Sont les jours de - Booter - Services Numérotée Krebs sur la sécurité
Le temps des services « Booter » MEURT?
Les résultats proviennent de chercheurs en Allemagne qui ont étudié des modèles qui émergent lorsque scélérats tentent de masse balayer tout l'Internet à la recherche de systèmes utiles pour le lancement de ces sieges numériques - appelés « déni de service distribué » ou les attaques DDoS.
Ces jours-ci, cependant, même le moins utilisateur Internet sophistiqués peuvent lancer relativement importantes attaques DDoS juste en payant un peu d'argent pour un abonnement à l'un des dizaines de services de Booter ou Stresser, dont certains acceptent même des cartes de crédit et les paiements par PayPal.
Mais l'arrière du service de booter est l'endroit où les choses vraiment intéressantes qui se passe. La quasi-totalité des types d'attaque les plus puissants et efficaces utilisés par les services de Booter reposent sur une amplification et la réflexion de la circulation technique dite. dans lequel l'attaquant peut refléter ou « usurper » son trafic à partir d'une ou plusieurs machines tiers vers la cible visée.
Dans ce type d'agression, l'attaquant envoie un message à un tiers, tout en usurpant l'adresse Internet de la victime. Lorsque le tiers répond au message, la réponse est envoyée à la victime - et la réponse est beaucoup plus grande que le message d'origine, amplifiant ainsi la taille de l'attaque.
Pour trouver des systèmes vulnérables qui peuvent être mis à profit cette façon, kickers emploient à grande échelle des services de numérisation Internet qui cherchent constamment à actualiser la liste des systèmes qui peuvent être utilisés pour l'amplification et les attaques de réflexion. Ils le font parce que, comme la recherche a montré (PDF), allant de 40-50 pour cent des amplificateurs ou disparaissent sont réaffectés nouvelles adresses Internet après une semaine.
Pour ce faire, l'équipe de recherche a construit une sorte de système distribué « honeypot » - qu'ils surnommés « AmpPot » - conçu pour imiter les services connus pour être vulnérables aux attaques d'amplification, tels que DNS et inondations NTP.
« En se concentrant sur les attaques DDoS d'amplification, on constate que la quasi-totalité d'entre eux (> 96%) sont causées par des sources individuelles (par exemple les booters), et non les réseaux de zombies, » l'équipe a conclu. « Cependant, nous malheureusement n'avons pas les chiffres à comparer ce [à] des attaques par déni de service en général. »
De nombreuses grandes analyses Internet comme ceux des chercheurs ont cherché à mesurer sont lancés par les entreprises de sécurité et d'autres chercheurs, afin que l'équipe avait besoin d'un moyen de différencier les analyses lancées par les services de Booter et celles menées pour la recherche ou d'autres fins bénignes.
« Pour faire la distinction entre les analyses effectuées par des chercheurs et des analyses effectuées avec une intention malveillante, nous comptions sur une hypothèse simple: Qu'aucune attaque serait fondée sur les résultats d'une analyse réalisée par des chercheurs (éthiques) », a déclaré Johannes Krupp. l'un des principaux auteurs du rapport. « En fait, grâce à notre méthodologie, nous n'avons pas de faire cette distinction dès le départ, mais nous pouvons plutôt regarder les résultats et dire: « Nous avons trouvé des attaques liées à ce scanner, donc ce scanner doit avoir été malveillant. » Si une analyse a été effectuée par des parties vraiment bénignes, nous ne trouverons pas les attaques qui y sont liées « .
SECRET IDENTIFICATEURS
Quoi de neuf dans le document publié aujourd'hui par les étudiants du Centre de l'Université de la Sarre pour IT-sécurité, la vie privée et la responsabilité (CISPA) est la méthode par laquelle les chercheurs ont pu relier ces analyses masse aux attaques très d'amplification qui suivent peu après.
Les chercheurs ont élaboré un moyen d'encoder un identifiant secret dans l'ensemble des honeypots AmpPot que toute attaque ultérieure utilisera, qui varie selon la source de numérisation. Ils ont ensuite été testés pour voir si l'infrastructure d'analyse a également été utilisé pour lancer réellement (et non seulement pour préparer) les attaques.
Leur régime a été fondé en partie sur l'idée que les sources de trafic similaires devraient avoir à parcourir des distances similaires Internet pour atteindre les capteurs AmpPot globalement distribués. Pour ce faire, ils ont examiné le nombre de « bonds » ou des segments de réseau Internet que chaque balayage et l'attaque ont dû traverser.
En utilisant trilatération -le processus de détermination des emplacements absolus ou relatifs de points en mesure des distances - l'équipe de recherche a pu relier les scanners pour attaquer origines basées sur le nombre de sauts.
Ces méthodes ont révélé quelques 286 scanners qui sont utilisés par les services de Booter en vue de lancer des attaques d'amplification. De plus, ils ont découvert que près de 75 pour cent de ces scanners sont situés aux États-Unis.
Les chercheurs disent qu'ils ont pu confirmer que bon nombre des mêmes réseaux que les scanners hôtes sont également utilisés pour lancer les attaques. Plus important encore, ils ont pu attribuer environ un tiers des attaques à leur origine.
