Artykuły dotyczące tematu: ataki

dodany: 05.04.2013 | tagi: , , ,

Serwisy www BRE Banku niedostępne

1

Niedawno pisaliśmy o niedostępności stron banku Nordea i odpowiedzialności banku w kwestii komunikacji problemów, a dziś od rana niedostępne są serwisy www BRE Banku (w tym mBank). Na tę chwilę nie ma oficjalnych informacji na temat przyczyn – nie wiemy, czy jest to kolejny z serii atak DDoS, czy po prostu awaria. Wydarzenia z ostatnich dni, które dotknęły Allegro.pl od razu rodzą podejrzenia, że jest to atak, ale nie powinniśmy chyba wyciągać zbyt pochopnych wniosków.

Przedstawiciele mBanku na bieżąco rozwiewają wątpliwości klientów w kwestii wypłat z bankomatów, sesji międzybankowych i działania mLinii – robią to za pośrednictwem portalu społecznościowego Facebook.com. Niestety nie informują o przyczynach problemów ani o planowanym powrocie serwisów.

Informujemy, że obecnie strona informacyjna oraz serwis transakcyjny mBanku mogą być niedostępne. Trwają prace nad jak najszybszym przywróceniem dostępu. Klienci mogą realizować bieżące operacje za pośrednictwem operatów mLinii pod numerem telefonu 801300800 – opłaty za wykonywanie czynności będą zwracane automatycznie. Uprzejmie przepraszamy za utrudnienia.

dodany: 29.03.2013 | tagi: , ,

Jak chronić się przed atakami DDoS

2
DDoS

Wielowarstwowa strategia zabezpieczeń, ochrona serwerów DNS i monitorowanie infrastruktury IT oszczędzą firmom wielu zmartwień i kosztów związanych z atakami typu denial of service.

Ataki DDoS wywodzące się od prostych ataków wywołujących odmowę usługi (ang. denial of service) uruchamianych z jednego komputera – wraz z szybkim rozpowszechnieniem się botnetów – ewoluowały do rangi jednego z największych zagrożeń w sieci. Początkowo, skierowane były w krytyczną infrastrukturę przedsiębiorstw np. w główne serwery DNS. Nieco później, do przeprowadzania ataków wykorzystywano już tysiące maszyn działających w ramach botnetu, które automatycznie generowały ruch w kierunku ofiary, doprowadzając do zablokowania atakowanych usług. Firma Verizon w swoim raporcie z 2012 roku na temat dochodzeń w sprawie utraty danych („2012 Data Breach Investigations Report”) nazwała te ataki „bardziej zatrważającymi niż inne zagrożenia, autentyczne czy tylko wyobrażone”.

Raport przygotowany przez firmę badawczą Stratecast z kwietnia 2012 roku zapowiada wzrost liczby ataków DDoS o 20 – 45 proc. rocznie. Według analityków to obecnie jedne z najbardziej znanych narzędzi używanych przez społeczność hakerów. Często są jednym z elementów kompleksowej strategii ataku, łączącej wiele różnych technik.

Jak wynika z najnowszych badań, ataki DDoS narastają nie tylko pod względem częstotliwości, ale też zajmowanej przepustowości łączy i czasu trwania. Na przykład dekadę temu ataki 50-gigabajtowe trafiały się kilka razy na rok. Teraz do takich ataków dochodzi niemal co tydzień. Dziś hakerzy nie tylko wykorzystują potężne serwery o ogromnej mocy procesorach i przepustowości, ale łączą zaplecze technologiczne z psychologicznymi trikami z zakresu inżynierii społecznej. Coraz bardziej powszechne jest prowadzenie działań DDoS w celu odwrócenia uwagi ofiary i ukrycia innych, bardziej ukierunkowanych ataków. W takiej sytuacji tradycyjne metody zapobiegania atakom DDoS stosowane przez usługodawców okazują się nieskuteczne. Poza tym ataki stają się bardziej inteligentne, bo są teraz lepiej kontrolowane. Zamiast uruchamiać skrypt, zalewając ilością danych, atakujący rozpoczynają operację, a następnie dobierają obiekt oraz typ ataku do oczekiwanego wyniku.

