Ataki DDoS zaczynają charakteryzować się coraz większą mocą – z nowego raportu Kaspersky Lab wynika, że w drugiej połowie 2011 r. siła przeciętnego ataku była o 57% większa niż na początku ubiegłego roku. W wynikach swojego badania eksperci z firmy przedstawiają także informacje o krajach, w których występuje najwięcej zainfekowanych komputerów zombie, wykorzystywanych do przeprowadzania takich ataków.

Ataki DDoS są często przeprowadzane w ramach protestu, jednak stanowią także wysoce skuteczne narzędzie wywierania presji na konkurencję. Nie jest zatem dziwne, że najczęstszym celem były strony takie jak sklepy online, aukcje i witryny z ogłoszeniami – serwisy z tego segmentu padły ofiarą 25% wszystkich zarejestrowanych ataków. Stopniowo wzrasta również odsetek ataków na strony rządowe – w drugiej połowie 2011 r. wyniósł on 2%.

Z danych uzyskanych z systemu Kaspersky Lab służącego do monitorowania sieci zainfekowanych komputerów wynika, że najdłuższy atak DDoS zarejestrowany w drugiej połowie 2011 r. był aktywny przez 80 dni, a czas trwania średniego ataku to aż 9,5 godziny.

Najpopularniejszym rodzajem ataków okazał się HTTP Flood. Polega on na wysłaniu do atakowanej strony dużej liczby jednoczesnych żądań HTTP, przy czym zainfekowane komputery wykorzystywane przez agresorów próbują uzyskać dostęp do jednej strony serwisu, atakować formularze uwierzytelnienia lub przeprowadzać liczne próby pobrania pliku ze strony.

Lista krajów, w których działa najwięcej aktywnych komputerów zombie wykorzystywanych podczas ataków DDoS,
II połowa 2011 r. (źródło: Kaspersky Lab) W analizowanym okresie sześciu miesięcy systemy Kaspersky Lab wykryły ataki na komputery w 201 państwach na całym świecie, jednak 90% całego ruchu DDoS pochodziło z 23 państw. Na czele znalazły się Rosja, Ukraina oraz Tajlandia. W Polsce działa aż 4 proc. wszystkich aktywnych komputerów zombie z całego świata, co wystarczyło do zajęcia niechlubnego 6 miejsca w rankingu. Dane te dowodzą, że wielu polskich użytkowników komputerów ciągle nie dba o bezpieczeństwo swoich systemów. Można przypuszczać, że w większości przypadków użytkownicy nie mają świadomości, że ich komputery są narzędziami w rękach cyberprzestępców.

Mimo że techniki stosowane w ramach ataków DDoS są stosunkowo proste, analitycy zauważyli odejście od konwencjonalnych metod obejmujących generowanie dużego ruchu sieciowego na rzecz wykorzystywania znacznych zasobów sprzętowych na atakowanym serwerze. Pozwala to przeprowadzić skuteczne ataki DDoS przy minimalnym wysiłku ze strony osoby atakującej, tj. bez konieczności wykorzystywania dużych sieci zainfekowanych maszyn.

"Jest to zupełnie logiczny postęp - duże botnety zwracają uwagę firm i osób, których wysiłki koncentrują się na walce z atakami DDoS, jak również organów ścigania, przez co mogą wydawać się mniej atrakcyjne dla cyberprzestępców. Z tego powodu w 2012 r. prawdopodobnie nie będziemy obserwować dużych sieci zainfekowanych komputerów. Nasze radary będą wykrywały głównie średnie botnety, które będą miały wystarczającą moc, aby odciąć od internetu przeciętną stronę" - tłumaczy Jurij Namiestnikow, starszy analityk szkodliwego oprogramowania, Kaspersky Lab.

Druga połowa 2011 r. w liczbach

  • W drugiej połowie 2011 roku maksymalna moc ataku odpartego przez system Kaspersky DDoS Prevention zwiększyła się o 20% w porównaniu z pierwszą połową analizowanego roku i wynosiła 600 Mbit/s, lub 1 100 000 pakietów/sek (atak typu UDP flood o krótkich pakietach o rozmiarze 64 bajty).

  • Średnio ataki blokowane przez Kaspersky DDoS Prevention w drugiej połowie 2011 roku miały siłę 110 Mbit/s – co stanowi wzrost o 57%.

