Sind die Tage des - Booter - Service Nummerieren Krebs auf Sicherheit
Sind die Tage des „Booter“ Service Nummerieren?
Die Ergebnisse stammen von den Forschern in Deutschland, die bereits Muster studiert, die entstehen, wenn Missetäter zu Massen scannen das gesamte Internet für Systeme nützlich für die Einführung dieser digitalen Belagerungen suchen versuchen - bekannt als „Distributed Denial-of-Service“ oder DDoS-Attacken.
In diesen Tagen, aber auch die am wenigsten anspruchsvolle Internet-Nutzer kann relativ großen DDoS-Attacken starten nur von ein paar Dollar für ein Abonnement zu einer von Dutzenden von booter oder stresser Dienste zu bezahlen, von denen einige sogar Kreditkarten und PayPal-Zahlungen akzeptieren.
Aber das hintere Ende des booter Service ist, wo die wirklich interessanten Sachen passieren. Praktisch alle der mächtigsten und effektive Art Angriff durch booter Dienste verwendet werden, beruhen auf einer Technik namens Traffic Verstärkung und Reflexion. in denen der Angreifer reflektieren oder „Parodie“ seinen Verkehr von einer oder mehreren Fremdmaschinen in Richtung der beabsichtigten Ziel.
Bei dieser Art von Angriff sendet der Angreifer eine Nachricht an einen Dritten, während die Adresse des Opfers Internet-Spoofing. Wenn der Dritte auf die Nachricht antwortet, wird die Antwort auf die Opfer geschickt - und die Antwort ist viel größer als die ursprüngliche Nachricht, wodurch die Größe des Angriffs zu verstärken.
Um verwundbare Systeme zu finden, die auf diese Weise genutzt werden können, booters beschäftigt groß angelegte Dienstleistungen Internet-Scanning, die ständig versuchen, die Liste der Systeme zu aktualisieren, die zur Verstärkung und Reflexion Angriffen verwendet werden können. Sie tun dies, weil, wie Forschung (PDF) gezeigt hat, überall von 40 bis 50 Prozent der Verstärker verschwinden oder eine neue Internet-Adressen nach einer Woche neu zugewiesen werden.
Um dies zu erreichen, baute das Forscherteam eine Art verteilt „Honeypot“ System - die sie als „AmpPot“ genannt - entwickelt Dienstleistungen zu imitieren bekannt, dass sie anfällig für Angriffe Verstärkung, wie DNS und NTP Überschwemmungen.
„Wenn die Konzentration auf Verstärkung DDoS-Attacken, finden wir, dass fast alle von ihnen (> 96%) durch einzelne Quellen verursacht werden (zum Beispiel booters) und Botnets nicht“, schloß das Team. „Aber wir leider nicht über die Zahlen, dies zu vergleichen [zu] DoS-Angriffe im Allgemeinen.“
Viele große Internet-Scans wie die, die die Forscher zu messen gesucht werden von Sicherheitsfirmen und anderen Forschern ins Leben gerufen, so dass das Team einen Weg zwischen den Scans durch booter Dienste und diejenigen durchgeführt, für die Forschung oder andere gutartige Zwecke ins Leben gerufen zu unterscheiden benötigt.
„Zur Unterscheidung zwischen den Scans von Forschern und Scans durchgeführt, mit böswilliger Absicht führten wir auf eine einfache Annahme verlassen: Dass kein Angriff auf die Ergebnisse einer Überprüfung durch (ethischen) Forscher, die beruhen würde“, sagte Johannes Krupp. einer der wichtigsten Autoren des Berichts. „In der Tat, dank unserer Methodik, wir müssen nicht diese Unterscheidung im Voraus machen, aber wir können nicht die Ergebnisse betrachten und sagen:‚. Wir haben zu diesem Scanner verknüpfen Angriffe, daher diese Scanner böswillige gewesen sein muss‘ Wenn ein Scan wirklich von gutartigen Parteien durchgeführt wurde, werden wir nicht verbunden Angriffe, um es finden.“
SECRET IDENTIFIERS
Was in der Zeitung ist neu für IT-Sicherheit, Datenschutz und Verantwortung (CISPA) ist die Methode, mit der Universität des Saarlandes Zentrum von Studenten heute veröffentlicht werden, konnten die Forscher diese Massenscans der sehr Verstärkung Angriffe verknüpfen, die bald nach folgen.
