovalci ugotovili, da se pojavlja nova vrsta napada DDoS, ki dosega faktor ojačitve 50.000. Za primerjavo: prek NTP ali DNS je ta faktor okrog 50.

To pot napad izkorišča storitev memcached. Gre za sistem, ki omogoča pospešitev dostopa do podatkovnih baz na omrežijih in spletnih straneh. Arbor Networks in Cloudfare opozarjata, da se v praksi ti napadi že pojavljajo. Ker memcached posluša tudi...

Slo-Tech - V kodi, ki jo uporablja ponudnik spletnih storitev Cloudflare, so odkrili zahrbtnega hrošča, zaradi katerega so od septembra do minulega konca tedna v internet počasi curljali občutljivi podatki. Napako je slučajno odkril Googlov inženir, ki je po odkritju stopil v stik s Cloudflarom. Ta je hitro sestavil dve ekipi inženirjev, eno v Londonu in drugo v San Franciscu, ki sta izmenjaje delali in napako popravili. Po do sedaj zbranih podatkih nepridipravi hrošča niso izkoriščali, ker ga niso poznali.

Tavis Ormandy iz Googlovega programa Project Zero je pri svojem delu naletel na nenavadne odzive, ki so jih Cloudflarovi strežniki vračali kot odgovore na HTTP-zahtevke. Napaka je bila najverjetneje prisotna od 26. septembra, najpogosteje pa...

Krebs On Security - Lani septembra je dotlej največji zabeleženi napad DDoS onesposobil dostop do bloga KrebsOnSecurity, kjer Brian Krebs raziskuje in piše o kiberkriminalu. Zaradi tega početja je trn v peti številnim hudodelskim združbam, tuja pa mu niso niti izsiljevanja ali grožnje. Septembrski napad na Krebsov blog je zagrešila koda Mirai, ki za svoje namene izkorišča nezavarovane naprave, kot so usmerjevalniki, spletne kamere in podobno. Koda Miraija je oktobra ušla na internet, kar je ustvarilo ogromno posnemovalcev.

S Krebsom ne gre češenj...

Slo-Tech - S priključevanjem vse več naprav v internet se nezadržno odpirajo nove poti za računalniške napade, čemur smo bili letos že večkrat priče. To lekcijo so še enkrat ponovili na Finskem, kjer je DDoS napad ob zunanji temperaturi pod ničlo onesposobil ogrevanje vsaj dveh stanovanjskih blokov.

Kot piše finski časnik Metropolitan, gre za stanovanja v mestu Lappeenranta na jugu Finske. Za ogrevanje in prezračevanje skrbi sistem, ki je povezan v internet in omogoča oddaljeno krmiljenje. To so izkoristili neznani napadalci, ki so izvajali obsežen napad DDoS, s čimer so sistem preobremenili. Nekaj časa se je ogrevalni sistem ponovno zaganjal na pet minut, kasneje pa se je popolnoma izključil in ga ne stanovalci v...

Slo-Tech - Zgodilo se je že, da so bile cele države odrezane od interneta, a je bil navadno razlog prekinjen podmorski kabel. Ta teden pa je bila večkrat od interneta povsem odrezana Liberija, ker je botnet Mirai organiziral DDoS-napad na njeno infrastrukturo. Liberijo namreč od leta 2011 v svetovna omrežja povezuje en sam podmorski kabel (sistem ACE), pred tem pa so uporabljali satelitski dostop.

Zakaj je botnet 14, ki sodi pod Mirai, ta teden organiziral napad na Liberijo, ni znano. Gre za botnet, ki uporablja pametne naprave (IoT) in je letos napadel Briana Krebsa (620 Gb/s) in ponudnika Dyn (več...

Slo-Tech - Eden največjih internetnih napadov (DDoS) v zgodovini je te dni usmerjen na spletno stran KrebsOnSecurity, na kateri preiskovalni novinar Brian Krebs vodi uspešen blog o internetnem kriminalu. Napad so za zdaj še neznani napadalci začeli v torek zvečer in je po ocenah Prolexica meril 665 Gb/s, s čimer je največji DDoS napad v zgodovini. Njegova spletna stran je kmalu postala nedostopna in tako ostaja še danes, ker mu je gostoljubje odpovedal tudi Akamai, saj je napad motil celotno omrežje. Blog je sicer še vedno dostopen v spletnem arhivu.

