Версия для печати темы

Нажмите сюда для просмотра этой темы в обычном формате

Онлайн-форум hostobzor.ru _ Правовые вопросы регулирования сети Интернет _ Если вы считаете, будто в интернете все спокойно - вам сюда!

Автор: ALigned 02.11.2012, 04:56

Итак, тема для тех, кто не видит других проблем в интернете, кроме СХ, а если и видит, то считает их незначительными, не препятствующими, не стоящими и не несущими.

http://blog.cloudflare.com/65gbps-ddos-no-problem

Сотрудник компании Cloudflare в своем блоге рассказал о том, что в последнее время были зафиксированы DDoS-атаки необычной силы: до 65 Гбит/с. Эксперты выяснили, что в данном случае использовался один из методов умножения запросов. Умножение осуществлялось за счёт отражения DNS-запросов (DNS reflection ) через DNS-резолверы, которые установлены у каждого провайдера.

Обычно DNS-резолверы сконфигурированы так, чтобы обрабатывать только запросы своих пользователей, но существует большое количество компаний, которые неправильно их сконфигурировали, так что резолверы принимают запросы от любого пользователя интернета. Здесь http://dns.measurement-factory.com/surveys/openresolvers/ASN-reports/latest.html список неправильно сконфигурированных резолверов, так называемых «открытых DNS-резолверов». Специалисты Cloudflare обнаружили в интернете 68459 открытых DNS-резолверов, в том числе 862 в России.

Схематично метод выглядит так: DNS-запросы обычно идут по протоколу UDP, где можно легко подделать заголовок с обратным IP-адресом. Соответственно, ддосеры направляют к открытым DNS-резолверам поток DNS-запросов с IP-адресом атакуемого ресурса, а резолвер отвечает на указанный адрес. Чтобы максимально усилить трафик, составляются запросы, которые требуют максимально объёмного ответа: например, запрос списка всех DNS-записей в определённой зоне. В отчете приводится пример. Вы можете отправить такой запрос размером 64 байта на один из открытых DNS-резолверов.
dig ANY isc.org x.x.x.x,
где x.x.x.x — это IP-адрес резолвера. Ответ будет аж 3223 байта.

Таким образом, DDoS-атаку можно усиливать в десятки раз, умножая трафик с помощью DNS-резолверов. В данном случае усиление составляет 3223/64≈50 раз. Любопытно, что в значительной мере усиление DDoS-атаки достигнуто благодаря большим ключам DNSSEC, которые включены в тело ответа, а ведь протокол DNSSEC внедрялся с целью повысить безопасность системы DNS.
17 сентября 2012

Кстати, один из коментаторов блога предлагает: "Perhaps the internet overlords should start cutting off DNS servers that behave badly."

Автор: ALigned 02.11.2012, 05:18

В минувшем квартале Prolexic Technologies довелось отразить 7 DDoS-атак мощностью свыше 20 Гб/с, направленных на ресурсы ее клиентов. Некоторые из них были проведены злоумышленниками с помощью php-бота itsoknoproblembro.

«В прошлом году DDoS-атака выше 20 Гб/с была немыслимой, а сегодня воспринимается как рядовое явление», ― комментирует Стюарт Шолли (Stuart Scholly), президент Prolexic. ― «Для справки: в мире бизнеса мало кто располагает сетевой инфраструктурой, способной выдержать такие нагрузки по трафику».

http://www.securelist.com/ru/blog/207764293/Prolexic_20_Gb_s_DDoS_stanovitsya_normoy

Автор: udofun 02.11.2012, 21:36

Да, известный тип атаки на сервера незащищенные от UDP.
Часто с ним сталкиваемся.
Не далее чем часов 12 назад разрулили 2Гб+ ДДОС на IP адрес хостинг сервера. Причем понять не можем до сих пор кого досили.

Самое больше что удалось отбивать - 16Гб/с.

В целом на защищенных IP сетях типовое решение - это обрезать UDP/ICMP на аплинках для нужных сетей.

Автор: ALigned 04.11.2012, 23:23

Цитата
Как известно, с 31 декабря 2012 года вступают в силу новые положения Закона «О национальной платежной системе», согласно которым банк будет обязан вернуть владельцу деньги, в случае, если тот не подтверждает конкретную транзакцию. Причем вернуть, не дожидаясь окончания расследования. Сегодня в России интернет-банкинг использует каждый десятый пользователь сети.

