Postřehy z bezpečnosti: DoS jedním počítačem

14. 11. 2016
Doba čtení: 4 minuty

Sdílet

Dnes se podíváme na DoS útok, který zvládne jakýkoliv počítač, na Pixel od Googlu nabouraný během minuty, 100GE switch od Facebooku, jak jsou miliardy účtů v ohrožení kvůli implementaci OAuth 2.0, a mnoho dalšího.

Nové DoS technice stačí 15 megabitů, případně 40 tisíc paketů za vteřinu, k úspěšnému útoku na Cisco, Palo Alto, Zyxel a SonicWall firewally. Stačí k tomu jeden počítač chrlící ICMP pakety typu 3 (Destination Unreachable) kód 3 (Port Unreachable). Nejedná se tedy o notoricky známý Ping flood (ICMP typ 8, kód 0), jehož cílem bylo vytížení linky nebo prostředků cílové stanice. Výzkumníci z dánského TDC novou techniku nazývají BlackNurse a cílem je vytížení CPU firewallů na cestě k cílovým serverům (např. v DMZ).

Některé firewally (např. Check Point) mají v základním nastavení povolené dva/tři ICMP pakety za vteřinu od jednoho zdroje (lze podvrhnout), ty ostatní jsou většinou schopny omezit počet ICMP paketů pomocí IPS modulu. Není doporučené tento typ zpráv úplně blokovat, i když to TDC uvádí ve své zprávě. ICMP typ 3, kód 4 zprávy se používají pro ICMP Path MTU discovery, což může způsobovat (mimo jiné) problémy s VPN spojením, kvůli zapouzdření paketů.

Pokud chcete částečně omezit ICMP, tak doporučuji vlákno na StackExchange. Nemá to však velký význam, protože v rámci IPv6 je stejně ICMP téměř nezbytností.

Podle zpráv Cisco tuto chybu neoznačuje za bezpečnostní problém, ale už nevysvětluje proč. Palo Alto chybu připustilo, ale jen pokud správci firewallu ICMP povolili v pravidlech (úsměvné). Pokud vás tématika DoS/DDoS útoků zajímá, sepsal jsem před několika lety principy DoS/DDos útoku a i pár rad, jak se proti nim chránit.

Pokud je riziko DDoS útoků vůči vaší společnosti opravdu vysoké, doporučuji použít DDoS pračku jako např. CloudFlare či Incapsula. Služba od Akamai (Kona Site Defender) je příliš drahá v porovnání s ostatními a F5 (SilverLine) ještě potřebuje rok i dva na to, aby dozrála.

Naše postřehy

Pixel, nový telefon od Googlu, byl na soutěži PwnFest 2016 pokořen během jedné minuty. Výzkumníci společnosti Qihoo 360 demonstrovali proof-of-concept kód používající 0day zranitelnost ke vzdálenému spuštění kódu. Exploit spustil Google Play Store a poté prohlížeč Chrome s načtením stránky zobrazující „Pwned By 360 Alpha Team“. Tým Qihoo 360 tímto získal finanční odměnu ve výši 120 tisíc dolarů. Mimo Pixel byl pokořen i MS Edge na Windows 10 a Safari na macOS Sierra. Qihoo tak odešli s celkovou výhrou 520 tisíc dolarů.

Nová verze OpenSSL opravuje tři chyby, kdy jedna je označena jako závažná. Chybu objevil Robert Swiecki (Google) a týká se TLS implementace šifrovací sady ChaCha20-Poly1305, která se stává novým standardem a hodí se i pro mobilní zařízení. 

Facebook omylem označil milióny profilů jako „zvěčněný účet s několika slovy pozůstalým, a to včetně profilu Marka Zuckerberga. Tento nový typ „tragické“ chyby byl však rychle napraven.

Mirai botnet útočil na systémy finské společnosti Valtia, která se stará o správu majetku a budov. Cílem útoků byly systémy vystrčené do internetu ovládající vytápění domů a ohřev vody, které nasadila společnost Fidelix. Díky tomu byly dva bloky domů ve Finsku odříznuty od dodávky tepla. Společnost přepnula systémy na manuální ovládání a poté celou situaci napravila tím, že před všechna zařízení dala firewall. Kvůli nekompetentnosti lidí můžete dnes už i umrznout.

Facebook představil BackPack – druhou generaci modulárního switche pro 100GE datacentrum. S přechodem z 40GE na 100GE rychlost se zvýšily nároky na spotřebu a chlazení 100GE ASIC čipů, které procesují síťový provoz. BackPack má oddělený data, control a management řadič, používá modulární komponenty (switch elements) a ortogonální architekturu šasi, díky němuž je možné poskládat si komponenty dle vašich představ a potřeb. Na switchi běží open-source produkty FBOSS a OpenBMC a i veškerý design a architekturu zařízení Facebook předal Open Compute projektu. To je obdivuhodné. Ani nechci odhadovat, kolik milionů dolarů by něco podobného stálo v Cisco světě a kolik SW problémů by s tím bylo spojeno.

Doplněk do prohlížečů WOT (Web of Trust) od stejnojmenné společnosti, která má chránit soukromí uživatelů naopak jejich soukromí ohrožuje. Německá stanice NDR objevila několik případů porušení soukromí, kdy společnost WOT prodávala data o svých cca 140 milionech uživatelů třetím stranám. Nejedná se o uživatele doplňku, ale dodatečné služby „Safe Web Search & Browsing“ sestávající i z vlastního prohlížeče.

bitcoin_skoleni

Na webu Sophosu je pěkně sepsána anatomie útoku, popisující, jak prohlížeč Chrome na Androidu nezobrazí upozornění o stažení APK souboru z nedůvěryhodného zdroje. Vektor útoku používá URL.createObjectURL() k přeměně kusů bloku dat v paměti prohlížeče na APK formát, přičemž Chrome již neověřuje typ souboru. O tomto problému psali začátkem minulého týdne výzkumníci společnosti Kaspersky ve spojení s malwarem Svpeng.

Tři výzkumníci univerzity v Hong Kongu prezentovali minulý týden na konferenci Black Hat EU svou práci „Signing into One Billion Mobile App Accounts Effortlessly with OAuth 2.0. Práce popisuje slabou implementaci protokolu OAuth 2.0, která ohrožuje až jednu miliardu účtů. Tímto typem útoku bylo postiženo 41,2 % z testovaných mobilních aplikací.

Ve zkratce

Pro pobavení

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Security Architect, šéfredaktor serveru Security-Portal.cz, spoluorganizátor konference Security Session a hlavní vývojář distribuce Securix GNU/Linux.