Att analysera och förmildra en DDoS-attack kan göras genom ett antal olika metoder. Även finns det DDoS-attacker där motverkansmedel kan användas och således göra attacken mindre effektiv. Givetvis kan filtrering genomföras på ISP-nivå också, men det är ett relativt trubbigt verktyg.
Först och främst måste trafikdata i form av PCAP-format eller liknande samlas in, detta kan visa på ledtrådar såsom vilket verktyg som används eller om det är förfalskade paket (spoofade). Även så kan loggar på servern analyseras för att avgöra exempelvis om det är en eller flera stora bilder som laddas om och om igen. Finns inte råa paket kan även netflow-data användas och analyseras med verktyg såsom Argus.
När vi vet vem avsändaren är så måste denna analyseras närmare, rör det sig om klientdatorer eller servrar med hög kapacitet? Om det är klientdatorer så rör det sig troligtvis om ett bot-nät med infekterade privatpersoner, är fallet högprestanda-servrar så kan det vara hyrda servrar direkt av antagonisten eller som är vanligare: hackade servrar.
Finns även fall där klienter kan surfa in på en speciell sida så exekveras ett javascript som hämtar en eller flera tunga filer om och om igen, denna attack är implementerad i bl.a JS LOIC.
Wireshark är ett bra verktyg att visuellt analysera nätverkstrafik men fungerar ej väl med större datamängder. Nedan exempel visar hur det ser ut i Wireshark när LOIC används:
Skärmdump från webbsida som har JS LOIC:
Skärmdump från JS LOIC storebror LOIC. LOIC står för Low Orbit Ion Cannon:
Ovan två exempel använder dock enbart den egna kapaciteten. För att uppnå mer skada på slutmålet så kan även antagonisten använda sig av en förstärkt DDoS (amplification DDoS attack).
Genom att skicka en mindre mängd data till ett antal servrar och sedan får dessa att svara med flertalet gånger större mängd data till en annan server så kan större effekt uppnås:
Vanligtvis används UDP baserade protokoll såsom DNS och NTP (MON_GETLIST) men även så har vi sett attacker där WordPress pingback används för att rikta om svar. Dessa servrar har också oftast en relativt god kapacitet mot internet till skillnad från många hemanvändare och privatpersoner.
I vissa fall så måste även reverse-engineering utföras för att förstå hur attack-koden fungerar.
Skärmdump från klienten som användes mot SpamHaus. Reverse-engineering utförd med Ollydbg:
Genom att analysera klientkoden som körs så kan man även i slutändan troligtvis identifiera puppetmastern, som styr klienterna. Vanligt förekommande kontrollkanaler (C&C) är IRC, HTTP osv. Men inte helt ovanligt heller så använder den som utför kommandon någon form av anonymiseringsverktyg såsom Tor.
Att just LOIC används som exempel ovan är för att denna programvara användes för att slå ut flertalet myndighetssajter år 2012.
Igår Lördag strax innan kl 20 på kvällen så genomförde någon en DDoS-attack mot flertalet stora svenska mediasajter. Sajter såsom Aftonbladet gick inte att nå på över en timme, och det är ännu oklart exakt vilka sajter som stod som mål.
Attacken var tydlig på de grafer som är publikt tillgängliga från Netnod. Och det vi ser nedan är datatrafik som kommer från ryska internetoperatörer:
Sammanställning av @SandraForesti
Att hyra någon att utföra DDoS-attack är inte speciellt dyrt och det som händer är att operatören troligtvis börjat att filtrera trafiken. Tittar vi via Telias looking-glass i Moskva så går det inte att nå Aftonbladet just nu via Telia i Ryssland.
Priserna för att hyra en DDoS-attack på svarta marknaden varierar en hel del men här är några exempelpriser:
Bakom attacker står troligtvis servrar med bra kapacitet som blivit hackade via WordPress, standardlösenord eller forcerade lösenord. Attacker tidigare mot bl.a. Regeringen använde JS LOIC men inte troligt i detta fall.
Med hjälp av trafikinspelning i PCAP-format exempelvis så skulle det gå relativt snabbt att ta reda på hur attacken utfördes. Även kan det vara möjligt att skapa motverkansmedel mot attacken om man vet i detalj hur den fungerar.
Sist men inte minst så är det också viktigt att skriva något hur mediasajters webb är uppbyggd. För att stå emot en attack som denna så bör DNS anycast samt web-anycast användas, och det finns flera leverantörer såsom Akamai, CloudFlare och Amazon CloudFront som kan leverera detta.
Även kan följande skrift vara bra att läsa med jämna mellanrum:
Symantec kommer att jobba direkt mot hostingbolag och ej slutkund. Först ut att erbjuda dessa certifikat kommer att vara Hostpoint, CertCenter samt InterNetx.
Även så har Google nu släppt en transparensrapport som påvisar hur mycket av kommunikationen till och från Googles tjänster som är krypterad (YouTube är inte med i statistiken).
Hela 77% är krypterad trafik och fördelar sig på följande sätt mellan tjänsterna:
Tråkigt nog ser vi att nyheter och ekonomi ligger på strax över 50%.