  • Najdłuższy atak DDoS w analizowanym okresie trwał 80 dni 19 godzin 13 minut i 5 sekund, a jego celem był serwis biura podróży.

  • Średnia długość trwania ataku DDoS wynosiła 9 godzin i 29 minut.

  • Największa liczba ataków DDoS w drugiej połowie 2011 roku – 384 – została odnotowana przez portal cyberprzestępczy.

  • Ataki DDoS zostały przeprowadzone z komputerów zlokalizowanych w 201 państwach na całym świecie.

Wydarzenia 2011

Finanse: Ataki DDoS na giełdy

Robienie interesów na rynku akcji i papierów wartościowych to spore wyzwanie: uczestnicy muszą potrafić analizować aktualną sytuację, przewidywać, w jakiej kondycji znajdzie się cały rynek oraz firmy, których udziałami są zainteresowani, oraz szybko reagować na wiadomości z ostatniej chwili. To wszystko wymaga szybkiego dostępu do najnowszych informacji. Jeżeli jednak ktoś potrafi „przeskoczyć kolejkę” i postarać się, aby zawsze mieć informacje jako pierwszy, może zagwarantować sobie spory zysk. Jednym ze sposobów wyprzedzenia konkurencji jest zorganizowanie ataków DDoS, tak jak miało to miejsce pod koniec lata 2011 roku.

10 sierpnia przeprowadzono atak DDoS na portal giełdy papierów wartościowych w Hong Kongu. Co ciekawe, osoby atakujące nie obrały za cel głównej strony giełdy, ale tę, na której publikowane są ważne ogłoszenia największych graczy na rynku. W efekcie, trzeba było zawiesić handel akcjami siedmiu firm, łącznie z HSBC, Cathay Pacific, China Power International. Strona pozostała offline przez kolejny dzień, przez co zawieszono również handel pozycjami zależnymi. Oszacowanie poniesionych z tego tytułu strat i osiągniętych zysków jest praktycznie niemożliwe; nie ma jednak wątpliwości, że ktoś próbował zarobić pieniądze na tym zakłóceniu.

Naturalnie, atak został zrealizowany przy użyciu botnetu, a zatem znalezienie winnego w takich okolicznościach nie jest łatwe. Mimo to organy ścigania w Hong Kongu wszczęły zakrojone na szeroką skalę dochodzenie. Na decyzji tej zaważył potencjalny wpływ ataku na reputację HKEX, która jest piątą pod względem wielkości giełdą na świecie, oraz fakt, że przez giełdę akcji i papierów wartościowych przepływa mnóstwo pieniędzy. W przeciągu dwóch tygodni poinformowano o aresztowaniu mężczyzny pod zarzutem zorganizowania ataku. Aresztowany 29-latek okazał się biznesmenem grającym na giełdzie. Grozi mu do pięciu lat więzienia za przeprowadzenie ataku DDoS – sporo czasu na zastanowienie się nad innymi, bardziej legalnymi strategiami biznesowymi.

Ataki DDoS i protesty polityczne

Grupa Anonymous znów trafiła do czołówek gazet. Po incydencie, w którym policja użyła gazu łzawiącego oraz gumowych kul przeciwko protestującym w ramach poparcia ruchu Occupy Wall Street, zorganizowano nową kampanię o nazwie Occupy Oakland. Na skutek ataku DDoS przeprowadzonego w ramach tej kampanii przestała działać strona policji w Oakland, a w internecie zostały opublikowane poufne dane policyjne.

Następnie Anonimowi zaatakowali strony rządowe w Salwadorze. Była to reakcja tego ugrupowania na zarzuty wobec władz tego kraju o łamanie licznych praw człowieka.

Po tym, jak służby izraelskie przechwyciły zbliżający się do wybrzeży Gazy okręt z pomocą humanitarną, członkowie grupy Anonymous opublikowali w serwisie YouTube klip wideo, w którym ostrzegli przed przygotowywanymi przez siebie atakami protestacyjnymi. Dwa dni później strony izraelskich Sił Obronnych oraz służb wywiadowczych Mossad oraz Shen Bet były niedostępne w Sieci. Jednak rząd izraelski nie potwierdził, że padł ofiarą ataku Anonymous, oświadczając, że powodem niedostępności stron były problemy z serwerami.