Die Forscher erarbeitet einen Weg, um eine geheime Kennung in den Satz von AmpPot Honeypots, dass ein nachträglichen Angriff verwenden zu kodieren, die pro Abtastung Quelle variiert. Sie prüften dann, ob die Scan-Infrastruktur auch startete tatsächlich verwendet wurde (und nicht nur zur Vorbereitung), die Angriffe.
Ihre Regelung wurde teilweise auf der Idee basiert, dass ähnliche Verkehrsquellen sollten ähnliche Internet Entfernungen zurücklegen müssen, um die global verteilten AmpPot Sensoren zu erreichen. Dazu sahen sie die Anzahl von „Sprüngen“ oder Internet-Netzwerk-Segmente, die jeder Scan und Angriff hatte zu durchqueren.
Mit trilateration -die Prozess der Bestimmung absolute oder relative Positionen von Punkten durch die Messung von Abständen - das Forschungsteam konnte Scanner verknüpfen Ursprünge auf Sprungzählungen basierend angreifen.
Diese Methoden zeigte einige 286 Scanner, die von booter Dienstleistungen in Herstellung verwendet werden zur Verstärkung Angriffe zu starten. Ferner stellten sie fest, dass etwa 75 Prozent der Scanner in den Vereinigten Staaten befinden.
Die Forscher sagen, sie in der Lage waren, dass viele der gleichen Netzwerk, um zu bestätigen, die Host-Scanner auch verwendet werden, um die Angriffe zu starten. Bedeutsamer konnten sie etwa ein Drittel der Angriffe zurück zu ihrem Ursprung zuzuschreiben.
„Dies ist ein beeindruckendes Ergebnis gegeben, dass die manipulierten Quelle Verstärkung Angriffe in der Regel verborgen bleibt“, sagte Christian Rossow von Universität des Saarlandes.
Rosso sagte, das Team hofft, dass weitere Forschung über ihre Methoden zur Durchführung definitiver binden Scannen und Angriffsaktivitäten auf bestimmte booter Dienste mit Namen. Die Gruppe bietet bereits ein Service-Provider und ISPs Hosting Informationen über Vorfälle zu teilen (wie Angriff Start- und Endzeiten). Provider können dann den Angriff Informationen nutzen, um ihre Kunden zu informieren, oder Angriff Verkehr zu filtern.
„Wir geteilt haben unsere Ergebnisse mit den Strafverfolgungsbehörden - insbesondere Europol und dem FBI - und einem geschlossenen Kreis von Tier-1-Netzwerk-Anbieter, die unsere Erkenntnisse auf operativer Basis verwenden“, schreiben die Forscher. „Unser Ausgang kann als forensisches Beweismaterial verwendet werden, sowohl in rechtlichen Beschwerden und in einer Weise, sozialer Druck gegen Spoofing Quellen hinzuzufügen.“
Auch wenn diese neu beschriebenen Ermittlungsmethoden im Großen und Ganzen heute eingesetzt wurden, ist es unwahrscheinlich, dass booter Dienste würden in absehbarer Zeit weg gehen. Aber diese Forschung sicherlich das Versprechen hält, die Service-Besitzer booter in der Lage, die wahre Lage ihrer Betriebe zu verstecken weniger erfolgreich für die Zukunft. und dass vielleicht mehr von ihnen werden zur Rechenschaft für ihre Verbrechen statt.