För oss som jobbar med kryptering och IT-säkerhet så är Kerckhoffs princip något som är otroligt viktigt. Principerna skrevs år 1883 av Auguste Kerckhoffs i den franska tidsskriften La Cryptographie Militaire.
Även om principen är mycket gammal så är den något som används dagligen, och känner du inte till den sedan tidigare så bör du lägga den på minnet:
Ett kryptosystems säkerhet bör icke bero på hemlighållandet av krypteringsalgoritmen. Säkerheten beror endast av att nyckeln hålles hemlig
Och det finns även en kortare version upprättad av Claude Shannon:
Fienden känner till systemet (krypteringsalgoritmen)
För att förklara ytterligare så kan man säga att säkerheten ska ligga i algoritmer och kryptonycklar och inte att obskyra och otestade/okända algoritmer används eller liknande.
Sedan ett tag tillbaka så följer kommandot doas med i grundinstallationen av det supersäkra operativsystemet OpenBSD. Doas är tänkt att användas istället för sudo (substitute user do) och vara ett säkrare alternativ.
Sudo har med tiden växt att bli ett monster som kan göra allt för alla och därmed även ökat riskerna för eventuella sårbarheter vilket nu uppdagades i samband med glibc DNS-buggen.
As shipped in OpenBSD, the compiled sudo was already five times larger than just about any other setuid program
Och för att komma igång med doas på OpenBSD så behöver du bara skapa en konfigurationsfil i /etc/doas.conf. Och tittar vi på exempel i manualsidan för doas.conf så finner vi följande:
$ doas id
uid=0(root) gid=0(wheel) groups=0(wheel), 2(kmem), 3(sys), 4(tty), 5(operator), 20(staff), 31(guest)
Perfekt. Det fungerar, men för att vara på den säkra sidan så tar vi bort ordet ”nopass” från konfigurationsfilen och vi får då istället skriva in lösenordet varje gång.
Sedan är det bara att ta bort sudo-paktet med pkg_delete och för att underlätta tillvaron så kan även ett alias för sudo kopplas mot doas.
Oklart i dagsläget när eller om doas kommer att porteras till andra operativsystem. Men lämna gärna en kommentar om du känner till något annat OS där doas finns.
doas är primärt skrivet av OpenBSD-utvecklaren Ted Unangst och du kan läsa mer om hans tankar bakom i denna bloggpost:
NetworkMiner är precis som det låter en produkt för att undersöka nätverkstrafik. Mjukvaran är utvecklad av det svenska företaget Netresec och har funnits sedan 2007.
Denna nya version har följande funktioner:
SMB/CIFS stödjer nu att extrahera filer från SMB-skrivningar
GUI förbättrat vid inläsning av PCAP-filer eller live-läsningar
Favicon-bilder extraheras nu ur nätverkstrafik
Stöd för att söka med nyckelord under flertalet tabbar
Under testet så laddade jag in en PCAP-fil från 4SICS-konferensen. Filen var på 134 MB och tog cirka 15 minuter att ladda in.
NetworkMiner ser ut att läsa ut filer, sessioner och all annan information som kan vara relevant för en nätverkforensisk undersökning. Mjukvaran finns även i en betalversion som kostar cirka 7600 SEK och inkluderar då geoip, csv export, os fingerprinting och ett kommandogränssnitt.
Vad är då största skillnaden mellan NetworkMiner och Wireshark? NetworkMiner klarar att extrahera ur filer ur en större mängd nätverksprotokoll även om Wireshark stödjer att tolka fler protokoll.
Här kan du ladda hem gratisversionen av NetworkMiner:
Nyligen så genomförde chefen den operativa enheten Tailored Access Operations (TAO) en offentlig presentation. Denna presentation var intressant och innehöll en hel del godbitar som vi kan lära oss av, presentationen gick av stapeln under USENIX Enigma. Och chefen i fråga heter Rob Joyce och har varit chef för TAO sedan 2003.
Även om du jobbar med IT-säkerhetsgranskning eller skydd av nätverk och system så kan du lära dig från Robs råd. Jag har sammanfattat och tolkat hans presentation nedan.
EMET: everybody should be turning that on, it makes our job harder” – Rob Joyce, NSA TAO Chef.
Uthållighet
TAO har en uthållighet som kan sträcka sig under lång tid. Och de lär känna nätverket väl, bättre än eventuella systemadministratörer. Troligtvis kan de även använda SIGINT (signalspanade) uppgifter för att kartlägga nätverket ytterligare, exempelvis med hjälp av metadata som avslöjar programvaror och versioner.
En annan intressant sak som han sa var att NSA kan få fotfäste och köra fast, men kan då vänta ut tills de hittar en sårbarhet som de kan utnyttja. Tänk exempelvis följande scenario: år ett får de fotfäste internt men kan ej eskalera behörigheter till administratör. År två dyker en ny sårbarhet upp som de kan utnyttja och således avancera ytterligare in i nätverket.
