image

Google host securityblog Brian Krebs wegens ddos-aanval

maandag 26 september 2016, 07:01 door Redactie, 6 reacties

Het blog van securityblogger Brian Krebs wordt voortaan gehost door Google, nadat de website vorige week door een zeer grote ddos-aanval offline ging. Het blog van Krebs is in het verleden vaker het doelwit van ddos-aanvallen geweest, maar vorige week kreeg het blog 620 Gbps aan aanvalsverkeer te verduren.

De website kon de grote hoeveelheid verkeer niet aan en ging offline. Internetgigant Akamai, dat Krebs gratis hosting had aangeboden, besloot de website van het eigen netwerk te verwijderen. De aanval zou het bedrijf namelijk miljoenen dollars kunnen kosten. Andere partijen boden de securityblogger tijdelijk een gratis plek aan, maar vroegen vervolgens bedragen tussen de 150.000 en 200.000 dollar per jaar om de website tegen aanvallen te beschermen. Krebs heeft voor zijn blog KrebsOnSecurity.com nu een plek bij Google gevonden. Google heeft sinds 2013 een initiatief genaamd Project Shield dat websites die het risico lopen om gecensureerd te worden gratis tegen ddos-aanvallen beschermt.

BCP 38

Nu zijn website weer online is haalt Krebs ook uit naar providers die het nog steeds toestaan dat aanvallers hun ip-adres spoofen. In 2000 werd BCP 38 gelanceerd, een netwerkstandaard die spoofing van ip-adressen moet voorkomen en door providers geïmplementeerd kan worden. Veel internetproviders doen dit echter niet, aldus Krebs. Daardoor kunnen aanvallers gehackte computers, routers en andere systemen voor hun aanvallen blijven gebruiken.

Via amplificatie- en reflectie-aanvallen kan de aanvaller het verkeer van deze machines naar een of meer andere partijen "reflecteren" zodat het uiteindelijk bij de aan te vallen website terechtkomt. Als deze derde partijen het verkeer van de gehackte machines ontvangen sturen zij dat door naar de aan te vallen website. Het verkeer afkomstig van deze derde partijen is veel groter dan het oorspronkelijke verzoek, waardoor de omvang van de aanval wordt vergroot. BCP 38 filtert dit gespoofte verkeer. Het zou providers echter geld kosten om deze standaard toe te passen, die er daardoor van af zien.

Reacties (6)
26-09-2016, 08:32 door karma4
Een plus voor Google voor die actie. Ze mogen dan uit zijn op veel data vergaren. Het is niet zwart wit goed of kwaad.

De verwoording over ip-spoofing is interessant. De eerste reactie zou kunnen zijn privacy inbreuk.
Verder nadenkend en het bcp38 link doorwerkend. Normaal wil je de response, ook met tor, terugkrijgen op je eigen plek. Dat is de essentie van web browsing. Deze aanval met ip spoofing zit op een laag niveau met als enige doel de boel onderuit te halen (crimineel). Daarmee heeft Krebs gelijk dat het niet verhelpen van het lek fout is. De pleisters zijn er.
26-09-2016, 09:39 door Anoniem
Dat BCP 38 nog niet overal geimplementeerd is, is een schande te noemen. Je zou een zelfreinigend vermogen verwachten in deze branche omdat ze zelf ook met de kosten te maken krijgen.
redsocks heeft ook een leuk artikel over ddos-kiddo's: http://redsocks.nl/blog-2/de-duistere-kant-van-booters-en-stressers-oftewel-ddos-diensten/
26-09-2016, 11:10 door Anoniem
Door Anoniem: Dat BCP 38 nog niet overal geimplementeerd is, is een schande te noemen. Je zou een zelfreinigend vermogen verwachten in deze branche omdat ze zelf ook met de kosten te maken krijgen.
redsocks heeft ook een leuk artikel over ddos-kiddo's: http://redsocks.nl/blog-2/de-duistere-kant-van-booters-en-stressers-oftewel-ddos-diensten/

Er zijn partijen die zeggen dat BCP 38 in strijd is met netneutraliteit. De nieuwste versie van de EU op dit gebied staat implementatie van BCP 38 nu echter wel toe. Dat legt de bal weer terug bij de providers.

Peter
26-09-2016, 12:43 door Anoniem
En weer zien we in dit geval het dubbele gezicht van CloudFlare, die via hun dienstverlening vele booters en stressers een schuiloord biedt. De naamservers van CloudFlare worden er nogal eens aangetroffen. Zie onder aan het artikel van Redsocks, dat in een eerder bericht hier werd aangehaald voor voorbeelden.

Als ik al eerder in een ander bericht meldde, voor sommige grote data-bedrijven maakt het niet uit waarmee ze hun winsten behalen, of het nu een legale of een malafide klik is.

En de kosten gaan voor de baat uit. Velen implementeren geen verdere veiligheid omdat het soms drie keer zo duur is
en investeren in beveiliging is een sluitpost op de begroting. Ze doen alleen maar datgene, waarmee ze denken dat ze net weg kunnen komen. De achterban weet of beseft het toch niet, hoe ze in de maling worden genomen.
26-09-2016, 22:26 door Anoniem
Het zou providers echter geld kosten om deze standaard toe te passen, die er daardoor van af zien.

Het probleem is niet zo zeer dat het de providers geld kost, het probleem is dat het ze ZELF niets oplevert omdat
HUN implementatie van BCP38 de ANDERE providers beschermt tegen DDoS. Pas als (vrijwel) iedereen de stap
neemt, ziet iedereen ook de nuttige effecten ervan. Dat wordt in die link goed uitgelegd, en het toont aan dat het
internet gereguleerd moet worden met wetgeving in plaats van door zelfregulatie. Want die werkt niet als er geen
monetair gewin te halen valt.
27-09-2016, 11:25 door Anoniem
Uit Krebs eigen artikel:
"But according to Akamai, none of the attack methods employed in Tuesday night’s assault on KrebsOnSecurity relied on amplification or reflection."

BCP 38 gaat daar tegen niet helpen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.