Pewne jest, że ataki DDoS będą stopniowo narastać. Coraz więcej przedsiębiorstw zaprzęga do pracy urządzenia mobilne, a jak zauważył FortiGuard Labs (dział firmy FORTINET zajmujący się badaniami zagrożeń sieciowych), botnety mobilne, jak np. Zitmo, mają wiele cech i funkcji wspólnych z tradycyjnymi botnetami działającymi na komputerach. Zespół FortiGuard Labs przewiduje, że w 2013 roku na światło dzienne wyjdą nowe formy ataków denial of service, wykorzystujące zarówno pecety i urządzenia mobilne.
Z zagrożeniem wiążą się także potężne koszty. Organizacje dotknięte atakami DDoS – zwłaszcza te, których działalność wymaga zapewnienia nieprzerwalności transakcji biznesowych jak bankowość i e-commerce – niezaprzeczalnie poniosą spore straty finansowe. Poza utraconymi przychodami z powodu awarii, firmy będą musiały ponosić koszty związane z analizami IT i odzyskiwaniem danych, utratą wydajności pracy, karami finansowymi za niedotrzymanie umów o poziomie usług oraz narażoną na szwank reputacją marki.

Ewolucja ataków DDoS uwydatnia naglącą potrzebę, by przedsiębiorstwa przyjmowały strategie bezpieczeństwa, które zapewnią im profesjonalną ochronę. Istnieją sposoby, dzięki którym firmy mogą aktywnie zwiększyć poziom zabezpieczenia i ograniczyć ryzyko ataków. Zamiast starać się o całkowitą eliminację wszelkiego ruchu DDoS, strategia walki z tego typu atakami powinna raczej koncentrować się na utrzymaniu usług – szczególnie tych o kluczowym znaczeniu – przy minimalnym poziomie zakłóceń. Aby to osiągnąć, firmy mogą zacząć od oceny swojego środowiska sieciowego i opracowania planu reakcji na zagrożenia. Plan powinien uwzględniać między innymi strategie tworzenia kopii zapasowych i odzyskiwania danych po awarii, dodatkową obserwację oraz metody przywracania usług tak szybko i sprawnie, jak to możliwe.
Trzy najważniejsze kroki, których wymaga aktywna ochrona, to wdrożenie wielowarstwowej strategii zabezpieczeń, ochrona serwerów DNS i innych elementów sieci oraz monitorowanie i utrzymanie kontroli nad infrastrukturą IT.

Wielowarstwowe zabezpieczenia

Kluczowym etapem jest opracowanie i wdrożenie strategii wielowarstwowej ochrony przed atakami DDoS. System powinien zawierać dedykowane narzędzia do ochrony przed atakami DDoS zainstalowane w siedzibie firmy. Warto, by funkcjonalności obejmowały antyspoofing, uwierzytelnianie klientów, określały limity ilości pakietów dla połączeń w różnych warstwach sieciowych, monitorowały ich stan, walidowały zgodność transmisji z RFC dla poszczególnych protokołów, tworzyły wzorzec poprawnej komunikacji będący punktem odniesienia w razie wystąpienia anomalii, a także wspierały białe i czarne listy adresów IP, również w oparciu o ich geolokalizację.

Rozważając zastosowanie specjalistycznych rozwiązań chroniących przed DDoS, organizacje muszą upewnić się, że pozwolą im one nie tylko wykrywać ataki DDoS w warstwie aplikacji i skutecznie blokować typowe lub niestandardowe techniki i wzorce ataków DDoS, ale również będą potrafiły „uczyć się” rozpoznawania zarówno akceptowalnych, jak i nieprawidłowych wzorców ruchu w oparciu o analizowany strumień danych. Takie profilowanie ma ogromne znaczenie, bo pozwala szybciej wykrywać i ograniczać zagrożenia, zmniejszając liczbę fałszywych alarmów.
Aby uzyskać większą sprawność operacyjną, firmy powinny również szukać rozwiązań zabezpieczających przed DDoS, które zapewnią zaawansowane funkcje wirtualizacji i geolokalizacji.

Dzięki wirtualizacji administratorzy mogą tworzyć i nadzorować wiele niezależnych domen bezpieczeństwa za pomocą pojedynczego urządzenia, co pozwala zapobiegać oddziaływaniu ataków realizowanych w jednym segmencie sieci na pozostałe. Mechanizm ten dobrze sprawdza się również podczas obrony – zamiast polegać na jednym zestawie reguł, administratorzy IT mogą z wyprzedzeniem zdefiniować ich więcej, co daje możliwość wykorzystania tych bardziej rygorystycznych w sytuacji, gdy pierwotne zasady okażą się niewystarczające.