Chociaż działania Anonymous odbiły się szerokim echem, grupa ta nie przyjmuje odpowiedzialności za wszystkie głośne ataki polityczne. We wrześniu nieznani cyberprzestępcy przeprowadzili atak DDoS na rosyjską ambasadę w Londynie. Incydent ten miał miejsce dzień przed wizytą brytyjskiego premiera w Moskwie, która najwidoczniej wywołała niezadowolenie atakujących.

Ataki DDoS a małe przedsiębiorstwa

W drugiej połowie 2011 r. miały miejsce dwie wielkie fale ataków DDoS na strony biur podróży. Pierwsza z nich nastąpiła w okresie letnich wakacji, gdy wielu użytkowników aktywnie poszukuje ofert wypoczynku nad morzem. (Również w tym czasie cyberprzestępcy zlecili ataki DDoS na strony oferujące sprzedaż lub wynajem apartamentów w ośrodkach wypoczynkowych zlokalizowanych przy plaży).

Druga fala ataków przypadła na okres Świąt Bożego Narodzenia oraz Nowego Roku. Tym razem większość zaatakowanych stron oferowała świąteczny wypoczynek.

Wśród ofiar nie znalazł się żaden duży touroperator. Celem wszystkich tych ataków DDoS były agencje turystyczne. Warto zauważyć, że na rynku działa znacznie więcej agencji niż operatorów, a zatem konkurencja między tymi pierwszymi jest znacznie bardziej zacięta.

Liczba ataków na strony agencji turystycznych była pięciokrotnie wyższa w sezonie niż poza nim. Można powiedzieć, że strony zaatakowane podczas letniej i zimowej fali padły ofiarą tzw. „uderzeń kontraktowych” stosowanych w ramach cyberwojny między agencjami turystycznymi. To oznacza, że konkurencja w branży turystycznej jest tak ostra, że niektórzy gracze zrobią wszystko, aby zdobyć klientów.

Warto wspomnieć, że w drugiej połowie roku nastąpił gwałtowny wzrost liczby ataków na strony oferujące rezerwację taksówek lub usługi napełniania kartridżów do drukarek. Usługi te były również reklamowane przy pomocy wysyłek masowych. Wygląda na to, że firmy zamawiające takie wysyłki masowe mają powiązania z właścicielami botów i to właśnie one prawdopodobnie zamawiają ataki DDoS skierowane przeciwko stronom swojej konferencji.

Zbrodnia i kara

W październiku miał miejsce ciąg dalszy historii ataków DDoS przeprowadzonych na serwis płatniczy ASSIST. Paweł Wrublewski, właściciel ChronoPay oraz główny podejrzany o przeprowadzenie tych ataków, przyznał się do ich zorganizowania. Czytelnicy być może pamiętają, że ataki te zakłóciły sprzedaż biletów online Aeroflot, największych rosyjskich linii lotniczych.

Wygląda na to, że właściciel ChronoPay chciał zdyskredytować konkurencyjne serwisy i poprzez ataki DDoS zrazić do ASSIST solidnych klientów, takich jak Aeroflot, a tym samym zwiększyć i tak już duży udział swojej firmy (40%) w rynku obsługi płatności. Atak rozpoczął się 16 lipca 2010 r.; zaledwie tydzień po zamknięciu Aeroflot zdołał przywrócić sprzedaż biletów online. Jednak działania podjęte przez ASSIST nie uchroniły tej firmy przed utratą ważnego klienta – Aeroflot ostatecznie zawarł umowę z Alfa Bank.

Pawłowi Wrublewskiemu postawiono zarzuty z artykułu 272 i 273 Rosyjskiego Kodeksu Kryminalnego i grozi mu do siedmiu lat pozbawienia wolności.

Organy ścigania zajęły się również niektórymi członkami grupy Anonymous. Haktywiści zostali aresztowani we Włoszech, w Turcji, Hiszpanii, Szwajcarii, Wielkiej Brytanii oraz Stanach Zjednoczonych. Wytropienie osób uczestniczących w atakach przy użyciu narzędzia LOIC (Low Orbit Ion Canon) o otwartym źródle okazało się proste. Narzędzie to zostało rozwinięte, bez szkodliwych intencji, w celu stworzenia obciążenia testowego na serwer sieciowy. Dlatego nie zawiera żadnych funkcji ukrywania adresów, z których pochodzą ataki, co oznacza, że można przeglądać logi oraz skontaktować się z właściwymi dostawcami usług internetowych. W innych przypadkach, wytropienie haktywistów może wcale nie być takie proste. Naiwnością byłoby jednak spodziewać się, że sprawcy mogą uniknąć kary za ataki DDoS i włamania, których celem padły strony rządowe. Warto wspomnieć, że średni wiek aresztowanych wynosi 20 lat.