По оценкам экспертов, ежегодные потери от онлайн-преступлений в России составляют порядка 900 млн. руб. Популярность интернет-банкинга растет, а значит, будут расти и эти потери. В первое время после вступления в силу новых положений Закона «О национальной платежной системе» можно ожидать роста мошеннических атак на системы интернет-банкинга: найдутся люди, которые захотят воспользоваться гарантией возврата денег и удвоить свои счета, вступив в сговор с хакерами. По разным оценкам, рост атак может составить до 10%.

В 2011 году самым популярным способом хищений денег с банковских счетов было использование троянских программ. Эта тенденция сохранится и в будущем, так как количество пользователей онлайн-банкинга и в России, и во всем мире постоянно увеличивается. В 2012 году чаще стали применять узконаправленные атаки. Реквизиты кредитных карт и банковских счетов во все большем количестве предлагаются на виртуальных черных рынках. Наиболее эффективными сегодня атаками являются атаки типа Man in the Middle (имеет субкатегории Man in the Browser и Man in the Mobile). Они требуют применения новых средств защиты.

В поиске таких средств российские банки уже перешли на систему скретч-карт или систему паролей на бумажных носителях, но степень надежности этих систем сомнительна. Большого смысла в заранее заготовленном на любом носителе списке паролей, нет: носители неудобны, да и сам априори не защищен. 70% атак на систему дистанционного банковского обслуживания происходит при хранении ключей на незащищенных носителях.

Весьма популярной является генерация пароля через смс, но смысла в этом еще меньше, ибо канал связи не защищен, смс-сообщения легко перехватываются, да и вовсе могут быть отправлены с компьютера злоумышленника.

Посмотрим, как эта проблема решается в странах с развитой экономикой. В Европе банки в массовом порядке переходят на внедрение нового типа защиты - многофакторных систем строгой аутентификации, способных к тому же функционировать в агрессивной среде интернета даже при ненадежном соединении.

Система включает собственный аутентификационный сервер, интегрированный во фронт-офис банка и управляющий дополнительными системами аутентификации. Помимо введения пароля и логина, пользователь обязан ввести уникальный код, который генерируется лишь однажды для конкретной операции. Это генерация уникального одноразового пароля по схеме «запрос-ответ». Система запускается путем ввода специального кода на карте с дисплеем – как правило, в Европе сейчас используются сложные коды из 12-14 символов.

Распространение этой технологии в Европе сегодня достаточно широко. Она используется уже не только в банковской сфере, но и во всех остальных, где требуется надежное подтверждение той или иной операции. Впечатляющий пример использования в Европе технологии генерации одноразового пароля дает и страховой бизнес: чтобы сократить время на обработку требований, не заниматься длительным анализом и подтверждением легальности требований к страховой компании, решение о выплате в пользу страхователя принимается после прохождения им процедуры строгой аутентификации. Проблема возмещения мелких убытков и выплат по дорожно-транспортным происшествиям решается автоматически.

Внедрение новых систем защиты происходило в Европе постепенно. Оно не носило директивного характера и осуществлялось весьма деликатно, на уровне контроля над бизнес-процессами. Статистика красноречива: два года назад, в 2010-м, 80% банков считали процессы аутентификации наиболее рискованными, 65% банков не имели сколь-нибудь эффективной защиты этих процессов, полагаясь на имя пользователя и пароль, и почти 50% страдали от тех или иных атак. Постепенное внедрение многоуровневой аутентификации привело к тому, что в 2012 году эта статистика сократилась вдвое.

Вернемся к закону, защищающему права клиента банка. В свое время в Европе также был принят подобный закон. Закон назывался Директивой о платежных услугах. Подобно внедрению новых систем защиты от злоумышленников, Директива вступала в силу поэтапно: сначала несколько лет велось ее обсуждение, причем банки были активно в это обсуждение вовлечены, затем Директива адаптировалась к законодательству отдельных европейских стран, после чего была принята на уровне ЕС. Весь процесс занял в общей сложности около восьми лет. Половину от этого времени европейские банки занимались поиском и внедрением новых способов информзащиты.