Technologie geolokalizacji z kolei pozwalają firmom blokować złośliwy ruch przychodzący z nieznanych lub podejrzanych źródeł zagranicznych. Ogranicza to obciążenia i zużycie energii przez serwery usługowe, eliminując ruch z regionów poza geograficznym obszarem działania firmy.

Ochrona serwerów DNS

W ramach ogólnej strategii bezpieczeństwa organizacje muszą chronić swoje kluczowe zasoby oraz infrastrukturę. Wiele firm utrzymuje własne serwery DNS w celu zapewnienia sobie obecności w Internecie i właśnie ich serwery często są pierwszym celem ataków DDoS. Po uderzeniu w serwery DNS atakujący mogą łatwo sparaliżować operacje sieciowe organizacji poprzez blokadę jej usług.

Monitorowanie i utrzymywanie kontroli nad infrastrukturą

Zmieniający się charakter ataków DDoS wymaga od przedsiębiorstw wykazania się znacznie większą dalekowzrocznością i bardziej proaktywną ochroną. Istotne jest opracowanie planu postępowania na wypadek ataku i ocena infrastruktury sieciowej pod kątem reakcji na ewentualny atak. Firmy muszą zacząć od wzmocnienia obrony głównych serwerów i nadania priorytetów danym.

Organizacje muszą zachowywać czujność i monitorować swoje systemy przed atakiem, w jego trakcie, a także już po nim. To żadna tajemnica, że posiadanie pełnego obrazu środowiska IT pozwala administratorom wykrywać odchylenia od normy w ruchu sieciowym i szybko ujawniać ataki. Taka analiza zapewnia informacje i możliwości analityczne potrzebne do wdrażania odpowiednich środków minimalizacji ryzyka i zapobiegania zagrożeniom. Najlepsze zabezpieczenia obejmują ciągłe i zautomatyzowane monitorowanie poprzez system alertów, które pozwalają na reakcję w razie wykrycia ruchu DDoS.

Ważne jest posiadanie precyzyjnego systemu monitorowania i kontroli w całej sieci. Pomaga to administratorom dotrzeć do źródeł ataku i blokować ruch nadmiarowy, umożliwiając jednocześnie swobodny przepływ danych produkcyjnych. Taki system daje również możliwość prowadzenia dogłębnych analiz w czasie rzeczywistym oraz przeglądania danych historycznych. Co istotne, zaawansowane techniki śledzenia ataków mogą umożliwić zidentyfikowanie ich adresów źródłowych, co w konsekwencji pozwala na kontakt z administratorem odpowiedniej sieci.

Na nowo skupić się na biznesie

Ataki DDoS – podobnie jak inne zagrożenia bezpieczeństwa – będą ewoluować, stając się coraz bardziej nieprzewidywalne. Podlegająca ciągłym modyfikacjom natura technologii DDoS będzie wymagała, by firmy dokonywały zmiany podejścia do zagrożeń, wykazując się większą dalekowzrocznością i korzystaniem z bardziej aktywnych zabezpieczeń.

Dlatego organizacje już dziś muszą udoskonalać swoje plany reagowania awaryjnego i oceniać odporność własnej infrastruktury sieciowej na zagrożenie atakami DDoS. Muszą też zacząć wzmacniać zabezpieczenia kluczowych serwerów i szeregować dane względem ważności. Co więcej, konieczne jest wdrażanie rozwiązań służących do zarządzania i monitorowania, które zapewnią im całościową wiedzę o wszystkich zakamarkach własnej sieci. Wreszcie administratorzy IT powinni mieć możliwość implementowania niezawodnych zabezpieczeń, które szybko zidentyfikują źródło zagrożenia, zminimalizują oddziaływanie ataku i przywrócą działanie usług tak szybko, jak to możliwe.

Tylko w ten sposób firmy będą mogły przestać obawiać się paraliżujących ataków DDoS i w pełni skupić się na swojej działalności.

dodany: 04.10.2012 | tagi: , , , ,

Internet zwalnia w Iranie

0

Hakerzy przerwali dostęp do Internetu w różnych częściach Islamskiej Republiki Iranu po ataku na szereg firm związanych z infrastrukturą i komunikacją.