Skuteczna walka z botnetami wymaga ścisłej współpracy między organami ścigania, producentami rozwiązań antywirusowych oraz twórcami oprogramowania.

Wewnętrzne konflikty między cyberprzestępcami

Ataki DDoS to nie tylko narzędzie nieuczciwej konkurencji nie tylko na tradycyjnym rynku fizycznych towarów i usług, ale również w ciemnym światku cyberprestępczości. Ponieważ wszystkie operacje cyberprzestępcze odbywają się w internecie, ataki DDoS stanowią bardzo skuteczne narzędzie wywierania presji na konkurencję.

W drugiej połowie roku najwięcej ataków (384) przeprowadzono na serwis służący do sprzedaży podrabianych dokumentów. Najczęściej do ataków DDoS uciekają się najczęściej carderzy i ich koledzy: boty atakują fora, na których omawiane są podobne tematy, jak również strony, na których sprzedawane są dane osobowe posiadaczy kart. Kolejną popularną grupą ofiar ataków DDoS stanowią strony oferujące tzw. hosting typu „bullet-proof” oraz usługi VPN dla cyberprzestępców. Świadczy to o zaciętej konkurencji między cyberprzestępcami oraz sugeruje, że mają oni wolny dostęp do botnetów DDoS.

Nowe techniki w atakach DoS/DDoS

Google+

Pod koniec sierpnia włoski badacz Simone «ROOT_ATI» Quatrini z AIR Sicurezza Informatica podał podał na blogu IHTeam Security dwa specjalne serwisy URL Google+, przy pomocy których cyberprzestępcy mogą wykorzystywać serwery Google’a do przeprowadzania ataków DDoS na dowolną stronę: : https://plus.google.com/_/sharebox/linkpreview/ oraz https://images2-focus-opensocial.googleusercontent.com/gadgets/proxy? Pierwszy jest narzędziem służącym do podglądu stron internetowych, natomiast drugi to gadżet pozwalający wykorzystywać odsyłacze i przechowywać kopie pamięci cache plików na serwerach Google’a. Wykorzystując oba te narzędzia, można wysłać parametr w adresie URL zawierający odsyłacz do dowolnego pliku zlokalizowanego na atakowanej stronie. Serwery Google’a zażądają tego pliku, a następnie prześlą go użytkownikowi, tj. będą działały jak proxy. Automatyczne narzędzia (takie jak skrypt) mogą zostać wykorzystane do wysłania wielu takich żądań; jeżeli pomnożymy je przez przepustowość internetu szerokopasmowego Google’a z pewnością będzie można mówić o ataku DDoS HTTP na stronę ofiary. Badacz zauważył, że metoda ta pozwala osobie atakującej zachować anonimowość. Jednak w przypadku wykorzystania drugiego adresu URL, adres IP osoby atakującej jest wysyłany do żądanej strony w polu żądania HTTP, dlatego atak z określonego adresu IP może zostać łatwo zablokowany przez atakowany serwer.

Po wysłaniu opisów tych „luk” zespołowi odpowiedzialnemu za bezpieczeństwo w firmie Google, zamknęła ona pierwszą stronę /_/sharebox/linkpreview/, jednak drugą, gadgets/proxy?, pozostawiła niezmienioną. Najwyraźniej, twórcy serwisu nie sądzili, że możliwość wykorzystania tej strony do przeprowadzenia ataku DDoS będzie stanowić poważny problem, ponieważ tego rodzaju atak można łatwo odeprzeć. Publiczne usługi prawdopodobnie nigdy nie będą powszechnie wykorzystywane jako narzędzia do przeprowadzania ataków DDoS, ponieważ, jak tylko zostaną zidentyfikowane, tego rodzaju luki zostaną szybko usunięte przez dostawców usług.

THC-SSL-DOS

Ostatnio analitycy coraz bardziej zwracają uwagę na możliwości skutecznego przeprowadzenia ataku DDoS przy minimalnym wysiłku ze strony osoby atakującej, tj. bez wykorzystania dużych botnetów. Może to zwiastować odejście od konwencjonalnych ataków DDoS z wykorzystaniem dużego ruchu na rzecz ataków, które prowadzą do wykorzystywania dużych zasobów na atakowanym serwerze. Opisany poniżej rodzaj ataku doskonale wpisuje się w ten model.