В России все быстрее и суровее. Что делает информзащиту еще востребованнее. В особенности учитывая высокую квалификацию российских хакеров, общий ущерб от деятельности которых оценивается в 2,5 млрд. евро лишь за прошлый год.


http://lf.rbc.ru/news/card/2012/09/07/214926.shtml

В России все быстрее и суровее, потому как запад уже этот этап прошел, и зачем изобретать велосипед.
Перекладывать ответственность за украденные деньги на банки - иначе видимо никак их не заставить беспокоиться о безопасности клиентов. Создавать черные списки, иначе видимо никак не заставить провайдеров беспокоиться о безопасности и содержимом их же серверов. Ну и надеюсь, что на этом этапе государство долго не задержится, и шагнет дальше, вслед за ФБР и спамхаусом, прекращая играться в игрушки вроде листинга нарко-педо-сайтов и начиная серьезно работать с киберпреступностью.

Цитата(udofun @ 02.11.2012, 21:36) *

Да, известный тип атаки на сервера незащищенные от UDP.
Часто с ним сталкиваемся.
Не далее чем часов 12 назад разрулили 2Гб+ ДДОС на IP адрес хостинг сервера. Причем понять не можем до сих пор кого досили.

Самое больше что удалось отбивать - 16Гб/с.


Сколько это отбитие стоит?

Автор: nikosd 05.11.2012, 02:42

Для тех кто считает что проблемы только в интернете :
http://ria.ru/crime/
Криминал был есть и будет, борьба с ним ( не до победы, а с целью сдерживания роста ) - прерогатива государства ( желательно при поддержке общества), а не мутных людей из мутных контор.

Какая нафиг борьба ? В списке запрещенных судами сайтов полно доменов в зоне ru ( торрент закрыть можно, а вот криминал и прочее - проще мучать провайдеров). Бороться с сайтами бесполезно, бороться надо с владельцами.

Автор: udofun 05.11.2012, 11:36

тема финансовых мошенничеств очень актуальная.
у нас на расследовании находится несколько материалов подобных.

наша полиция отжиает по полной. порой даже не хочет близко браться за расследование перспективных дел... если она прямо не хочет ловить преступников которые украли и найдены, то чего уж тут говорить о чем-то еще.

Автор: ALigned 11.11.2012, 12:08

Цитата(nikosd @ 05.11.2012, 02:42) *

Для тех кто считает что проблемы только в интернете :


Вряд ли есть кто-то, кто так считает.

Цитата
Криминал был есть и будет, борьба с ним (не до победы, а с целью сдерживания роста) - прерогатива государства (желательно при поддержке общества), а не мутных людей из мутных контор.


Да, только не желательно, а обязательно при поддержке общества, а в случае нашего государства и более - общество еще и должно его пинать и требовать исполнять задекларированные прямые обязанности.

Цитата
Какая нафиг борьба ? В списке запрещенных судами сайтов полно доменов в зоне ru ( торрент закрыть можно, а вот криминал и прочее - проще мучать провайдеров). Бороться с сайтами бесполезно, бороться надо с владельцами.


Я тоже удивляюсь политике рег.ру. Недавно один из явно преступных хакерских сайтов получил статус верифайд. Собственно любому здравосмыслящему человеку понятно, что таких нужно сажать в тюрьму, а они верифайд дают. А вот еще:
Цитата
Компания Рамблер подала иск в Московский арбитражный суд к Рег.ру с требованием раскрыть данные администратора домена avia-rambler.ru, после того как регистратор отказался сообщить эти данные по прямом запросу из "Рамблера". Собственный трэвел-сервис Рамблера работает по адресу avia.rambler.ru.

В Рамблере указали на ряд других доменов, паразитирующих на известных брендах и переадресовывающих на Aviasales: avia-yandex.ru, avia-mail.ru и avia-google.ru.

"Думаем, что Aviasales наш иск поддержат, ведь как большая компания они должны выступать за честную конкуренцию и дорожить своей деловой репутацией", - цитирует РАПСИ неназванного представителя "Рамблера".