 Wczoraj mieliśmy ciężki atak na firmy związane z infrastrukturą i telekomunikacją, która zmusiła nas do ograniczenia Internetu

 – podał agencji Reuters sekretarz Najwyższej Rady ds. Cyberprzestrzeni, Megdi Akhavan Behabadi.

Urzędnicy dalej twierdzą, że Internet działa pod ciągłymi, zorganizowanymi cyberatakami, które za cel obrały sobie krajowe sieci informatyczne, paliwowe i nuklearne. Wczorajsze ataki przytłoczyły infrastrukturę irańskiego Internetu kilkoma gigabajtami ruchu, co z kolei spowodowało nieprawidłowości i spowolnienie prędkości Internetu w kraju.

Ten incydent to jeden z długiej listy ataków na Republikę Islamską. Od dawna spekuluje się, że Izrael, USA i kilka innych krajów zachodnich jest odpowiedzialne za te ataki w odpowiedzi na irański program nuklearny. Wczorajszy atak nie jest w stanie zwrócić uwagi mediów na więcej niż minutę, ale jednak podkreśla surowe, geopolitycznie zmotywowane cyberataki, które zaczynają być codziennością. I Iran nie jest jedyną ich ofiarą.

Znana już grupa Izz ad-Din al-Qassam Cyber Fighters znalazła nowy cel ataków – Saudi Aramco. Wg grupy reżim al-Sauda wykorzystuje ogromne dochody z konglomeratu ropy do gnębienia osób w krajach na całym świecie.

Dannis Fisher z threat post pisze o pojawieniu się doniesień o ostrzeżeniach, które publikuje Google dla swoich użytkowników, którzy mogą stać się celem ciągłej, sponsorowanej kampanii ataków.

 

dodany: 09.08.2012 | tagi: ,

Strony nepalskiego rządu zaatakowane przez wirus

0

Researcherzy odkryli kolejny atak wykorzystujący słabość Javy do ataku na aktywistów i agencje rządowe w Nepalu. Atak zakończył się zainstalowaniem na komputerach ofiar backdoora.

Dwie nepalskie rządowe agencje – National Information Technology Center i Office of the Prime Minister and Council Minister – zostały zaatakowane. Informację o ataku zamieścił na blogu Websense Security Labs, researcher bezpieczeństwa w Websense, Gianluca Giuliani. Atakujący do zainfekowania stron agencyjnych użyli złośliwego kodu, stworzonego do wykorzystywania luk w Java Runtime Environment. Kod powstał z modułu Metasploit.

Kiedy kod został wyzwolniony, na maszynach ofiar zainstalował się backdoor o nazwie Zegost. Zegost jest powszechnym, zdalnym narzędziem administracyjnym i wykorzystuje: śledzenie ruchów na klawiaturze (keyloggery), zdalne pisanie kodu, a także kradzież i transfer danych. Backdoor w atakach na nepalskie strony rządowe posłużył do otworzenia i przesłania danych do zdalnego serwera command-and-control, który jest umieszczony w domenie „who.xhhow4.com” zlokalizowanej w Chinach, powiedział Giuliani.

„Tak jak w innych przypadkach możemy stwierdzić, że backdoor nie jest wysoce skomplikowany, ale z pewnością powoduje równie groźne skutki, co inne rodzaje złośliwych oprogramowani atakujących systemy”

– napisał Giuliani.

Taka sama słabość Javy (CVE-2012-05070) została użyta podczas poprzednich ataków przeciwko Amnesty International i Instytutowi Międzynarodowych Studiów Bezpieczeństwa (National Security Studies) w Izraelu, powiedział Giuliani. We wszystkich trzech atakach użyty został kod pobrany z frameworku Metasploit. Jednakże warte zanotowanie jest to, że domena xhhow4.com w przypadku ataku Amnesty, również umieszczona była na serwerze C&C.

Zegost był użyty także do ataków na Uyghurs, Tibetans i inne etniczne grupy w Zachodniej i Centralnej Azji, jak twierdzi AlienVault.

