Ataki DDoS II poł. 2011

Przeczytaj także: Zagrożenia internetowe III kw. 2011

Warto wspomnieć, że jeden ze slajdów prezentacji zawierał wizerunek maski, którym posługuje się grupa Anonymous, co wyraźnie sugerowało, że grupa ta maczała palce w wielu atakach DDoS i nie jest wrogiem nowych technologii

Twórcy wszystkich „podatnych na ataki” języków programistycznych zostali poinformowani o problemie w listopadzie, jeszcze przed oficjalną prezentacją na konferencji.

Microsoft szybko zareagował na problem, publikując łatę dla ASP.NET, która ogranicza liczbę parametrów, które mogą zostać wysłane w jednym żądaniu POST. Publikację łaty przyspieszyły obawy Microsoftu (uzasadnione), że ktoś mógłby stworzyć exploita dla tej publicznie dostępnej luki. Łata została wypuszczona we właściwym momencie: na początku 2012 roku użytkownik występujący pod pseudonimem HybrisDisaster opublikował zestaw kolidujących kluczy dla ASP.NET.

Twórcy Ruby opublikowali nowe wersje CRuby oraz JRuby z losowymi funkcjami mieszającymi. W przypadku PHP, jedyną zmianą do tej pory było wprowadzenie nowej zmiennej, max_input_vars, która ogranicza liczbę parametrów w żądaniach POST.

Warto wspomnieć, że Perl 5.8.1 i CRuby 1.9 były odporne na ten atak odpowiednio od 2003 i 2008 roku, ponieważ wykorzystują już losowe funkcje mieszające.

Tajemniczy RefRef

Pod koniec lipca Anonymous zaprezentował RefRef. Było to nowe narzędzie, które według tej grupy mogło być wykorzystywane do przeprowadzania ataków DDoS i zastępowało wykorzystywany wcześniej w tym celu LOIC.

Powszechnie wiadomo, że Anonymous wykorzystywał LOIC w wielu swoich atakach na strony rządowe, strony organizacji będących przeciwnikiem WikiLeaks oraz na zasoby sieciowe innych organizacji. Jak już wcześniej wspomniano, aresztowano ponad 30 uczestników ataków, w których wykorzystywano LOIC: wielu atakujących nie ukryło swoich adresów IP, przez co można było ich łatwo zidentyfikować.

Nowe strony i blogi szybko „rozniosły” informacje o tym nowym narzędziu DDoS. Wspomniał o nim nawet amerykański Departament Bezpieczeństwa Narodowego w swoim biuletynie bezpieczeństwa dotyczącym potencjalnych zagrożeń i przyszłych ataków grupy Anonymous.

Mimo informacji o szerokim rozpowszechnieniu nowego narzędzia DDoS nikt nie znał dokładnych szczegółów jego implementacji. Z opublikowanych niejasnych oświadczeń jego „twórców” wynikało, że program został napisany w Javie lub być może JavaScript, wykorzystywał lukę „SQL injection” w większości stron internetowych lub potrafił ładować na serwery swoje własne pliki js. Atakowana strona miała paść na skutek wyczerpania zasobów serwera - CPU lub RAM albo obu.

Anonymous ogłosił również, że RefRef został przetestowany na PasteBin oraz WikiLeaks. Ten ostatni potwierdził atak i nawet poprosił na Twitterze o zaprzestanie atakowania zasobu:

Wiele osób zastanawiało się, dlaczego Anonymous miałby zaatakować WikiLeaks: w końcu popierał tę stronę od momentu jej powstania. Do ataku przyznał się przedstawiciel grupy @AnonCMD. Ogłosił, że jest twórcą RefRef i wyjaśnił, że powodem ataku był „spór o pieniądze” między nim a szefem WikiLeaks Julianem Assange.