Au cours des quatre dernières années, BreachTrace a été la cible d’innombrables attaques par déni de service destinées à le mettre hors ligne. Plus tôt cette semaine, BreachTrace a été frappé par l’attaque de ce type la plus massive et la plus intense à ce jour – une attaque de près de 200 Gbps tirant parti d’une méthode d’attaque simple qui, selon les experts du secteur, devient de plus en plus courante.
Le problème est une fonctionnalité apparemment inoffensive intégrée à de nombreux serveurs Internet connue sous le nom de Protocole de temps réseau (NTP), qui est utilisé pour synchroniser la date et l’heure entre les machines d’un réseau. Le problème n’est pas avec NTP lui-même, en soi, mais avec certaines implémentations obsolètes ou codées en dur que les attaquants peuvent utiliser pour transformer une attaque relativement négligeable en quelque chose de beaucoup, beaucoup plus grand. Symantecc’est rédaction sur cette menace de décembre 2013 explique succinctement le problème :
Semblable aux attaques par amplification DNS, l’attaquant envoie un petit paquet falsifié qui demande qu’une grande quantité de données soit envoyée à l’adresse IP cible. Dans ce cas, les attaquants profitent de la commande monliste. Monlist est une commande à distance dans l’ancienne version de NTP qui envoie au demandeur une liste des 600 derniers hôtes qui se sont connectés à ce serveur. Pour les attaquants, la requête monlist est un excellent outil de reconnaissance. Pour un serveur NTP localisé, il peut être utile de créer un profil réseau. Cependant, en tant qu’outil DDoS, c’est encore mieux car une petite requête peut rediriger des mégaoctets de trafic.
Matthieu Princele PDG de Nuageux — une entreprise qui aide les sites Web à rester en ligne face aux énormes attaques DDoS — blogué jeudi à propos d’une attaque de près de 400 Gbps qui a récemment touché l’un des clients de l’entreprise et a tiré parti de l’amplification NTP. Prince a déclaré que si Cloudflare « généralement [was] capable d’atténuer l’attaque, il était suffisamment important pour provoquer une congestion du réseau dans certaines parties de l’Europe.
« Le DDoS de lundi a prouvé que ces attaques ne sont pas seulement théoriques. Pour générer environ 400 Gbps de trafic, l’attaquant a utilisé 4 529 serveurs NTP fonctionnant sur 1 298 réseaux différents », a écrit Prince. « En moyenne, chacun de ces serveurs a envoyé 87 Mbps de trafic à la victime visée sur le réseau de CloudFlare. Remarquablement, il est possible que l’attaquant n’ait utilisé qu’un seul serveur fonctionnant sur un réseau qui a permis l’usurpation d’adresse IP source pour initier les requêtes. Un attaquant avec une connexion 1 Gbps peut théoriquement générer plus de 200 Gbps de trafic DDoS.
NO JJE COMME LE PRENVOYER
Prince suggère un certain nombre de solutions pour résoudre le problème qui permet aux attaquants de prendre le contrôle de tant de serveurs NTP mal configurés, et c’est un bon conseil. Mais ce que cet article ne mentionne pas, c’est la réalité qu’un grand nombre des attaques DDoS d’aujourd’hui sont lancées ou coordonnées par les mêmes personnes qui exécutent des services DDoS à louer (alias « booters ») qui se cachent derrière le propre cloud gratuit de Cloudflare. services de protection.
Comme je l’ai noté dans une conférence que j’ai donnée l’été dernier avec Lance James lors de la conférence sur la sécurité Black Hat à Las Vegas, une chose amusante se produit lorsque vous décidez d’exploiter un service Web DDoS-for-hire : votre service devient la cible d’attaques de services DDoS-for-hire concurrents. Par conséquent, la majorité de ces services ont choisi de se prévaloir du service de distribution de contenu gratuit de Cloudflare, qui fait généralement un assez bon travail pour annuler ce risque professionnel pour les propriétaires de services DDoS.
Lance James, Yours Truly et Matthew Prince.
