Kirjaudu

Uutiskirje

Rekisteröidy Sektoriin ja tilaa itsellesi joko aamuisin tai iltaisin ilmestyvä uutiskirje sähköpostiisi.

Tiistai, 26.11.2002

DDoS-hyökkäys .info-juurinimipalvelinta vastaan

.info-juurinimipalvelimesta vastaava UltraDNS joutui viime viikolla massiivisen palvelunestohyökkäyksen (DDoS, distributed denial of service) kohteeksi. Neljä tuntia kestäneessä hyökkäyksessä lähetettiin kaksi miljoonaa pyyntöä jokaiseen UltraDNS:n järjestelmän ja Internetin yhdistävään laitteeseen. "Tämä on suurin hyökkäys, mitä olemme nähneet", sanoi UltraDNS:n toimitusjohtaja Ben Petro.

Hyökkäys ei vaikuttanut UltraDNS:n DNS-palveluun, mutta sen ylläpitäjillä riitti kiirettä. "Verkkoylläpidon näkökulmasta me todellakin olimme varpaillamme", Petro totesi. Hyökkäys tapahtui lähes tarkalleen kuukausi sen jälkeen, kun jättimäinen DDoS-hyökkäys onnistui lamauttamaan seitsemän Internetin kolmestatoista juurinimipalvelimesta.

Lue juttu K2, 26.11.2002 13:14. Lähde: ZDNet

Muita aiheeseen liittyviä uutisia

Rekisteröidy ja kirjaudu sisään, jos haluat kommentoida.

Kommentit ( 45 uutta / 45 )
pistettä.
Näytä vain kommentit joilla on vähintään
Hyökkääjät kiinni
Anonyymi kommentoija, 26.11.2002 13:19:15		 Pisteet: 0
Mitä iloa on saada joku juuripalvelin kyykkyyn.

Miksei hyökkääjiä oteta kiinni ja anneta sakkoja?
gmarx Re: Hyökkääjät kiinni
gmarx, 26.11.2002 13:45:15		 Pisteet: +1
Mitä iloa on saada joku juuripalvelin kyykkyyn. Miksei hyökkääjiä oteta kiinni ja anneta sakkoja?
Hyökkääjä käyttää hyväkseen viattomien Teppo Tumpeloiden koneita, joihin on päässyt livahtamaan kyseisen pahantekijän kontrollissa olevia troijalaisia. Tämä nilkki voi sitten käskyttää "armeijaansa", johon voi kuulua tuhansia koneita, sellaisella tavalla, että jäljitys on erittäin hankalaa. Myös yksittäisten hyökkäyksessä käytettävien koneiden jäljitys on raskasta hommaa, koska koneet voivat olla monen eri ISP:n takana, ja heidän into puuttua asiaan on vielä erillisen kädenväännön takana.
setae Re: Hyökkääjät kiinni
setae, 26.11.2002 13:37:06		 Pisteet: +1
Miksei hyökkääjiä oteta kiinni ja anneta sakkoja?
Samasta syystä kun kaikkia rikollisia ei laiteta vastuuseen teoistaan. Ei tiedetä, ketä he ovat, ja varsinkin kun ei sitä pystytä pitävästi todistamaan.

Nuo DDos-hyökkäykset ovat usein pitkälti zombie-koneilla toteutettuja (eli joku viriili tai toijalainen koneella, kone odottelee valmiina hyökkäämään käskystä tietyn kohteen kimppuun). Onko tämä onneton koneen omistaja, jonka kone palvelun kimppuun hyökkäsi, syyllinen? Yhteysketju näille hyökkääville koneille siltä koneelta, josta käsky annetaan, on varmasti tehokkaasti peitelty ja usean mutkan (ja eri maan) kautta kierretty, joten jäljitys on hankalaa ellei liki mahdotonta.
Re: Hyökkääjät kiinni
Anonyymi kommentoija, 26.11.2002 14:18:07		 Pisteet: 0
imppuun). Onko tämä onneton koneen omistaja, >jonka kone palvelun kimppuun hyökkäsi, syyllinen?
Aika hyvä kysymys. Nykyisen jenkkitrendin huomioiden varmaan pian onkin syyllinen. Onhan jokaisen huolehdittava auton ajokelpoisena pitämisestä ja katsastamisesta, miksi ei siis kotitietokoneen tietoturvasta. Suomalainen holhousyhteiskunta varmaan omaksuu tämän ajattelumallin ajatustakin nopeammin.
setae Re: Hyökkääjät kiinni
setae, 26.11.2002 14:29:41		 Pisteet: 0
Aika hyvä kysymys. Nykyisen jenkkitrendin huomioiden varmaan pian onkin syyllinen. Onhan jokaisen huolehdittava auton ajokelpoisena pitämisestä ja katsastamisesta, miksi ei siis kotitietokoneen tietoturvasta.
Tai sitten syyllinen on yritys, joka myi tuotteen jonka käyttöehdoissa ei ehdottomasti kielletty jotain tälläistä. Toimisi lienee muuten hyvin, mutta kun tuotteen (ohjelmisto, jonka kautta hyökkäys oli mahdollinen) valmistaja on lähes varmasti Microsoft..
feenix Re: Hyökkääjät kiinni
feenix, 26.11.2002 19:03:55		 Pisteet: 0
Tai sitten syyllinen on yritys, joka myi tuotteen jonka käyttöehdoissa ei ehdottomasti kielletty jotain tälläistä. Toimisi lienee muuten hyvin, mutta kun tuotteen (ohjelmisto, jonka kautta hyökkäys oli mahdollinen) valmistaja on lähes varmasti Microsoft..
Kielletä mitä? Käyttöönottoa troijalaisella? Käyttöä hyökkäyksiin? Se nyt ei yllättäen mitään auta.