Metoda infekcji polega na podobnym działaniu. Atakujący najpierw uszkadzają stronę a potem wprowadzają złośliwy kod, wykorzystując do tego zwykłą lukę. Główna strona została zainfekowana przez Java JAR file loader, który następnie starał się wykorzystać lukę w Javie. Następnie shellcode zainstalował i uruchomił „Tools.exe”, który tak naprawdę był Zegostem.

Backdoor na zainfekowanym systemie używa lokalnego portu 1320, by łączyć się z serwerem C&C do portu 53, co jest trochę nietypowe. Nawet jeśli port 53 jest zarezerwowany dla transferu DNS Zone, ruch przez port używa własnego protokołu.

Co ciekawe, zainstalowane oprogramowanie było podpisane ważnym certyfikatem od VeriSign. Złośliwy kod podpisany rzetelnymi certyfikatami jest trendem, który widać w przypadku innych docelowych ataków.

dodany: 02.08.2012 | tagi: , , ,

Apokalipsa z sekundą przestępną w roli głównej

0

Jak się okazuje, jedna sekunda może sprawić wiele problemów. Zwłaszcza, jeśli jest to sekunda przestępna, nazywana też skokową (ang. leap, czyli skok). Jest to dodatkowa sekunda, dodawana czasem po to, aby uniwersalny czas był jak najbliższy czasowi słonecznemu. Ostatnia sekunda skokowa dodana została 30 czerwca 2012 roku, o godzinie 23:59:60 UTC.

Daty dodawania sekund przestępnych określa Międzynarodowa Służba Ruchu Obrotowego Ziemi i Systemów Odniesienia (ang. International Earth Rotation and Reference Systems Service, w skr. IERS). Zazwyczaj informacja o zmianie pojawia się z wyprzedzeniem.

Systemy informatyczne, operacyjne czy oprogramowanie, zwykle przewidują możliwość wystąpienia sekundy skokowej. Potrafi to także Network Time Protocol (NTP).

Jakie było zdziwienie kilku administratorów serwera Linuxa, którzy odkryli, że 1 sierpnia kilka serwerów NTP transmitowało błędny sygnał czasowy z nową przestępną sekundą, co miało wpływ na wiele serwerów, nieprzygotowanych na zmianę czasu.

(więcej…)

dodany: 01.08.2012 | tagi: , ,

Tydzień po ogromnym DDoS Demonoid ciągle M.I.A.

0

Demonoid – jedna z największych stron torrentowych jakie istnieją, 25 lipca tego roku została zdjęta przez ogromny atak DDoS.

Minął tydzień, strona jest ciągle zdjęta, jednak administrator potwierdza prowadzenie prac nad jej przywróceniem.

Najsłynniejszy tracker BitTorrenta jest zdjęty już od dokładnie 7 dni. Strona najpierw pokazywała informację o zajętych serwerach, a potem przeszła w wyświetlanie błędu 404.

Społeczność Demonoida wspiera go w tych mrocznych i niepewnych czasach. Wiele osób pomaga administratorowi strony w różnych problemach technicznych. Podano także informację, że w pracach nad przywróceniem Demonoida nastąpił przełom.

Najprawdopodobniej Demonoid powróci jeszcze w tym tygodniu.

dodany: 27.07.2012 | tagi: , , , ,

Nowy rodzaj ataku może siać spustoszenie na telefonach z Androidem i iOS

1

Jeśli używasz telefonu z Androidem lub iOS i łączysz się za pomocą Wi-Fi z Microsoft Exchange Server (MES), podpisanego certyfikatem self-signed, możesz być narażony na ataki.

Samodzielnie podpisane certyfikaty są obecnie często stosowane do zabezpieczania wielu usług sieciowych. Jako że są łatwe do wygenerowania przez użytkowników, zdarzają się pomyłki, jak np. wygenerowanie dwóch, tak samo podpisanych, certyfikatów. Certyfikaty self-signed mogą stać się też przyczyną ataków na telefony z Androidem bądź iOS. Obecnie, jeśli łączymy się za ich pomocą z serwerem pocztowym Microsoft Exchange, chronionym za pomocą certyfikatu SSL self-signed, możemy zostać połączeni z nim nawet wtedy, gdy będzie podpisany sfałszowanym certyfikatem. A wtedy już krok od katastrofy.

