Aplicatie DOS ce poate pune la pamant 90% din serverele lumii
15
Cei care urmaresc subiectul destul de controversat ce a atras atentia planetei – Wikileaks, probabil au auzit si de faptul ca site-ul este vanat de tot ce tine internet in ziua de astazi. Totusi, subiectul de azi nu trateaza aceasta companie foarte curajoasa ci modul cum au avut de suferit din partea unui om ce se intituleaza „hacktivist”.
„Hacktivist for good. Obstructing the lines of communication for terrorists, sympathizers, fixers, facilitators, oppressive regimes and other general bad guys.”, se descrie th3j35t3r.
Th3j35t3r este cel care a luat asupra sa vina conform careia Wikileaks a avut de suferit in urma cu cateva zile privind stabilitatea site-ului. Practic cei de la Wikileaks au confirmat ca se afla sub un atac DDOS, dar persoana despre care discutam a afirmat ca el a demarat atacul. Nimic neobisnuit pana acum, probabil va ganditi la o armata de zombie controlata de un botnet foarte bine pus la punct. Total gresit!
Conform infosecisland.com The Jester ataca Wikileaks folosind o aplicatie creata de el ce exploateaza o vulnerabilitate foarte grava a serverelor Apache, nemaiavand nevoie de o armata de calculatoare subordonate ce trimit pachete pentru a pune la pamant un site. Astfel, de la un atac DDOS ajungem la un atac coordonat de un singur computer si de o singura persoana – atac DOS.
Conform autorului aceasta aplicatie este inovativa din trei puncte de vedere :
1. Este un atac de tipul Denial of Service (atentie nu Distributed Denial of Service!!)
2. Datorita faptului ca nu conduce o armata de zombie este nedectabil.
3. Se adapteaza in functie de cum reactioneaza serverul pentru a lupta cu atacul.
Second video of XerXes DoS Attack from Infosec Island on Vimeo.
Revenind la punctul doi ce evident atrage atentia, datorita tipului de atac de care discutam problemele pentru interceptarea si blocarea atacului sunt aproape imposibile. La atacurile DDOS, prin nodurile ce se indreapta catre serverul respectiv circula o cantitate neobisnuita de informatii ce ajung sa fie suportate de niste puncte de acces foarte puternice. Uneori aceste pachete ajung sa treaca si prin noduri ce nu sunt obisnuite cu astfel de cantitati de informatii. In aceste situatii, exista foarte mari sanse ca atacurile DDOS sa afecteze temporar(sau chiar permanent) si alte noduri in afara de tinta principala. Astfel, de cele mai multe ori sunt mai multe sanse sa fie depistate atacurile DDOS. Dar in cazul de fata, acest lucru nu mai este valabil pentru ca informatiile circula lejer prin noduri obisnuite, ele incercand sa distruga doar tinta. Curat si rapid.
Mai grav este ca si serverele IIS sunt vulnerabile la aproape aceiasi vectori. Din pacate, The Jester lucreaza (daca nu a si terminat de lucrat) la asta si Xerxes, aplicatia ce a creat-o, va suporta atacuri asupra serverelor Microsoft.
„XerXes requires no zombie network or botnet to be effective. Once a single attacking machine running XerXeS has smacked down a box, it’s down, there is no need for thousands of machines. But, XerXeS does not hurt intermediary nodes along its path to the target. So the answer is that such institutions’ systems would still be intact, as it causes no collateral damage, just not functional.”
Unele voci sustin ca Xerxes este defapt o continuare a unei idei aparute in iunie 2009, Slowloris, care abordeaza niste vulnerabilitati in serverul Apache si il pune la pamant. Totusi aceasta aplicatie creata de The Jester vine cu un sistem mult mai complex si mai periculos. Ramane sa vedem daca aplicatia va fi publicata sau nu. Totusi, conform autorului oricine are fundamente in IT si in programare ar putea crea o aplicatie similara. Asta e si mai grav deoarece daca The Jester va publica vreun document (ceea ce este si probabil avand in vedere profilul sau uman), atunci vor aparea multe probleme pe Internet si cine stie, poate ne vom trezi cu o aplicatie romaneasca de acest gen.
Cand ne putem juca cu aplicatia?
sau poate incercam sa facem una la fel…
Cu astfel de atacuri, APACHE ar trebui sa se gandeasca bine cum sa acopere gaurile folosite de aplicatie.
fain!
