Объемы и мощность DDoS-угроз продолжают расти

Объемы и мощность DDoS-угроз продолжают расти

 Автор: Евгения Ударцева

Согласно исследованиям, проведенным Arbor Networks в третьем квартале текущего года, мощность и количество DDoS-атак продолжают неуклонно расти. По сравнению с 2012 их количество возросло на 350 %. Зафиксировано и увеличение количества задействованных в инцидентах компьютеров.

Благодаря системе мониторинга ATLAS удалось проследить «эволюцию» показателей  за три квартала текущего года. Представитель компании Даррен Энсти резюмирует: «Чем больше провайдеров к нам подключается, тем полнее наша картина происходящего. Именно так мы зафиксировали увеличение объемов DDoS-атак».

ATLAS – инновационная система мониторинга, работающая благодаря сотрудничеству поставщиков услуг с Arbor Networks. Првайдеры предоставляют трафик для выявления вредоносных программ. Данные, полученные ATLAS, анализируются и сопоставляются с данными других организаций безопасности. В итоге система получает довольно четкую картину об угрозах для инфраструктуры Интернета.

Исследование трафика показало: во втором квартале пиковая нагрузка во время DDoS-атаки составила 47 Тбит/с IPv4-трафика, а в третьем показатель уже был равен 69 Tбит/с. Мощность 54% атак в этом году превысила 1 гбит/c, 37% преодолели диапазон от 2 до 10 Гбит/c и 44% показали более 10 Гбит/с.

В 2013 году средняя мощность DDoS-атак держится на уровне 2,64 Гбит/с. А их  продолжительность преследует тенденцию к сокращению времени активности: 87% из них длились менее часа.

Пятиклассника осудили за пособничество Anonymous

Пятиклассника осудили за пособничество Anonymous

Кирилл Токарев
12-летний житель канады был признан виновным по трем обвинениям во взломе правительственных вебсайтов. Молодой человек действовал от лица известной хакерской группировки Anonymous. Его деятельность нанесла ущерб в 60 тысяч долларов.

Подросток проживал в пригороде Монреаля и ходил в пятый класс. Во время студенческого восстания в Квебеке в 2012 году (вызванного повышением цен на обучение) он устроил настоящий компьютерный апокалипсис, выведя из строя некоторые важные вебсайты. Для этого использовались DDoS-атаки. В число пострадавших входят ресурсы полиции Монреаля, Института общественного здоровья Квебека, а также сайты чилийского правительства. Адвокат мальчика уверяет, что молодой взломщик был чужд политике. Полученные во время взлома данные он обменивал на видеоигры.

Атака на эти вебсайты, вывела их из строян на 2-4 дня. По оценкам полиции, ужерб от вредоносной деятельности оставил 60 тысяч долларов. Правоохранительные органы также утверждают, что осужденный объяснял другим людям, как осуществить нападения.

Отметим, что в Канаде уже происходили похожие случаи взлома. Например в 2000 году 15-летний парень из Монреаля Майкл Калк (Michael Calce), скрывающийся под кличкой Mafiaboy, был признан виновным в 56 случаях взлома. Его действия принесли ущерб на сумму в $1,7 млн.

СОИБ: Первый зловред для Firefox OS

Первый зловред для Firefox OS

17-летний хакер Шантану Гауде (Shantanu Gawde) написал первую в мире вредоносную программу для Firefox OS.

Демонстрацию программы вундеркинд проведет на конференции The Ground Zero (G0S) 2013, которая состоится 7-10 ноября в Нью-Дели (Индия). Согласно анонсу, созданный PoC-код способен инфицировать смартфон ZTE One в удаленном режиме и получить доступ к нему с любого ботнета для следующих действий:

Команды на доступ к SD-карте
Копирование всех контактов
Загрузка и выгрузка фотографий, музыки и видео
Геолокация и отслеживание координат пользователя
Удаленное управление FM-радио с возможностью испугать человека

По словам Гауде, все это может привести к серьезным проблемам для пользователей Firefox OS, потому что не существует способа засечь подобную атаку или блокировать ее.