Specjaliści twierdzą, że przyczynę tego stanowi nieprzystosowanie urządzeń mobilnych do radzenia sobie z SSL-ami. Producenci powinni zadbać o to, aby użytkownicy na ekranach swoich telefonów mogli zobaczyć informację, że nie mogą połączyć się z serwerem ME, ponieważ jest podpisany za pomocą sfałszowanego/błędnego certyfikatu SSL.

Badacz bezpieczeństwa, Peter Hannay, opracował atak z użyciem Wi-Fi i nieautoryzowanego serwera z certyfikatem self-signed. Stwierdził, że urządzenia, które na ogół regularnie łączą się z serwerem Microsoft Exchange, mogą bez problemu połączyć się z serwerem-oszustem, który następnie może przechwycić wszystkie informacje, jakie użytkownik przesyła do serwera pocztowego (a przynajmniej tak mu się wydaje).

Certyfikaty SSL w serwerach Exchange stosuje się po to, by uniemożliwiać ataki typu man-in-the-middle. Urządzenia mobilne są zaprogramowane tak, aby łączyć się z serwerami ME tylko wtedy, gdy wykryją, że są one podpisane certyfikatem za pomocą klucza kryptograficznego poświadczającego autentyczność usługi. Czasem jednak zdarzają się wypadki.

Urządzenia z Androidem, które łączą się z serwerem pocztowym Exchange, podpisanym certyfikatem self-signed, mogą połączyć się z nim za każdym razem, nawet jeśli certyfikat SSL został sfałszowany lub zawiera nieprawdziwe dane. Testy na urządzeniach z iOS wypadły trochę lepiej. Telefony od Apple’a mogą wygenerować odpowiednie ostrzeżenie, ale nie uniemożliwiają użytkownikom dalszych ruchów.  W przeciwieństwie do telefonów Microsoft Windows, które pokazują błąd i odmawiają jakiejkolwiek transmisji danych do serwera pocztowego.

A może być naprawdę groźnie.

Według skryptu, który napisał Hannay, podczas łączenia się telefonu z nieautoryzowanym serwerem pojawia się komenda zdalnego usunięcia zawartości i przywrócenia wszystkich ustawień fabrycznych. Złośliwi hakerzy mogą wykorzystać błąd do kradzieży danych użytkowników, służących np. do logowania się do ich kont. „To naprawdę proste” – dodał Hannay.

Zagrożenie jest o tyle poważne, że w wielu, zwłaszcza mniejszych przedsiębiorstwach, zamiast certyfikatów wydawanych przez zaufane centra certyfikacji, używa się wciąż uwierzytelnienia tego typu.

Źródło: http://bit.ly/OY5F66

dodany: 25.07.2012 | tagi: , ,

Dwuletni trojan zaatakował japoński rząd

0

Japoński rząd odkrył zaawansowany atak trojana, który mógł działać niewykryty przez ponad dwa lata i zbierać poufne dane.

Minister Finansów powiedział lokalnemu serwisowi wiadomości, że pierwsza infekcja pojawiła się w styczniu 2010, a ostatnia w listopadzie 2011, po czym ataków nagle zaniechano.

Groźny trojan odkryty został dopiero w ostatnich tygodniach, podczas przeprowadzania audytu bezpieczeństwa ministerialnego systemu IT. Według raportu, na 2000 maszyn aż 123 były zainfekowane. Minister Katsuya Okada czeka na kolejny raport – chce dowiedzieć się jak dokładnie zostały zaatakowane komputery. Kolejnym krokiem będzie wymiana dysków na wszystkich dotkniętych problemem komputerach.

dodany: 24.07.2012 | tagi: , ,

Anonymous podmienia Australijskie strony WWW

0

Grupa „Anonymous” twierdzi, że podmieniła kilka stron rządowych (m.in. Ministerstwa Ekonomii, Zatrudnienia i Innowacji) w stanie Queensland (Australia) w proteście przeciwko australijskiej polityce w zakresie przechowywania danych.

Operacja jest „potwierdzona” przez @Op_Anonymous na Twitterze:

Prawo, przeciwko któremu walczą, zapewnia rządowi możliwość gromadzenia dwuletnich danych o obywatelach i przedsiębiorstwach oraz łatwiejszy dostęp do sieci społecznościowych bez zgody użytkownika w imię bezpieczeństwa narodowego.