M. Prince s’est fortement opposé à mes remarques à Black Hat, qui ont observé que cette industrie se détruirait probablement sans la protection de Cloudflare, et en outre que certains pourraient percevoir un problème de crédibilité avec une entreprise qui vend des services de protection DDoS offrant un refuge sûr à tout un chalet. l’industrie des services DDoS à louer.
Prince a noté que même si Cloudflare répondra aux procédures judiciaires et aux assignations à comparaître des forces de l’ordre pour mettre des sites hors ligne, « nous avons parfois des ordonnances de justice qui nous ordonnent de ne pas supprimer de sites ». En effet, un tel exemple était CarderProfit, un forum de carding protégé par Cloudflare qui s’est avéré être une opération d’infiltration élaborée mise en place par le FBI.
Il a déclaré que la société avait pour politique déclarée de ne pas distinguer un type de contenu par rapport à un autre, invoquant la crainte de glisser sur la pente glissante de la censure.
Dans une interview téléphonique aujourd’hui, Prince a souligné qu’il n’avait vu aucune indication que de véritables paquets malveillants soient envoyés hors du réseau de Cloudflare à partir des dizaines de sites Web de service d’amorçage qui utilisent le service. Au contraire, a-t-il dit, ces services de booter sont simplement la partie marketing de ces opérations.
« La nature même de ce que nous essayons de construire est un système par lequel n’importe quel contenu peut être en ligne et nous pouvons faire des attaques par déni de service une chose du passé. Mais cela signifie que certains contenus controversés se retrouveront sur notre réseau. Nous avons une attaque de plus de 100 Gbps presque à chaque heure de chaque jour. Si je pensais vraiment que cela résoudrait le problème, et si notre réseau était réellement utilisé dans ces attaques, c’est une évidence. Mais je ne peux pas accepter l’idée que nous devrions refuser le service à un site marketing juste pour qu’il puisse être attaqué par ces autres sites, et que cela résoudra le problème d’une manière ou d’une autre. Je ne pense pas que ce soit juste, et cela nous entraîne sur une pente glissante.
En tant que journaliste, je suis évidemment extrêmement favorable aux droits à la liberté d’expression. Mais il me semble que la plupart de ces services DDoS à louer sont – par définition – tous destinés à étouffer la parole. Pire encore, au cours des derniers mois, les personnes à l’origine de ces offres ont commencé à s’accrocher aux attaques NTP, a déclaré Allison Nixonchercheur pour Sécurité des communications NTT OMS parlait sur les techniques de contournement de la protection DDoS lors du Black Hat de l’année dernière.
« Il y a une prise de conscience croissante des attaques basées sur le NTP dans la clandestinité criminelle au cours des derniers mois », a déclaré Nixon. « Je pense que c’est parce que personne n’avait réalisé jusqu’à récemment combien de serveurs vulnérables existaient. « Le problème technique de l’amplification NTP est connu depuis longtemps. Maintenant que de plus en plus de listes d’attaques sont échangées, la disponibilité des services DDoS avec la fonctionnalité d’attaque NTP est en augmentation.
(S) LES ENFANTS VEULENT JUSTE S’AMUSER
La chose choquante à propos de ces services DDoS à louer est que – comme je l’ai signalé dans plusieurs histoires précédentes – la majorité d’entre eux sont gérés par de jeunes enfants qui ne peuvent apparemment pas penser à un meilleur moyen de prouver à quel point ils sont cool et « leet » ne le sont qu’en mettant hors ligne sans raison des sites Web et en lançant des attaques extrêmement perturbatrices. Exemple concret : mon site semble avoir été attaqué cette semaine par un garçon de 15 ans de l’Illinois qui se fait appeler « M. Booter Master » en ligne.
Prolexic Technologies, la société qui protège BreachTrace des attaques DDoS depuis 18 mois, a déclaré que l’attaque qui a frappé mon site cette semaine a atteint un peu moins de 200 Gbps. Il y a un an ou deux, une attaque de 200 Gbps aurait été proche de la plus grande attaque jamais enregistrée, mais l’augmentation générale du volume d’attaques au cours de l’année écoulée fait que la plus grande chronologie des attaques ressemble un peu à un bâton de hockey, selon un article de blog sur les attaques NTP publié aujourd’hui par Arbor Networks. La rédaction d’Arbor en dit long sur les motivations et la maturité des individus derrière la majorité de ces attaques NTP.
