Tor-servers offline na onterechte abusemeldingen door ip-spoofingaanval
Verschillende Tor-servers zijn na onterechte abusemeldingen als gevolg van een ip-spoofingaanval tijdelijk offline gehaald, zo heeft het Tor Project bekendgemaakt. De organisatie wijst ook naar 'onprofessioneel gedrag' waarbij partijen weigerden verder onderzoek uit te voeren, wat de impact van de aanval versterkte. Dagelijks maken miljoenen mensen gebruik van het Tor-netwerk om hun privacy te beschermen en gecensureerde websites te bezoeken. Het netwerk draait volledig op servers en bandbreedte die door vrijwilligers wordt gedoneerd. Het verkeer van Tor-gebruikers loopt via meerdere servers om zo de identiteit van de gebruiker te maskeren.
Eind oktober ontvingen veel beheerders van Tor-servers bericht dat hun servers waren gebruikt voor het uitvoeren van bruteforce-aanvallen via SSH. Uit onderzoek blijkt dat de servers geen onderdeel van de aanval waren, maar de verantwoordelijke aanvaller de ip-adressen van de Tor-servers spoofte. Daardoor leek het voor de aangevallen netwerken alsof de Tor-servers hiervoor verantwoordelijk waren.
Volgens het Tor Project was de aanval bedoeld om abusemeldingen te genereren en zo het Tor Project en het Tor-netwerk te verstoren. "Hoewel de aanval een beperkte impact op het Tor-netwerk had, een aantal relays ging tijdelijk offline, zorgde het voor onnodige stress en ongemak voor veel relay-beheerders die deze klachten moesten beantwoorden", aldus Gustavo Gus van het Tor Project.
In een blogposting geeft het Tor Project meer tips aan relay-beheerders wat ze kunnen doen als hun server nog steeds wordt geblokkeerd en hoe er met meldingen als gevolg van ip-spoofing kan worden omgegaan. Het Tor Project haalt ook uit naar internetpartijen die de servers afsloten. "We hebben ook te maken gekregen met gevallen van onprofessioneel gedrag, waar een weigering om te onderzoeken en gebrek aan diligence de impact van deze aanval versterkte."
https://geti2p.net/en/
Er zijn recentelijk een hoop cyberaanvallen geweest vanuit Rusland.
China heeft ook gewoon baat er bij.
Ik heb, voor alle duidelijkheid, geen flauw idee waar dit vandaan komt. Ik denk alleen dat je niet al te makkelijk mogelijkheden uit moet sluiten op basis van argumenten die als je iets beter kijkt te oppervlakkig blijken te zijn.
Want? Het moeten meteen statelijke actoren zijn? Kan niet gewoon een hackers collectief zijn dat random IP adressen spoofed voor hun brute force?
Kan van alles zijn .
"hacktivisten" ook een kandidaat.
https://geti2p.net/en/
Tails besloot geen tijd en middelen meer aan de herintroductie van I2P te besteden, totdat I2P meer populair is geworden:
https://gitlab.tails.boum.org/tails/tails/-/issues/12264
Na meer dan twintig jaar tijd aan ontwikkeling heeft het I2P netwerk wereldwijd slechts zo'n 46 000 routers / gebruikers.
https://i2p-metrics.np-tokumei.net/overview
Hoang, Nguyen Phong et al. (2018). An Empirical Study of the I2P Anonymity Network and its Censorship Resistance.
https://dl.acm.org/doi/10.1145/3278532.3278565
- Source adres filtering op hun netwerken
- Offline halen van gehoste VPS'en die duidelijk bezig zijn met scannen en sprayen
Aanvaller stuurt een syn pakket naar de aan te vallen server met een gespoofd IP, aangevallen server stuurt een SYN-ACK pakketje terug dat als het goed (want anders is het internet stuk, of de aanvaller kan het verkeer onderscheppen) naar het orginele IP terug gaat. Tenzij het verkeer op de een of andere manier alsnog bij de aanvaller terecht kan komen, is het nagenoeg onmogelijk om een volledige TCP en dus een SSH bruteforce uit te voeren.
Maar goed, met al die moderne technieken zou het natuurlijk zomaar kunnen dat ik iets over het hoofd zie.
China heeft ook gewoon baat er bij.
Ja, gewoon een andere DNS server kiezen en het werkt weer.
Aanvaller stuurt een syn pakket naar de aan te vallen server met een gespoofd IP, aangevallen server stuurt een SYN-ACK pakketje terug dat als het goed (want anders is het internet stuk, of de aanvaller kan het verkeer onderscheppen) naar het orginele IP terug gaat. Tenzij het verkeer op de een of andere manier alsnog bij de aanvaller terecht kan komen, is het nagenoeg onmogelijk om een volledige TCP en dus een SSH bruteforce uit te voeren.
Maar goed, met al die moderne technieken zou het natuurlijk zomaar kunnen dat ik iets over het hoofd zie.
Je stuurt een Reset, de abuse desk van de provider kijkt niet verder dan de neus lang is en denkt abusievelijk dat de syn ook van dat adres afgekomen is. Werd op NANOG uitgelegd.
Er zijn recentelijk een hoop cyberaanvallen geweest vanuit Rusland.
https://geti2p.net/en/
Tails besloot geen tijd en middelen meer aan de herintroductie van I2P te besteden, totdat I2P meer populair is geworden:
https://gitlab.tails.boum.org/tails/tails/-/issues/12264
Na meer dan twintig jaar tijd aan ontwikkeling heeft het I2P netwerk wereldwijd slechts zo'n 46 000 routers / gebruikers.
https://i2p-metrics.np-tokumei.net/overview
Hoang, Nguyen Phong et al. (2018). An Empirical Study of the I2P Anonymity Network and its Censorship Resistance.
https://dl.acm.org/doi/10.1145/3278532.3278565
Er zijn nog een paar andere alternatieven zoals Freenet, Lokinet, etc, maar die geven niet dezelfde anonimiteit.
Kan van alles zijn .
"hacktivisten" ook een kandidaat.
Als ze vanuit een van de ondemocratischer regimes van Europa opereren onder de vlag van staatsveiligheidsorganisaties, dan zijn dat imho betaalde blackhat hacktivisten met staatskeurmerk en staatssteun.
Dit soort acties heeft weinig zin in bijv. Rusland met dagelijks 'slechts' 60.000 TOR (bridge) users en enkele tienduizenden Chinezen op meer dan een miljard inwoners. Te gering in aantal en makkelijk op te sporen.
Wel 'grappig' dat we steeds vaker zelf TOR nodig lijken te hebben vanwege de censor- en dictatorship die we nog vaak -onwetend en gemakzuchtig- de 'onvriendelijke' naties aanrekenen.
Je stuurt een Reset, de abuse desk van de provider kijkt niet verder dan de neus lang is en denkt abusievelijk dat de syn ook van dat adres afgekomen is. Werd op NANOG uitgelegd.
Sure is het vervelend dat er SYN gespooft wordt, je moet ook altijd in de TCP configuratie op je servers het aantal SYN ACK packets heel laag zetten (1 of 2) om DDoS amplification te voorkomen, maar dat servers uit de lucht gehaald worden vanwege dit soort sequences dat lijkt me toch sterk.
(in dit verband helpt het ook om in je firewall SYN met een source port nummer <1024 en als destination iets als http of ssh te blokkeren. source port nummers <1024 hoor je alleen bij systeem protocollen te zien, niet bij user protcollen)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