К презентации автор обещает живую демонстрацию эксплойта, а также попробует портировать Firefox OS на смартфон Nexus и поискать новые векторы атаки. В случае успеха он их тоже добавит в презентацию.

Кстати, разработчики приложений для Firefox OS могут претендовать на получение бесплатных смартфонов от Mozilla. Наверное, талантливому подростку можно выслать сразу два.

СОИБ: 30% офисных сотрудников за вознаграждение готовы стать инсайдерами

30% офисных сотрудников за вознаграждение готовы стать инсайдерами

Александр Панасенко

Компания LETA провела исследование с целью определения уровня осведомленности в области информационной безопасности среди сотрудников российских компаний. Результаты исследования позволили выявить низкий уровень знаний респондентов в области ИБ, несоблюдение простейших правил защиты информации, высокий риск проникновения в корпоративную сеть, утечки конфиденциальных данных и убытков, связанных с этим. Кроме того, каждый пятый респондент признался, что готов за вознаграждение передать третьим лицам конфиденциальную информацию, к которой он имеет доступ.

Специалистам, отвечающим за информационную безопасность в организациях, определенно есть о чем беспокоиться. Степень осведомленности в этой области сотрудников российских компаний оставляет желать много лучшего – половине опрошенных вообще никогда не сообщали о правилах защиты информации. Остальные были ознакомлены с соответствующими требованиями безопасности только однажды ­– при поступлении на работу, и лишь 14 процентов респондентов регулярно проходят инструктаж по информационной безопасности, сообщает cybersecurity.ru.

При этом степень риска достаточно велика: 2 из 3 участников опроса говорят, что посещают потенциально опасные сайты с рабочего компьютера.

Исследование показало, что большинство пользователей не осознает угрозы взлома корпоративной сети через электронную почту: 85% ответивших на вопросы исследования сообщили, что открывают письма от незнакомых отправителей. Также есть риск утечки данных – 60% респондентов пересылают корпоративную информацию на личные почтовые ящики, чтобы поработать с ней из дома.

Некоторые результаты исследования не самым лучшим образом характеризуют работу не только специалистов по информационной безопасности, но и менеджеров по персоналу: 37% участников опроса рассказали, что используют рабочую почту для ведения личной переписки.

Зачастую работники не соблюдают и самых элементарных правил безопасности. Так, 25% пользователей никогда не блокируют свой компьютер, покидая рабочее место. Таким образом, каждый четвертый сотрудник оставляет открытым доступ к корпоративной информации кому угодно, в том числе и посторонним людям.

Треть сотрудников хранит пароли на листке бумаги или в файле на рабочем столе своего компьютера. Функцией «Запомнить пароль» пользуются 11% опрошенных. Причем речь идет не только о паролях для почты – в каждой компании есть системы или базы данных, доступ к которым имеет ограниченное количество сотрудников.

Каждый третий респондент использует один пароль для всех случаев жизни, что может сильно облегчить злоумышленникам задачу по проникновению в корпоративную сеть.

Более 60% респондентов не защищают свои смартфоны паролем. Ввиду того, что все больше сотрудников используют мобильные устройства в рабочих целях, смартфоны могут стать еще одним каналом утечки данных.

Результаты опроса показывают, что 8 из 10 пользователей не уничтожают носители, содержащие корпоративную информацию. При этом бумажные или электронные носители – один из самых распространенных каналов утечки данных. С завидной частотой конфиденциальная информация становится достоянием общественности или злоумышленников после того, как работники отправляют ее в мусорное ведро, а в США суды оправдывают компании, извлекающие промышленные секреты из мусора конкурентов: все, что выброшено сотрудниками, признается ненужным организации. В России тоже нередки случаи утечки персональных данных и конфиденциальной информации, особенно на бумажных носителях.

В исследовании приняли участие более 1100 офисных работников 25-50 лет из нескольких сотен российских компаний различных сфер деятельности. Анонимный опрос проводился среди сотрудников, в круг рабочих задач которых не входят вопросы, связанные с информационной безопасностью. Исследование было проведено в августе-сентябре 2013 года.