Source : Réseaux Arbor
L’attaque NTP sur mon site a été de courte durée – seulement environ 10 minutes, selon Prolexic. Cela suggérait que l’attaque n’était guère plus qu’une preuve de concept, une démonstration.
En effet, peu de temps après la fin de l’attaque, j’ai entendu parler d’une source fiable qui surveille de près l’activité des pirates dans la cybercriminalité souterraine. La source voulait savoir si mon site avait récemment fait l’objet d’une attaque par déni de service. J’ai dit oui et lui ai demandé ce qu’il en savait. La source a partagé des informations montrant qu’une personne utilisant le pseudo « Rasbora » avait très récemment posté plusieurs indices dans un forum privé dans le but de prouver qu’il venait de lancer une grande attaque contre mon site.
Messages de Rasbora sur Hackforums.
Apparemment, Rasbora a fait cela pour qu’il puisse prouver sa grandeur aux administrateurs de Darkode, un forum de cybercriminalité étroitement surveillé qui a été décrit en détail dans ce blog. Rasbora était impatient de montrer ce qu’il pouvait apporter à la communauté Darkode, et sa demande d’adhésion dépendait en partie de sa capacité à supprimer mon site (d’ailleurs, ce n’est pas la première fois que les administrateurs de Darkode utilisent mon site comme une cible de test pour la vérification des membres potentiels qui postulent en fonction de la force de certaines prouesses DDoS professées).
Rasbora, comme d’autres jeunes américains impliqués dans des services DDoS à louer, n’a pas fait un excellent travail pour séparer son moi en ligne de son personnage réel, et il n’a pas fallu longtemps avant que je parle au père de Rasbora. Son père semblait véritablement alarmé – quoique par ailleurs ignorant – d’apprendre les activités présumées de son fils. Rasbora lui-même a accepté de me parler, mais a nié être responsable de toute attaque sur mon site. Il a cependant admis avoir utilisé le surnom de Rasbora – et finalement – être consommé par divers projets liés aux activités DDoS.
Rasbora maintient une présence saine sur les Hackforums[dot]net, un forum relativement ouvert qui regorge de jeunes enfants engagés dans la vente de services de piratage et de code malveillant d’un type ou d’un autre. Tout au long de 2013, il a dirigé un service DDoS à louer caché derrière Cloudflare appelé « Flashstresser.net », mais ce service est actuellement inaccessible. Ces jours-ci, Rasbora semble prendre des projets principalement par contrat privé.
Certains des messages de Rasbora avant notre appel téléphonique.
Il se trouve que le projet le plus récent de Rasbora consiste à rassembler, à maintenir d’énormes listes de serveurs de « qualité supérieure » qui peuvent être utilisées pour lancer des attaques d’amplification en ligne. Malgré son insistance sur le fait qu’il n’a jamais lancé d’attaques DDoS, Rasbora a finalement permis à quelqu’un lisant ses messages sur Hackforums de conclure qu’il était activement impliqué dans des attaques DDoS contre rémunération.
« Je ne vois pas ce qu’un mur de texte peut vraiment vous dire sur ce que quelqu’un fait dans la vraie vie », a déclaré Rasbora, dont l’identité réelle est cachée parce qu’il est mineur. Cette réponse est venue en réponse au fait que je lui ai lu plusieurs messages qu’il avait publiés sur Hackforums pas 24 heures plus tôt et qui suggéraient fortement qu’il était toujours dans le domaine de la mise hors ligne de sites Web : dans un message du 12 février sur un fil de discussion intitulé cliquez sur un site Web » que Rasbora a depuis supprimé, il dit à un autre utilisateur de Hackforums, « Si tout le reste échoue et que vous voulez juste qu’il soit hors ligne, envoyez-moi un MP. »
Rasbora a essayé de nettoyer certains de ses messages les plus auto-incriminants sur Hackforums, mais il reste résolument ferme dans son affirmation qu’il ne fait pas de DDoS. Qui sait, peut-être que son père le punira et lui retirera ses privilèges Internet.