Die Bemühungen von anderen Forschern haben es schwieriger für booter und stresser Dienste gemacht PayPal-Zahlungen zu akzeptieren. mehr booters zwingt auf Bitcoin mehr verlassen können.
Es stellte sich heraus, wurde vdos Infrastruktur um mehr als ein halbes Dutzend andere booter Dienste verwendet, und kurz nach vdos genommen wurde offline die meisten dieser Dienste wurde dunkel oder wurden ebenfalls abgebaut.
Viele booter Betreiber glauben anscheinend (oder zumindest verstecken sich hinter) ein wortreich „Terms of Service“ Vereinbarung, dass alle Kunden irgendwie anerkennen müssen sie von jeder Art von Haftung entbindet, wie ihre Kunden nutzen den Service - unabhängig davon, wie viel Handhaltung und technische Unterstützung, die sie bieten diesen Kunden.
Tatsächlich sind die Inhaber von vdos - wer über sie kurz nach meiner Geschichte verhaftet wurden - sagte dem Wall Street Journal über ihre Anwälte, dass: „Wenn ich eine Waffe zu kaufen war und etwas zu schießen, ist die Person, die die Waffe schuldig erfindet?“
„Ich kann absolut einen Tag sehen, wenn es vollständig entfernt ist“, sagte LaBrocca in einem Beitrag erklärt seine Handlungen. „Könnte sehr bald sein.“
Allerdings konnte ich einen Tag in der nicht allzu fernen Zukunft, in der booter-Service-Betreiber beginnen sehen die meisten ihr Geld verdienen, indem sie durch tatsächliche Botnets aus großen Netzwerken von gehackten Internet der Dinge (IoT) Geräte ins Leben gerufen viel mächtiger Angriffe Reselling - wie schlecht gesichert CCTV-Kameras und digitale Videorekorder (DVRs).
Eine Kopie des Papiers heute auf der ACM CSS-Konferenz in Wien veröffentlicht finden Sie hier (PDF).
Was ist ax Verkäufer oder Menschen Gewehre anonym in Länder verkauft, wo sie oder andere Gegenstände erlaubt ist, die möglicherweise für ungesetzliche oder schädliche Zwecke verwendet werden könnte?
MickeyD, das ist hier nicht ähnlich.
Leute verkaufen Achsen oder Gewehre tun. Sie verkaufen sie persönlich oder als Unternehmen.
Eine andere Sache ist, wenn die Kanonen Sie verkaufen nicht verkaufen sind. Aber gestohlen. Auch dies ist etwas, das die Botter tun. Sie sind das Eindringen in andere Menschen Systeme, die bereits allein ist ein Verbrechen.
Es gibt viele andere Dinge, die sie taten, die illegal sind. Sicher, können sie sagen, dass sie für ihre Kunden andere Menschen angreifen, nicht verantwortlich sind, aber sie können? Wenn es Gesetze und Vorschriften über andere Menschen System eindringende, Daten zu stehlen, und ein Verbrechen zu erleichtern (in diesem Fall angreift andere Systeme) Sie sind in der minimalen Menge mindestens ein Komplizen oder Vermittler. Unter den meisten Gewohnheitsrecht, können Sie sogar ein Komplize in Betracht gezogen werden, wenn Sie bei der Begehung des Verbrechens teilgenommen nicht aktiv war oder beteiligte sich nicht an der eigentlichen Handlung.
Jeder einen Dienst wie den Kauf dieses tut etwas illegal. Und die Person / Personen, die ein Unternehmen wie die Einstellung, sind ein illegales Geschäft läuft, die auf das gesamte Modell basiert Systeme mieten sie von anderen kidnappen und dann verwendet werden, andere Systeme offline zu nehmen.
Es gibt keinen Weg in die Hölle, werden sie damit durchkommen, auch wenn sie die besten Anwälte auf dem Planeten Erde zu mieten. Zumindest nicht in jedem Land, in dem es einige Rechtssysteme und Gerechtigkeit an seinem Platz ist.