Пиковое число DDoS-атак в день в России в 2013 году выросло в 2 раза

Пиковое число DDoS-атак в день в России в 2013 году выросло в 2 раза

Александр Панасенко

Максимальное число DDoS-атак в день в России выросло в 2013 году в 2 раза — до 151 атаки по сравнению с 73 атаками в прошлом году, сообщил Александр Лямин, генеральный директор компании Highloadlab, занимающейся защитой от кибератак, на конференции Infobez 2013.

По его словам, увеличилось и среднее число DDoS-атак в день — 19 атак в 2013 году против 9 атак в 2012 году, однако максимальная длительность одной DDoS-атаки в России уменьшилась до 22 дней по сравнению с 83 днями в прошлом году, пишет digit.ru.

Эксперт отметил, что максимальный размер ботнета (сеть компьютеров, зараженных вредоносной программой, которая позволяет киберпреступникам удаленно управлять зараженными машинами без ведома пользователя) в России в текущем году составил 136,6 тысячи персональных компьютеров (ПК) против 148,5 тысячи ПК в 2012 году, размер среднего ботнета также уменьшился и составил чуть более одной тысячи ПК.

По данным компании Group-IB, доход злоумышленников, организующих DDoS-атаки, в России в 2012 году снизился на 15,4% — до 110 миллионов долларов по сравнению со 130 миллионами долларов в 2011 году.

Хакеры хранили код программ Adobe на открытом сервере

Хакеры хранили код программ Adobe на открытом сервере

Неизвестным хакерам предположительно российского происхождения неделю назад удалось выкрасть исходные коды программ Adobe, в том числе платформы разработки веб-приложений ColdFusion. Но иногда и они делают ошибки. Специалист по безопасности Алекс Холден (Alex Holden) из компании Hold Security обнаружил исходные коды на открытом сервере в интернете. Хотя файл был зашифрован, но все равно такая беспечность ни к чему.

Компания Adobe сообщила о взломе 3 октября. Кроме исходных кодов, были скомпрометированы также 2,9 млн номеров платежных карт пользователей и других платежных реквизитов.

«Исходные коды были спрятаны, но не умно», — считает Алекс Холден. Среди директорий на сервере была одна под названием ad, заполненная файлами с интересными названиями, включая зашифрованные архивы .rar и .zip.

Не совсем понятно, то ли хакеры скопировали зашифрованные архивы с серверов Adobe, то ли сами их зашифровали. В любом случае, компания Adobe официально подтвердила, что это действительно ее исходники.

Холден объясняет, что имея доступ к исходному коду, гораздо легче находить уязвимости в программах, так что безопасность продуктов Adobe находится под угрозой. Особенно если хакеры выложат код в открытом доступе.

По косвенным признакам исследователи делают вывод, что кража исходников Adobe — дело рук русскоязычной группы хакеров, той же самой, которая проникла в корпоративные сети LexisNexis, Dunn & Bradstreet, Kroll Background America и других американских агрегаторов данных, как сообщал недавно Брайан Кребс. По крайней мере, в обоих случаях они использовали один и тот же сервер.

СОИБ: В маршрутизаторах D-Link обнаружен бэкдор

В маршрутизаторах D-Link обнаружен бэкдор

руппа исследователей обнаружила уязвимость в ряде устройств D-Link , позволяющую получить неаутентифицированный доступ к административным функциям.

Брешь в безопасности позволяет атакующему получить полный контроль над всеми управляемыми пользователем функциями в популярных домашних маршрутизаторах, включая модели DIR-100, DI-524, DI-524UP, DI-604S, DI-604+ и TM-G5240. В статье , опубликованной на сайте /DEV/TTYS0, сообщается о том, что уязвимости также подвержены несколько роутеров Planex, использующих такую же прошивку.

В извлеченной с помощью Binwalk прошивке к D-Link DIR-100 исследователи обнаружили, что для получения доступа требуется изменить заголовок браузера User-Agent на «xmlset_roodkcableoj28840ybtide», после чего роутер не будет запрашивать учетные данные для доступа к web-интерфейсу.