W październiku niemiecki zespół analityków The Hacker's Choice wypuścił nowe oprogramowanie „proof-of-concept” do przeprowadzania ataków DoS na serwery sieciowe wykorzystując charakterystykę protokołu SSL. Przy użyciu nowego narzędzia o nazwie THC-SSL-DOS jeden zwyczajny komputer PC może pozwolić na całkowite zablokowanie przeciętnie skonfigurowanego serwera, jeżeli obsługuje on renegocjację SSL. Opcja ta pozwala serwerowi na stworzenie nowego tajnego klucza na bazie istniejącego połączenia SSL. Mimo, że jest rzadko wykorzystywana, opcja ta jest w większości serwerów włączona domyślnie. Ustanowienie bezpiecznego połączenia i przeprowadzenie renegocjacji SSL wymaga znacznie większych zasobów po stronie serwera niż po stronie klienta. Ta asymetria zostaje odpowiednio wykorzystana: jeżeli klient wysyła dużą liczbę żądań renegocjacji SSL, zostają obciążone zasoby serwera.

Należy zauważyć, że nie wszystkie serwery sieciowe są podatne na tego typu ataki: niektóre z nich, takie jak serwer IIS, nie obsługują renegocjacji SSL inicjowanej przez klienta. Ponadto, serwery sieciowe mogą wykorzystywać akcelerację SSL w celu ochrony serwera sieciowego przed nadmiernym obciążeniem.

Niektórzy producenci oprogramowania nie dostrzegają poważnego problemu w powyższej metodzie ataku. Jeżeli opcja renegocjacji SSL nie może zostać całkowicie wyłączona, zalecają ustawienie reguł ad-hoc w celu przerwania połączeń z klientami, którzy żądają renegocjacji SSL więcej razy niż wynosi limit w określonym przedziale czasowym.

Twórcy programu utrzymują, że nawet jeżeli serwer nie obsługuje renegocjacji SSL, wciąż może zostać zaatakowany przy użyciu zmodyfikowanej wersji ich programu. W tym przypadku duża liczba połączeń TCP jest ustanawiana dla każdego nowego SSL handshaking; jednak skuteczny atak może wymagać większej liczby botów.

Autorzy utrzymują, że opublikowali to narzędzie, aby zwrócić uwagę na „wątpliwe bezpieczeństwo SSL". Oto, co piszą na swoim blogu: „Branża powinna podjąć działania w celu rozwiązania tego problemu, tak aby obywatele znów czuli się bezpieczni. Metoda ochrony prywatnych danych wykorzystywana przez SSL jest złożona, niepotrzebna i nieadekwatna dla 21 wieku”.

Apache Killer

W sierpniu wykryto krytyczną lukę w popularnym serwerze WWW Apache HTTPD, która pozwalała cyberprzestępcom wyczerpać zasoby serwera poprzez niewłaściwe przetwarzanie nagłówka HTTP „Range: Bytes”. Pole to pozwala klientowi na stopniowe pobieranie plików poprzez stosowanie określonych zakresów bajtów. Podczas przetwarzania dużej liczby zakresów Apache zużywa dużo pamięci, stosując do każdego zakresu kompresję zip. Może to prowadzić do awarii serwisu, chyba że konfiguracja serwera sieciowego ogranicza przydzieloną do tego procesu pamięć. Podatne na ataki wersje Apache to wersje 2.0.x, łącznie z 2.0.64 oraz 2.2.x, w tym 2.2.19.

Apache poinformował również, że atak DoS był aktywnie wykorzystywany przy użyciu szeroko rozpowszechnionego w Internecie skryptu PERL. Specjaliści ds. bezpieczeństwa zalecili, aby do momentu wypuszczenia łaty bezpieczeństwa administratorzy systemu wprowadzili określone ustawienia w konfiguracjach serwera, które pomogłyby wykryć żądania wielu zakresów, a w efekcie zignorowanie pola „Zakres” lub odrzucenie całego żądania.

Obecnie luka ta została załatana w wersjach 2.2.20 i 2.2.21; jednak wersja 2.0.65 z uaktualnieniami bezpieczeństwa nie została jeszcze opublikowana.