Kot ugotavlja Krebs, ne gre za tako imenovan DNS reflection attack, kjer napadalci izkoristijo nepravilno nastavljene DNS-strežnike, ki dopuščajo poizvedbe s poljubnih naslovov. Napadalci nanje naslovijo na tone lažnih...

Bloomberg - Skupina DD4BC (DDoS for Bitcoin), ki je aktivna od sredine minulega leta, je v zadnjih mesecih bistveno povečala svoje aktivnosti, poroča Bloomberg. Gre za kriminalno združbo, ki izvaja DDoS-napade in od žrtev zahteva plačilo v bitcoinih v zameno za prenehanje napada. Na začetku so se lotevali predvsem farm bitcoinov, borz in spletnih igralnic, sedaj pa so se osredotočili na finančne inštitucije. To jim je prineslo več publicitete in resno policijsko preiskavo v več državah.

V letu dni delovanja so...

Ars Technica - Koordinirani napadi DDoS na spletne strani lahko uporabljajo različne vektorje za ojačitev, recimo strežnike za sinhronizacijo ure NTP, sistem DNS-strežnikov ali pa strani na WordPressu. Raziskovalci opisujejo, kako so napadalci uporabili 162.000 legitimnih strani na WordPressu za DDoS na neko stran.

Izkoristiti je mogoče strani, ki imajo vključen pingback, kar je privzeta nastavitev ob namestitvi WordPressa. V tem primeru je mogoče uporabiti protokol XML-RPC za pingback, trackback, oddaljen dostop in druge vrste nadzora. To se je zgodilo neimenovani strani, ki so jo...

Slo-Tech - CloudFlare je povedal, da so bili včeraj in danes tarče enega največjih napadov DDoS, ki je presegal celo lanski napad na Spamhaus. Konični promet je dosegal vrednosti 400 Gb/s, kar je približno 100 Gb/s več od lanskega napada na Spamhaus.

Izvor in vzrok napada še nista znana. Storilce bo težko odkriti, saj so uporabili metodo povratnega napada prek NTP (NTP reflection attack). NTP (network time protocol) se uporablja za sinhronizacijo ur računalnikov, mogoče pa ga je tudi zlorabiti. Izvedba napada je že znana, obramba pa preprosta. Napad zlorabi ukaz monlist, ki deluje v verzijah NTP strežnikov pred 4.2.7p26. Strežnik se na ta ukaz odzove z dolgim odgovorom, v katerem navede nedavno zgodovino povezav NTP-odjemalcev. To je...

CNet - Običajno pišemo, da je Kitajska vir internetnih napadov na zahodne strani, precej redkeje pa o obratnem problemu. Ali je to res ali pa gre zgolj za pristranskost zahodnih medijev in jezikovno pregrado, je stvar ostrih polemik. Občasno se tudi Kitajci razburijo zaradi teh enosmernih očitkov. Ta konec tedna so imeli probleme z napadom prav Kitajci, saj so neznani napadalci sprožili obsežen DDoS-napad na kitajske domene.

Kitajski center za informacije o internetnih povezavah (CINIC) je sporočil, da se je v nedeljo okrog polnoči po lokalnem času začel obsežen DDoS na kitajske strežnike. Napad je potekal v dveh valovih z vrhovoma okrog polnoči in štirih zjutraj, polegel pa se je do desetih...

Slashdot - VeriSign je sporočil, da je bil med januarjem in februarjem 2006, skupaj z ostalimi približno 1500 organizacijami, žrtev DNS amplification oz. DNS reflector DDoS napada.

V "klasičnem" DDoS napadu napadalec uporabi n-število okuženih računalnikov (tim. "zombijev"), ki so najpogosteje povezani v botnet, ter nato v koordiniranem napadu na žrtvin IP naslov pošilja ogromno število SYN/UDP/ICMP paketkov (flood).

DRDoS (Distributed Reflector DoS) kakor so nekateri DNS amplification že poimenovali, deluje podobno kakor legendarni smurf napad, torej na principu "ojačevalca" (amplifier). Napadalec na DNS strežnik, kateri omogoča rekurzivno poizvedovanje, pošlje več tisoč ponarejenih DN zahtevkov, strežnik pa nato UDP odgovore (ti so zaradi principa delovanja DNS-ja amplificirani) pošlje na žrtvin naslov. Ranljivi so vsi DNS strežniki, ki imajo omogočeno rekurzivno poizvedovanje t. i. open resolvers.

Neodvisna raziskava, ki jo je izvedel Measurement Factory je pokazala, da je...