O grande obstáculo da segurança da Internet:negação de serviço distribuída (DDoS), que bagunça o tráfego normal de um servidor ou rede alvo com uma enxurrada de solicitações HTTP, pacotes malformados. Batida, bam boom. Missões cumpridas. Os usuários não podem voltar.

Jonathan Respeto, da Akamai, postou algumas descobertas desagradáveis ​​na quarta-feira. Uma equipe da Akamai estava verificando um novo vetor DDoS que utiliza uma técnica de amplificação UDP conhecida como WS-Discovery (WSD). A situação agora é tal que "vários agentes de ameaças" estão aproveitando esse método DDoS para aumentar os ataques.

Para aqueles que estão menos familiarizados com a linguagem de descoberta, UDP significa protocolo de datagrama do usuário. TechTarget informa aos leitores que é um protocolo de comunicação alternativo ao Transmission Control Protocol usado para estabelecer conexões de baixa latência e tolerantes a perdas entre aplicativos na Internet.

Na quarta-feira, Respeto postou que "Como o UDP é um protocolo sem estado, as solicitações ao serviço WSD podem ser falsificadas. "

WSD significa Web Services Dynamic Discovery. Catalin Cimpanu em ZDNet descreveu o WSD como "um protocolo multicast que pode ser usado em redes locais para 'descobrir' outros dispositivos próximos que se comunicam por meio de um determinado protocolo ou interface".

OK, então aqui está o papel feio que o WSD está desempenhando neste caso, como o Respeto da Akamai descobriu.

Ele forneceu uma história de como isso aconteceu e os problemas agora:

O WSD foi enviado como um conjunto de recursos e serviço padrão, começando com o Windows Vista. Ele foi incluído nas impressoras HP desde 2008. Quanto aos dispositivos que a equipe da Acamai descobriu na Internet que expunham e respondiam incorretamente ao WSD, "a maioria consiste em câmeras CCTV e sistemas DVR [gravador de vídeo digital], uma tendência que não é surpreendente neste momento. "

Anthony Spadafora em TechRadar disse que a técnica dos invasores em abusar do protocolo WSD foi "usada por uma ampla gama de dispositivos de rede para se conectar automaticamente uns aos outros. O protocolo WSD permite que os dispositivos enviem pacotes de protocolo de datagrama do usuário (UDP) pela porta 3702 para descrever os recursos e requisitos de um dispositivo. "

O que primeiro colocou Akamai na trilha da bola de demolição? Respeto disse que "um dos nossos clientes foi atacado. O ataque, que visava a indústria de jogos, pesava 35 / Gbps na largura de banda de pico. "Mais pesquisas da equipe foram feitas sobre as implementações do protocolo WSD:

Respeto disse que "o SIRT foi capaz de atingir taxas de amplificação de até 15, 300% do tamanho original do byte. Isso coloca o WSD em 4º lugar na classificação de ataques DDoS para o maior fator de amplificação refletido. "

Da empresa provedora de serviços DDoS-GUARD:

"Certos comandos para protocolos UDP geram respostas muito maiores do que a solicitação inicial. Anteriormente, os atacantes eram limitados pelo número linear de pacotes enviados diretamente ao alvo para realizar um ataque DoS; agora, um único pacote pode gerar entre 10 e 100 vezes a largura de banda original. Isso é chamado de amplificação do ataque. "

Algo chamado de fator de amplificação de largura de banda pode medir o efeito potencial de um ataque de amplificação, e é "calculado como o número de bytes de carga útil UDP que um amplificador envia para responder a uma consulta, em comparação com o número de bytes de carga útil UDP da consulta. "

Não há desculpa para dizer 'e daí' aqui. Spadafora disse que a amplificação "torna o WSD uma das técnicas mais poderosas no arsenal de um hacker para amplificar ataques DDoS, que podem ser incapacitantes para empresas e consumidores".

Um motivo de preocupação desta vez dependia do próprio conjunto de dispositivos disponíveis.

Spadafora:"... a nova técnica que está sendo empregada por hackers ainda é motivo de preocupação devido ao pool de dispositivos disponíveis que a Akamai estima ser superior a 802k." Lily Hay Newman em Com fio :"A Akamai estima que até 800, 000 dispositivos expostos na Internet podem receber comandos WS-Discovery. O que significa que, enviando 'sondas, uma espécie de solicitação de chamada, você pode gerar e direcionar uma mangueira de incêndio de dados nos alvos. "

O que há para os hackers? O que eles estão ganhando com isso? Robert Hackett na quinta-feira em Fortuna tentou responder. Ele disse que derrubar alvos off-line em ataques de "negação de serviço distribuída" era "às vezes apenas por diversão, outras vezes, até que a vítima pague o resgate. "

Mitigação?

Respeto disse que "Apenas colocar blocos na porta UDP de origem 3702 vai evitar que o tráfego atinja seus servidores. Mas isso é apenas metade do problema, pois o tráfego ainda está congestionando a largura de banda em seu roteador. É aqui que o seu provedor de mitigação de DDoS entraria e adicionaria a ACL necessária para bloquear o tráfego de ataque. "

ACL significa Listas de Controle de Acesso. ACLs são os filtros de pacotes de uma rede, disse Sistemas iTT . "Eles podem restringir, permitir, ou negar tráfego, o que é essencial para a segurança. Uma ACL permite que você controle o fluxo de pacotes para um único ou grupo de endereços IP ou diferentes para protocolos, como TCP, UDP, ICMP, etc. "

Algumas conclusões da Respeto:

(1) "WSD é um grande risco na Internet que pode levar a uma grande largura de banda usando CCTV e DVRs.". Os fabricantes podem limitar o escopo do protocolo UDP na porta 3702 ao espaço IP multicast.

(2) "As organizações devem estar prontas para encaminhar o tráfego para seu provedor de mitigação de DDoS se forem atingidas por este grande ataque. Devido a seus grandes fatores de amplificação, esperamos que os invasores percam pouco tempo aproveitando o WSD para uso como um vetor de reflexão. "

Qual é o próximo?

Hackett viu os "grupos preocupados com a segurança" como propensos a persuadir aqueles que possuem dispositivos vulneráveis ​​- sejam empresas ou consumidores - a atualizá-los. Para os que pensam tecnicamente, ele adicionou, "isso significa bloquear as comunicações para a porta 3702." Eles também podem recomendar a aplicação de firewalls ou a remoção de dispositivos da Internet pública. "Em última análise, se o problema sair do controle, Provedores de serviços de Internet podem ser atraídos, bloqueando o tráfego suspeito. "

© 2019 Science X Network