Правда, когда "Рамблер" - еще до иска - попытался напрямую обратиться к Aviasales по поводу совместного решения этой проблемы, представители трэвел-сервиса не обратили на нее внимания", рассказал Роем.ру директор по маркетингу "Афиши-Рамблера" Владислав Крейнин.

http://roem.ru/2012/11/09/addednews56546/

Автор: ALigned 11.11.2012, 12:29

Цитата(udofun @ 05.11.2012, 11:36) *

наша полиция отжиает по полной. порой даже не хочет близко браться за расследование перспективных дел... если она прямо не хочет ловить преступников которые украли и найдены, то чего уж тут говорить о чем-то еще.


Вот это точно, почему слова "только по закону, пишите заявления в правоохранительные органы" у нас в стране вообще звучат как издевка, а в особенности что касается кибер-преступлений.

Автор: eSupport.org.ua 12.11.2012, 09:11

Какая страна такая и полиция

Автор: ALigned 13.11.2012, 05:11

Цитата(eSupport.org.ua @ 12.11.2012, 09:11) *

Какая страна такая и полиция


Разборки гигантов:

Цитата
После более чем двух лет разбирательств суд отклонил иск «Аэрофлота» к «ВТБ 24» о взыскании 194 млн руб. В эту сумму «Аэрофлот» оценивал свои потери от DDoS-атаки на сайт обслуживающей его платежной систему «Ассист», в организации которой обвиняют предпринимателя Павла Врублевского.
...
Именно сайт «Ассиста», через который осуществляется прием к оплате кредитных карт, в июле 2010 г. в течение недели не работал из-за DDoS-атаки. Позднее на участие в деле в качестве третьего лица настоял Павел Врублевский, владеющий конкурирующей с «Ассистом» системой Chronopay. Его ФСБ обвиняет в организации данной атаки.

Напомним, что летом прошлого года ФСБ арестовала Павла Врублевского по обвинению в организации данной DDoS-атаки. В ходе процесса он сам признался в этом, но в конце 2011 г. его выпустили на свободу до окончания слушаний, а от признательных показаний Врбулевский позже отказался. Предприниматель считает, что отказ в удовлетворении иска «Аэрофлота» поможет ему в разбирательствах по данному уголовному делу, которые сейчас происходят в Тушинском суде Москвы.

«Этот процесс и так уже разваливается: ранее выяснилось, что еще до атаки «Аэрофлот» провел тендер на выбор единой платежной системы, который выиграл «Альфа-банк», а «Ассист» в нем даже не участвовал, - говорит владелец Chronopay. -Таким образом у меня, как у конкурента «Ассиста», просто отсутствовал смысл заказывать атаку против них». Впрочем, Войтенко говорит, что в рамках данного процесса «Ассист» подаст гражданский иск в Врублевскому о взыскании убытков на сумму 15 млн руб.

Подробнее: http://www.cnews.ru/top/2012/11/12/aeroflot_ne_poluchit_millionov_za_ddosataku_509338

Главный вывод: власти не могут привлечь к ответственности (найти, доказать виновность) даже организаторов надо полагать мощных ддос-атак на гигантов. В таком случае какой смысл отправлять рядовых владельцев маленьких сайтов "туда же"? Смысл только один - послать.

Автор: ALigned 17.11.2012, 11:04

Свобода интернета vs Свобода волеизъявления?


Цитата
Не только нами замечено: в перечне грязных методов борьбы за депутатские мандаты в эту парламентскую компанию кибертехнологии занимают особое место. Их массовое применение некоторые эксперты даже называют трендом выборов-2012 . Конечно, на фоне штурмов «Беркутом» окружных избиркомов или, еще раньше, откровенного жульничества при формировании комиссий, малопонятные основной массе избирателей шалости в не всем еще доступном и не всеми востребованном Интернете могут показаться мелочью. Причем наш народ и партии в расхожем мнении едины: взломы сайтов и почтовых ящиков, сетевые и DDоS-атаки воспринимаются не как преступление, а просто как технология, с которой якобы невозможно бороться. Но мир цивилизованный — который на один уровень угроз сегодня ставит киберпреступность и терроризм — от нашей легкости отношения к этому являению должен быть в шоке. С одной стороны — настоящий киберразбой на службе у политиков государства в центре Европы, с другой — блокирование свободы слова в самом пока что свободном информпространстве Украины. Хотя, конечно, чувство ужаса и протеста должно было охватить каждого из нас, граждан страны, катящейся к авторитаризму и разрешенному призволу одновременно.