« Ce résultat est impressionnant, étant donné que la source usurpée d'attaques d'amplification reste généralement cachée », a déclaré Christian Rossow de l'Université de la Sarre.
Rosso dit que l'équipe espère mener d'autres recherches sur leurs méthodes pour lier plus définitivement l'analyse et l'activité d'attaque aux services de Booter spécifiques par leur nom. Le groupe propose déjà un service d'hébergement fournisseurs et fournisseurs de services Internet pour partager des informations sur les incidents (comme début d'attaque et de fin). Les fournisseurs peuvent alors utiliser les informations d'attaque pour informer leurs clients ou pour filtrer le trafic d'attaque.
« Nous avons partagé nos résultats avec les organismes d'application de la loi - en particulier, Europol et le FBI - et un cercle fermé des fournisseurs de réseau Tier 1 qui utilisent nos connaissances sur une base opérationnelle, » les chercheurs ont écrit. « Notre production peut être utilisé comme preuve médico-légale à la fois des plaintes juridiques et des moyens d'augmenter la pression sociale contre les sources d'usurpation d'identité. »
Même si ces méthodes de découverte nouvellement décrites ont été largement déployées aujourd'hui, il est peu probable que les services de Booter seraient disparaîtront pas de sitôt. Mais cette recherche est certainement la promesse que booter propriétaires de services seront en mesure de cacher la position réelle de leurs opérations moins aller avec succès avant. et que peut-être plus d'entre eux seront tenus responsables de leurs crimes.
Les efforts déployés par d'autres chercheurs ont rendu plus difficile pour les services booter et Stresser d'accepter les paiements par PayPal. forçant plus kickers à compter davantage sur Bitcoin.
Il s'avère, l'infrastructure de VDOS a été utilisé par plus d'un demi-douzaine d'autres services de Booter, et peu de temps après VDOS a été mis hors ligne la plupart de ces services est devenu noir ou ont été démantelés ainsi.
De nombreux opérateurs de Booter croient apparemment (ou au moins se cacher derrière) un accord verbeux « conditions de service » que tous les clients doivent reconnaître les absout en quelque sorte de toute sorte de responsabilité pour la façon dont leurs clients utilisent le service - peu importe combien tenir la main et technique soutien qu'ils offrent aux clients.
En effet, les propriétaires de VDOS - qui ont été arrêtés peu de temps après mon histoire à leur sujet - dit le Wall Street Journal par leurs avocats que, « Si je devais acheter une arme à feu et tirer quelque chose, est la personne qui invente le pistolet coupable? »
« Je ne peux absolument voir un jour où il est tout à fait retiré », a déclaré LaBrocca dans un poste expliquant ses actions. « Peut-être bientôt aussi. »
Cependant, je pouvais voir un jour dans un avenir pas trop lointain dans lequel les opérateurs de services de booter commencer à gagner plus de leur argent en revendant des attaques beaucoup plus puissantes lancées par les réseaux de zombies réels fabriqués à partir de grands réseaux d'Internet piraté des dispositifs Things (IOT) - tels que des caméras de vidéosurveillance mal fixés et les magnétoscopes numériques (DVR).
est disponible ici Une copie du document publié aujourd'hui à la conférence ACM CSS à Vienne (PDF).
Qu'en est-il des vendeurs de hache ou des gens qui vendent des armes de manière anonyme dans les pays où il est permis ou d'autres éléments qui pourraient être utilisés à des fins illégales ou nuisibles?
MickeyD, qui ne ressemble pas ici.
Des gens qui vendent des haches, ou faire des armes. Ils vendent personnellement ou en tant que société.
Une autre chose est de savoir si les armes que vous vendez ne sont pas les vôtres. Mais volé. , Cela est quelque chose de nouveau les bots sont en train de faire. Ils sont infiltrant dans d'autres systèmes de personnes qui seul est déjà un crime.
Il y a beaucoup d'autres choses qu'ils ont qui sont illégales. Bien sûr, ils peuvent dire qu'ils ne sont pas responsables de leurs clients attaquant les autres, mais peuvent-ils? Quand il y a des lois et règlements sur l'intrusion du système d'autres personnes, le vol de données, et de faciliter un crime (dans ce cas, d'attaquer d'autres systèmes), vous êtes dans la quantité minimale d'au moins un complice ou d'un facilitateur. En vertu de la loi la plus courante, vous pouvez être considéré comme un complice, même si vous ne l'avez pas activement participé à la commission du crime ou n'a pas pris part à l'infraction réelle.
Tout le monde l'achat d'un service comme celui-ci est en train de faire quelque chose d'illégal. Et la personne / personnes établissant une entreprise comme ça, sont en cours d'exécution d'une entreprise illégale qui est basée sur l'ensemble du modèle de louer des systèmes qu'ils kidnappent des autres et sont utilisés pour prendre d'autres systèmes hors ligne.
Il n'y a aucun moyen en enfer, ils vont sortir avec cela, même si elles embauchent les meilleurs avocats sur la planète terre. Du moins pas dans un pays où il y a un système juridique et judiciaire en place.