Исследователи /DEV/TTYS0 нашли уязвимость внутри кода, выполняющего простые сравнения строчных данных. В одном из подобных сравнений «в случае совпадения строк функция check_login пропускается, а alpha_auth_check возвращает значение 1, означающее, что аутентификация пройдена успешно».

Некоторые комментаторы сообщили, что им удалось успешно запустить бэкдор против устройств, обнаруженных поисковиком Shodan.

Craig, автор /DEV/TTYS0, сообщает, что бэкдор существует в версии прошивки 1.13 для ряда устройств Dir100-RevA.

На данный момент защиты от уязвимости не существует. Пользователям рекомендуется отключить доступ к административным функциям через WAN-порт.

Опубликованы документы АНБ о попытках взять под контроль сеть Tor

Опубликованы документы АНБ о попытках взять под контроль сеть Tor

Газета The Guardian опубликовала новую подборку документов Агентства национальной безопасности от Эдварда Сноудена. Они раскрывают свет на попытки АНБ взять под контроль сеть анонимайзеров Tor. Несмотря на многомиллиардные бюджеты, эта задача оказалась им не по зубам.

Одна из презентаций имеет красноречивое название “Tor Stinks” («Отвратительный Tor», pdf). Презентация от июня 2012 года. Ее авторы сразу констатируют печальную истину: «Мы никогда не сможем деанонимизировать всех пользователей Tor в каждый момент времени. Выполнив вручную анализ, можно деанонимизировать только очень малую часть пользователей Tor, однако безуспешны попытки деанонимизировать какого-то конкретного пользователя по запросу TOPI».

Проблема в том, пишут авторы отчета, что у АНБ есть доступ только к очень немногим узлам, в то время как соединение каждого пользователя шифруется на трех случайных узлах. Таким образом, очень мала вероятность, что все три эти узла окажутся доступны. Руководство агентства поставило цель увеличить количество подконтрольных узлов.

Другой подход — использовать куки для идентификации пользователей Tor в то время, когда они выходят за пределы защищенной сети. Агенты тщательно изучали механизм установки «вечных» куков (Evercookie), которые практически невозможно полностью удалить.

АНБ активно отслеживает трафик Tor и способно определять HTTP-запросы от узлов Tor к отдельным серверам по «отпечаткам», которые помещаются в базы данных вроде XKeyscore.

Агентство затем пытается использовать внутренние ресурсы, чтобы попытаться инфицировать конкретных пользователей с помощью перехвата трафика от узла Tor к контролируемому АНБ серверу и применения эксплойтов для Firefox (система АНБ под кодовым названием FoxAcid). Подобнее об этой технике атаки см. в отдельной презентации (pdf) и в статье Брюса Шнайера. В презентации указано, что АНБ использовало эксплойты для Firefox 10.0 ESR и уверено, что найдет ключики для Firefox 17.0 ESR. В одном из слайдов указано, что АНБ перехватывало запросы от узлов Tor к серверам Google.

Перехват трафика пользователей осуществляется с помощью секретных серверов АНБ под кодовым названием Quantum, которые устанавливаются на магистральных каналах связи у крупнейших интернет-провайдеров США. Таким образом, если поступает запрос от узла Tor к какому-нибудь американскому сайту, то АНБ может ответить раньше, чем тот сайт.

Эксплойт-пак FoxAcid от АНБ регулярно обновляется, и в одном из мануалов был указан номер версии 8.2.1.1.

Anonymous Caucasus атаковали Центробанк, Сбербанк и другие российские банки

Anonymous Caucasus атаковали Центробанк, Сбербанк и другие российские банки

Малоизвестная хакерская группировка Anonymous Caucasus взяла на себя ответственность за атаки на несколько крупных российских банков, включая Сбербанк и Центробанк.

О предстоящей DDoS-атаке на банки «Кавказские анонимусы» сообщили заблаговременно: программный ролик на YouTube от имени Anonymous Caucasus был опубликован 30 сентября 2013 г. В нем предполагаемые организаторы атак сообщили, что, начинают операцию против российских банков в отместку за геноцид кавказских народов.

«Мы хотим, чтобы российское правительство и российские граждане лишились доступа к своим счетам», — говорится в заявлении хакеров.