Podatne na ataki tablice mieszające

W 2003 roku naukowcy z Rice University opublikowali artykuł zatytułowany Denial of Service via Algorithmic Complexity Attacks, w którym opisali koncepcję ataku DoS na aplikacje wykorzystujące tablice mieszające. Chodziło o to, że jeżeli aplikacja nie wykorzystuje zrandomizowanej funkcji mieszającej w implementacji swojej tablicy mieszającej, osoba atakująca może wybrać dużą liczbę kolidujących kluczy i „przekazać” je aplikacji. W efekcie, złożoność algorytmu wykorzystywanego do wprowadzania pary „klucz-wartość” zwiększa się dziesięciokrotnie, prowadząc do zwiększonego zużycia czasu CPU. Mimo że problem ten został zgłoszony dawno temu, nikt nie opracował kodu „proof-of-concept” pokazującego praktyczne możliwości przeprowadzenia ataku. Aż do końca 2011 roku.

Podczas konferencji Chaos Congress Conference dwóch naukowców z Niemiec przedstawiło referat, w którym podjęli na nowo stary problem tablic mieszających oraz ataków DoS. W referacie opisano atak, który wykorzystuje luki w wielu językach programowania, łącznie z PHP, ASP.NET, Java, Python oraz Ruby. Wszystkie z tych platform wykorzystują podobne algorytmy mieszające, w których można znaleźć kolizje. Aby „odłączyć” serwer, osoba atakująca może wysłać żądanie POST do aplikacji sieciowej stworzone przy użyciu jednej z wymienionych wyżej technologii. Żądanie powinno zawierać specjalnie wybrane parametry dla formularza sieciowego itd., które spowodują wiele kolizji. Aplikacje sieciowe stosują z reguły tablice mieszające do przechowywania przekazywanych im parametrów. Omawiany referat opierał się na teście ataku „proof-of-concept” na podatne platformy i podawał teoretyczne i rzeczywiste czasy wymagane do przetworzenia szkodliwych żądań POST dla różnych platform. Ogólnie rzec biorąc, w zależności od platformy, konfiguracji serwera i ilości danych w żądaniu POST, jedno żądanie może angażować CPU przez czas od kilku minut do kilku godzin. W przypadku serii takich żądań osoby atakujące mogą „odłączyć” serwer wielordzeniowy lub nawet klaster serwerów.

Niemieccy naukowcy zauważyli również, że takie żądania POST do atakowanego serwera teoretycznie mogą być generowane w locie przez kod HTML lub JavaScript na stronie internetowej osoby trzeciej – tak jak w atakach XSS (cross-site scripting). W efekcie, w ataku DDoS może pośrednio uczestniczyć duża liczba użytkowników.

Warto wspomnieć, że jeden ze slajdów prezentacji zawierał wizerunek maski, którym posługuje się grupa Anonymous, co wyraźnie sugerowało, że grupa ta maczała palce w wielu atakach DDoS i nie jest wrogiem nowych technologii

Twórcy wszystkich „podatnych na ataki” języków programistycznych zostali poinformowani o problemie w listopadzie, jeszcze przed oficjalną prezentacją na konferencji.

Microsoft szybko zareagował na problem, publikując łatę dla ASP.NET, która ogranicza liczbę parametrów, które mogą zostać wysłane w jednym żądaniu POST. Publikację łaty przyspieszyły obawy Microsoftu (uzasadnione), że ktoś mógłby stworzyć exploita dla tej publicznie dostępnej luki. Łata została wypuszczona we właściwym momencie: na początku 2012 roku użytkownik występujący pod pseudonimem HybrisDisaster opublikował zestaw kolidujących kluczy dla ASP.NET.

Twórcy Ruby opublikowali nowe wersje CRuby oraz JRuby z losowymi funkcjami mieszającymi. W przypadku PHP, jedyną zmianą do tej pory było wprowadzenie nowej zmiennej, max_input_vars, która ogranicza liczbę parametrów w żądaniach POST.

Warto wspomnieć, że Perl 5.8.1 i CRuby 1.9 były odporne na ten atak odpowiednio od 2003 i 2008 roku, ponieważ wykorzystują już losowe funkcje mieszające.

Tajemniczy RefRef

Pod koniec lipca Anonymous zaprezentował RefRef. Było to nowe narzędzie, które według tej grupy mogło być wykorzystywane do przeprowadzania ataków DDoS i zastępowało wykorzystywany wcześniej w tym celu LOIC.