Списывать все на «черных» технологов, которым «нашу страну не жалко», конечно же, наивно и глупо. Вся грязь и противозаконные методы, которые использовали технологи, без сомнения, были санкционированы политиками — партийными вождями разного калибра, кандидатами или руководителями их штабов, которые выступали заказчиками и оплачивали заказы на взломы почтовых ящиков, рассылку спама и DDоS-атаки. Оплачивали, естественно, не из избирательных фондов, а «черным налом» из «черных» касс, то есть грязными деньгами, тем самым поднимая уровень политической коррупции в стране на новые высоты.

Богатый арсенал криминальных методов и приемов вкупе с прайсами на услуги и работы сначала открылся широкой публике в Одессе. Следствием одного преступления — взломов почтового ящика и аккаунта в соцсети российского технолога Семена Уралова, работавшего в штабе лидера «Родины» Игоря Маркова, стал огромный массив информации, имеющей общественный интерес, а именно свидетельства других преступлений и ведения нечестной конкурентной борьбы. Среди них: организация DDоS-атак на недружественные ресурсы, рассылка спама и телефонный троллинг от имени конкурента, создание подставных аккаунтов в соцсетях и т.д. Сам Уралов, подтверждая взлом почты и своего аккаунта, подозревает в этом конкурента Маркова Алексея Гончаренко, нелюбого сына мэра Одессы Костусева, но отрицает участие в сомнительных разработках.

Следом за Uralovleaks, который продолжал пополняться все новыми публикациями, подобный скандал разразился в Крыму. Источником новых познаний в «черных» технологиях стала переписка людей с именами главного пиарщика крымского штаба Партии регионов Игоря Шпилея и кандидатов от технических партий, работавших против конкурентов регионалов в симферопольских округах.

Все адресанты свою причастность к опубликованному отрицали. И немудрено: «деловая» переписка представителя заказчика и исполнителей содержит тексты грязных публикаций в интернет-ресурсах и, собственно, создание таковых (реанимация сайта для публикаций «компромата» на лидеров оппозиции), регистрации клона общественного движения, а также сметы на оплату агитации наличными и даже жалобы на то, что в штабе регионалов «бабло зажимают».

Переписку обнародовал лидер партии «Союз» Лев Миримский, против которого также были задействованы эти технологии и который, к слову, стал единственным нерегионалом, победившем в мажоритарном округе в Крыму. Борьба с этим же кандидатом, судя по заявлению крупнейшего украинского хостера, могла быть причиной мощной волны DDoS-атак. Как сообщал в интервью президент MiroHost Александр Ольшанский, атаки начались за несколько дней до дня голосования. 25 октября были зафиксированы 16 одновременных атак различных типов на разные ресурсы, а 27 октября, по словам Ольшанского, произошел беспрецедентный случай: в компанию дважды позвонил неизвестный, требуя отключить сайт Миримского, угрожая атакой не только на него, но и на остальные ресурсы MiroHost.
....
«Сайтоповал»

Жервы октябрьских DDoS-атак (а есть основания говорить о нескольких волнах) можно разделить на три условные категории. Это Интернет-представительства госорганов, партий и кандидатов, второй эшелон — сайты общественных организаций, ведущих мониторинг нарушений во время избирательной кампании, в том числе и методом краудсорсинга — о нарушениях сообщали избиратели. И третий отряд, попавший под атаки, — средства массовой информации, причем, что немаловажно, могущих вести прямые онлайн-трансляции с любого конфликтного очага без особых финансовых и технологических затрат.
...
В этом смысле стоит обратить взоры на северную соседку. Нет, не в плане, что все беды оттуда следом за гастролерами-технологами, хотя и это имеет место быть. Стоит сравнить сценарии DDoS-атак на независимые от Кремля СМИ в декабре 2011 и мае 2012 с тем, что у нас было в октябре, и вы найдете много общего.


Подробнее http://zn.ua/POLITICS/ddostanu_kozhnogo-111902.html

Автор: eSupport.org.ua 17.11.2012, 13:02

Хорошая статья про ФСБ, которая показывает то, что в таких крутых организациях тоже проблемы с кадрами.

А про DNS - древнейший боян.

Русская версия Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)