Nätverksperimetrar
Rob nämner att de försöker att identifiera enheter som finns på nätverket som de angriper. Och nämner IoT, BYOD, molntjänster och enheter som är fysiskt utanför organisationen men inom nätverksdomänen. Även så litar vi mer och mer på våra enheter, telefoner samt på partners.
0-dagars
Även anser NSA att nyttan av nolldagars-sårbarheter är överreklamerad. För i de flesta attacker så behövs inte dessa utnyttjas och att använda noll-dagars innebär även en risk, dels för att själva exploiten misslyckas och dels för att hålet röjs. Även kan en exploit säga en hel del om angriparen och modus operandi (MO).
Initiala intrånget
Det första intrånget sker främst genom något av följande tre sätt:
E-post med skadlig kod
Webbsida med skadlig kod. Som individen eller organisationen besöker
Löstagbart media. Där nämner han även att det är effektivt för att ta sig in i fysiskt separerade nätverk.
Säkerhetshöjande tekniker
För att göra TAO:s jobb svårare så rekommenderar Rob en mängd olika saker. Såsom EMET samt att nyttja lägsta behörigheter som en användare eller administratör behöver. Även bevaka och titta efter anomalier som avviker från normala mönster. Se även till att segmentera upp nätverket.
Undvik att hårdkoda in lösenord eller liknande i shellscript. Och se till att använda loggning, exempelvis nätverkstappar och titta och förstå trafiken som flödar i nätverket.
Även så berättar Rob att vitlistning gör deras jobb svårt samt mjukvaror som automatiskt uppdaterar när det kommer buggfixar.
En annan sak som han nämner att många tänker att det är dåligt att bli av med data, men glömmer lätt att data även kan förvanskas eller helt enkelt raderas. Därför är det viktigt med offsite backuper. Se min presentation om exfiltration från Internetdagarna 2014 här.
Det anonyma och säkra operativsystemet Tails har nu släppt i version 2. Nyheter och uppgraderingar finns det mängder av och vi kan sammanfatta några av dessa nedan. Viktigt att uppgradera till Tails 2.0 är även på grund av alla sårbarheter som åtgärdats.
Tails 2.0 baseras på Debian 8 med en mängd uppgraderingar:
GNOME utilities från v3.4 till 3.14: Files, Disks, Videos, etc.
LibreOffice från 3.5 till 4.3
PiTiVi från 0.15 till 0.93
Git från1.7.10 till 2.1.4
Poedit från 1.5.4 till 1.6.10
Liferea från 1.8.6 to 1.10
Även så har Tor Browser uppgraderats till 5.5 (baserad på Firefox 38.6.0 ESR). Dock så har Tails 2.0 ej stöd för Windows-kamouflering pga GNOME.
Men har gått över till systemd som init-system och applicerat ett antal sandlådor på diverse tjänster för att göra det svårare att exploatera dessa.
Claws Mail har blivit ersatt av Icedove som är Mozillas mail-klient samt så finns det en ny trevlig assistent som hjälper till vid installation av Tails till hårddisken samt vid nedladdning från webben.
Denna nya version har även utökat stöd för fingerprint-attacker men fortfarande går att att urskilja om Tor Browser körs i Tails eller inte främst på grund av att Adblock plus används.
Försvarets Radioanstalt, FRA släppte igår sin årsrapport för 2015. Den pekar på att cyberangrepp mot Sverige ökar och att myndigheten har upptäckt intrång mot forskningsinstitutioner, industri och myndigheter.
Rapporten delger även en definition av cyberförsvar har tagits fram tillsammans med Försvarsmakten:
En nations samlade förmågor och åtgärder till skydd för dess kritiska cyberinfrastruktur som syftar till att säkerställa kritiska samhällsfunktioner samt förmågan att försvara sig mot kvalificerade angrepp.
Övrigt så berättar rapporten att TDV inte verkar utvecklas och installeras i stor omfattning (läs mer om TDV här). Även så belyses problemen med outsourcing och att mobilitet blir ett allt större problem för många organisationer, vilket även var något som togs upp under Internetdagarna 2015.
Samverkan mellan myndigheter är en viktig framgångsfaktor för ett effektivt svenskt cyberförsvar och under året så genomförde FRA penetrationstester mot ett tiotal myndigheter och statligt ägda bolag.
Dag Hartelius som är generaldirektör framhäver:
..parallellt med detta växer också cyberhoten i form av både underrättelseinhämtning och andra typer av cyberoperationer där vi får räkna med att det kan finnas hot som innebär att viktiga samhällsfunktioner för svensk säkerhet och välfärd kan störas eller slås ut.
Här kan du ladda hem FRA:s årsrapport för 2015 i sin helhet:
Den 12:de April så kommer en ny sårbarhet att publiceras till Windows och Samba. Och säkerhetsbuggen har redan nu en webbplats, namn och logotyp.
Även om principen är mycket gammal så är den något som används dagligen, och känner du inte till den sedan tidigare så bör du lägga den på minnet:
NetworkMiner är precis som det låter en produkt för att undersöka nätverkstrafik. Mjukvaran är utvecklad av det svenska företaget 