@uCip Nu e recomandabil ca o astfel de aplicatie sa fie lansata public. Oricum nu va fi publica nici daca va fi lansata ci va circula probabil prin privatele unor comunitati o perioada lunga.
Restul de 10% sunt interesanti!!!!
@Romeo Cei 10% detin sisteme prea particulare ca sa poata fi luate in calcul. Ei sunt mai greu de atins.
Te rog sa primesti cele mai sincere felicitari din partea mea pentru acest articol !
Multumesc domnule. 🙂
Imi place tipul, are gusturi 🙂
Programul arata bine si si eu sunt un fan al lui Jocker 😆
Imi este greu sa cred ca site-ul Wikileaks a fost atacat (doar) de acest hacker, avand in vedere cantitatea mare de informatii sensibile postata, dar asta e putin offtopic.
Jocul acesta de-a soarecele si pisica va exista intotdeauna: un software ce exploateaza o bresa de securitate importanta apare, afectand un numar mare de calculatoare (in cazul de fata, servere), iar companiile de specialitate descopera o solutie. E drept, in cazul de fata s-ar putea sa fie mai greu, din moment ce nu avem de a face cu un simplu virus, ci cu un atac remote, ce se adapteaza la raspunsurile serverului si este nedetectabil, dar sunt convins ca va fi rezolvat.
Foarte bun articolul, felicitari 🙂
Vorbim de WikiLeaks care este deja un site extrem de mare din toate punctele de vedere si de un atac ce s-a desfasurat pe o perioada indelungata de timp. Cand vezi ca Apache moare bagi rapid un nginx sau un LiteSpeed si pa, la revedere Apache exploit. Un atac DOS ce se foloseste de o singura masina care exploateaza un bug nu prea are sanse sa ajunga la un trafic de 10GB pe secunda. De fapt ar fi total inutil, pentru ca in acest caz nu banda conteaza ci exploitul. Daca s-ar folosi de aceeasi idee ca si SlowLoris, in timp foarte scurt se configura corect serverul si se remedia problema mai ales ca exista pe net solutia. Probabil ca XerXes este in stare sa omoare un server ce ruleaza Apache dar nu a fost principalul vinovat pentru downtime-ul indelungat al WikiLeaks. Ar insemna ca adminul serverelor WL e la nivelul de cunostinte IT al unui copil de 10 ani, ca stiu eu vreo 4 copii de 12 ani care iti fac o configuratie omeneasca la Apache. Greu de crezut.
@2fingers Salutari.
Corect, doar ca tipul s-a laudat ca ar avea si un sistem ce incearca sa lupte cu toate actiuni ulterioare venite din partea administratorului. Oricum, articolul s-a referit la primul val de care s-a izbit Wikileaks. Este si normal sa nu credem ca acestea au fost date toate de aceiasi oameni deoarece zilnic dimensiunea datelor ce le primea Wikileaks in fiecare secunda crestea.
Adevarat este, dar si tu ai spus-o, The Jester este doar un nume folosit in faza iniÈ›iala a atacului. El sau mai bine zis ei sunt ” teroristii buni „.
[…] ddos, d0z.me, DDOS, hacking, scurtator de url, securitate Daca in urma cu ceva timp discutam de atacurile DOS lansate de The Jester asupra Wikileaks, astazi vom discuta de o noua modalitate de a face atacuri DDOS extrem de puternice. In urma cu […]
aplicatia asta nu e asemanatoare cu aplicatia lui TinKode ?
Nu stiu de vreo aplicatie de DOS de-a lui Tinkode, dar aceasta foloseste o vulnerabilitate in serverele Apache. Aplicatia este detinuta doar de th3j35t3r. Cred ca ce a lui Tinkode este pentru un „banal” DOS.
@zmenta Nu, unealta aceasta abuzeaza de stratul 7 intr-un proces de comunicare si exploateaza, asa cum a zis Bogdan, o vulnerabilitate directa din Apache.
@Bogdan Zmenta stie ceva. Tinkode detine o unealta (facuta de el) ce se bazeaza pe niste vulnerabilitati ale unor versiuni de hub-uri. A lui e DDOS, aceasta e DOS pe stratul 7.