Powszechnie wiadomo, że Anonymous wykorzystywał LOIC w wielu swoich atakach na strony rządowe, strony organizacji będących przeciwnikiem WikiLeaks oraz na zasoby sieciowe innych organizacji. Jak już wcześniej wspomniano, aresztowano ponad 30 uczestników ataków, w których wykorzystywano LOIC: wielu atakujących nie ukryło swoich adresów IP, przez co można było ich łatwo zidentyfikować.

Nowe strony i blogi szybko „rozniosły” informacje o tym nowym narzędziu DDoS. Wspomniał o nim nawet amerykański Departament Bezpieczeństwa Narodowego w swoim biuletynie bezpieczeństwa dotyczącym potencjalnych zagrożeń i przyszłych ataków grupy Anonymous.

Mimo informacji o szerokim rozpowszechnieniu nowego narzędzia DDoS nikt nie znał dokładnych szczegółów jego implementacji. Z opublikowanych niejasnych oświadczeń jego „twórców” wynikało, że program został napisany w Javie lub być może JavaScript, wykorzystywał lukę „SQL injection” w większości stron internetowych lub potrafił ładować na serwery swoje własne pliki js. Atakowana strona miała paść na skutek wyczerpania zasobów serwera - CPU lub RAM albo obu.

Anonymous ogłosił również, że RefRef został przetestowany na PasteBin oraz WikiLeaks. Ten ostatni potwierdził atak i nawet poprosił na Twitterze o zaprzestanie atakowania zasobu:

Źródło: Kaspersky Lab

Wiele osób zastanawiało się, dlaczego Anonymous miałby zaatakować WikiLeaks: w końcu popierał tę stronę od momentu jej powstania. Do ataku przyznał się przedstawiciel grupy @AnonCMD. Ogłosił, że jest twórcą RefRef i wyjaśnił, że powodem ataku był „spór o pieniądze” między nim a szefem WikiLeaks Julianem Assange.

Po „zapowiedzi” tego nowego narzędzia DDoS sprawy potoczyły się błyskawicznie. Powstała strona internetowa refref.org (obecnie jest już zamknięta). Strona ta była prawdopodobnie powiązana z twórcami narzędzia do przeprowadzania ataków DDoS, od których otrzymała nazwę. Pod nazwą RefRef pojawiło się kilka fałszywych skryptów. Najbardziej rozpowszechnionym z nich był skrypt Perl, który może być wykorzystywany do przeprowadzania ataków tylko na te strony, które zawierają lukę SQL injection. Warto wspomnieć, że aby atak był skuteczny, osoba atakująca musi najpierw znaleźć podatną na ataki stronę – skrypt wykonuje tylko wybrane polecenie wzorcowe na serwerze. To oznacza, że skrypt ten nie może być wykorzystywany do atakowania większości stron. Jednak IBM Internet Security Systems, który szybko zareagował na ten skrypt jako nowe zagrożenie dla bezpieczeństwa wielu stron, opublikował na swojej stronie specjalne ostrzeżenie oraz sygnaturę IPS dla swoich produktów.

Członkowie grupy Anonymous wielokrotnie zaprzeczali, jakoby mieli jakiekolwiek związki z fałszywymi skryptami, i obiecywali, że 17 września opublikują prawdziwy RefRef. Jednak nie spełnili obietnicy. W efekcie, zarówno cała grupa, jak i w szczególności @AnonCMD, zostali powszechnie oskarżeni o kłamstwo. @AnonCMD zareklamował swoje narzędzie swoim „kolegom” z grupy Anonymous, wychwalając jego „triumfalny postęp”. Później przyznał, że RefRef nigdy nie istniał.

Źródło: Kaspersky Lab

Proste wytłumaczenie tej historii jest następujące: niektórzy przedstawiciele Anonymous próbują zwrócić jak największą uwagę na grupę jako całość oraz na siebie w szczególności, a media im w tym pomagają, rozpowszechniając plotki i niepotwierdzone informacje.

Więcej informacji o nowych technikach wykorzystywania sieci zainfekowanych komputerów przez cyberprzestępców można znaleźć w pełnej wersji raportu "Ataki DDoS w drugiej połowie 2011 roku" dostępnego w Encyklopedii Wirusów VirusList.pl prowadzonej przez Kaspersky Lab.

żródło: Kaspersky Lab