На странице Anonymous Caucasus в Facebook 1 октября 2013 г. был опубликован подтверждающий скриншот заглушки сайта Сбербанка, а 3 октября 2013 г. там же сообщили об успехе атаки на сайт Центробанка кодовой фразой «TANGO DOWN!»

Руководитель проекта Kaspersky DDoS Prevention Алексей Афанасьев заявил CNews, что «Лаборатория Касперского» действительно с начала нынешней недели наблюдает серию DDoS-атак на ряд крупнейших российских банков.

По данным антивирусной компании, имели место три волны атаки: 1 октября 2013 г. на сайт Сбербанка, 2 октября на сайт Альфа-банка и 3 октября на сайты ЦБ РФ, Альфа-банка и Газпромбанка.

Сразу по получении логов ботнетов информация о них была передана в службы информационной безопасности банков для принятия ими мер, сообщили в «Касперском». Технические подробности DDoS-атак на банки эксперты компании раскрыть отказались.

Помимо банков, о нападении на которые известно со слов представителей «Лаборатории Касперского», в числе жертв атаки мог оказаться ВТБ, чей адрес в числе прочих упоминался в ролике на YouTube.

Характер сообщения «Касперского» и извинительного постинга Сбербанка от 1 октября 2013 г. позволяют предположить, что хакерская атака была направлена лишь на ограничение доступа к публичным сайтам банков, и вряд ли привела к затруднениям в их операционной деятельности.

В Сбербанке подтвердили CNews имевший место сбой в работе сайта, однако заявили, что «все финансовые сервисы, предоставляемые банком через сеть интернет, полностью сохранили свою работоспособность, а профильные подразделения банка анализируют причины сбоя». Источник CNews в Сбербанке говорит, что сайт был недоступен на протяжении примерно четырех часов.

Официальный сайт Газпромбанка (www.gazprombank.ru) 3 октября 2013 г. действительно подвергался DDoS-атаке со стороны неизвестных злоумышленников, подтвердил CNews представитель банка Сергей Перминов. При этом сайт продолжал и продолжает работать, добавил он. Работоспособность и доступность сайта поддерживаются силами Департамента защиты информации банка совместно с «Лабораторией Касперского».

В ВТБ отказались от комментариев.

Группировка, называющая себя «Кавказскими анонимусами», была только однажды замечена в громких сетевых акциях под этим названием. 21 сентября 2013 г. от их имени на YouTube было опубликовано сообщение, в котором они приняли на себя ответственность за атаки на правительственные интернет-ресурсы Ингушетии.

Первая DDoS-атака 100 Гбит/с без DNS-умножения

Первая DDoS-атака 100 Гбит/с без DNS-умножения

В марте этого года мы наблюдали первую в истории DDoS-атаку мощностью более 100 Гбит/с. Тогда, в марте, такой поток трафика нападающие смогли сгенерировать, используя умножение запросов через DNS-резолверы, которые установлены у каждого интернет-провайдера и часто плохо сконфигурированы, то есть открыты для внешних запросов.

Злоумышленники направляют к открытым DNS-резолверам поток DNS-запросов с IP-адресом жертвы, а резолвер отвечает на указанный адрес. Чтобы максимально усилить трафик, злоумышленники составляют запросы, которые требуют максимально объемного ответа: например, запрос списка всех DNS-записей в определенной зоне. Вы можете отправить такой запрос размером 64 байта (dig ANY isc.org x.x.x.x) и сгенерировать ответ 3223 байта.

Актуальный список открытых резолверов всегда можно найти здесь.

24 сентября 2013 года состоялась новая DDoS-атака мощностью 100 Гбит/с, которая продолжалась девять часов, сообщает компания Incapsula. При этом она не назвала URL сайта своего клиента, жертвы атаки.

В нынешней DDoS-атаке удивительно то, что атакующие вовсе не использовали резолверы, так что это первая в истории атака подобной силы без умножения запросов. Получается, что у кого-то есть в наличии каналы суммарной пропускной способностью аж 100 Гбит/с. Если бы они использовали умножение запросов, то могли бы увеличить трафик в десятки раз.