Ja oikeasti jos tutkii, niin aika usein ne käyttöönotetut koneet on ihan muun kuin MS:n tekemiä, korkeintaan tyhmiä "lähetä paketteja tonne"-tyyppisiä viruksia/troijalaisia taitaa MS:n tuotteiden päällä pyöriä.

Mutta mielestäni ei olisi ollenkaan pahasta että kaikkien hyökkäykseen osallistuneiden koneiden ylläpitäjiä pidettäisi osasyyllisinä, on sitten kotikäyttäjiä tai yritysten admineja. Ei tietenkään mitään pahoja rangaistuksia, varsinkaan jos voi näyttää että tietoturvasta on jotenkin edes huolehdittu. Mutta jos on täysin tumpelo, ei pitäisi edes konettaan verkkoon noin vaan tunkea.

Monilta harmeilta olisi vältytty jos vaadittaisi ajokortti sen tietokoneen ajamisesta intternetskussakin...
setae Re: Hyökkääjät kiinni
setae, 26.11.2002 23:18:52		 Pisteet: 0
Kielletä mitä? Käyttöönottoa troijalaisella? Käyttöä hyökkäyksiin? Se nyt ei yllättäen mitään auta.
Auttaako "mikroaaltouunia ei saa käyttää kotieläimien kuivaamiseen" tekstit? Ameriikan taivasmaa on asianajajien luvattu maa.
feenix Re: Hyökkääjät kiinni
feenix, 27.11.2002 11:23:22		 Pisteet: 0
Auttaako "mikroaaltouunia ei saa käyttää kotieläimien kuivaamiseen" tekstit? Ameriikan taivasmaa on asianajajien luvattu maa.
Varmasti auttavat. Ihmiset ovat tyhmiä. Väitätkö silti että on sama asia sanoa _käyttöohjeessa_ että "älä kuivata kissaasi täällä, kuin sanoa _lisenssissä_ että "älä käytä tätä väärin"? Samalla tavallahan varkaudetkin siis loppuisivat, laitetaan kauppoihin kyltit "älä varasta". Ai niin, siellähän on jo...
setae Re: Hyökkääjät kiinni
setae, 27.11.2002 12:50:40		 Pisteet: 0
Väitätkö silti että on sama asia sanoa _käyttöohjeessa_ että "älä kuivata kissaasi täällä, kuin sanoa _lisenssissä_ että "älä käytä tätä väärin"?..
Kuinkas nyt lisenssit sotkit mukaan? Tarkoitin juuri tuota ohjelmiston (tässä tapauksessa Windowsin) käyttöohjetta, jossa ei erikseen kielletä jokaista mahdollista asiaa mitä ohjelmalla ei saisi tehdä - vaikka juuri jättää tunnuksia suojaamatta salasanalla ja käynnistelemättä palveluja joilla joku voi koneen ottaa valtaansa, ja aiheuttaa tuhoa muualle.

Monen muun tuotteen kohdalla voisi tässä tilanteessa nuo vahinkoasianajajat (vai mikä se nimitys näistä epämääräisistä juristeista olikaan) olla jo oikeustalon portailla paperit kourassaan.
feenix Re: Hyökkääjät kiinni
feenix, 29.11.2002 13:39:58		 Pisteet: 0
Kuinkas nyt lisenssit sotkit mukaan? Tarkoitin juuri tuota ohjelmiston (tässä tapauksessa Windowsin) käyttöohjetta, jossa ei erikseen kielletä jokaista mahdollista asiaa mitä ohjelmalla ei saisi tehdä - vaikka juuri jättää tunnuksia suojaamatta salasanalla ja käynnistelemättä palveluja joilla joku voi koneen ottaa valtaansa, ja aiheuttaa tuhoa muualle.
Puhuit käyttöehdosta, eli lisenssistä. Käyttöohje on aivan eri asia. Siinä ei voida kieltää asioita sopimuksenmukaisesti. Siinä voitaisi kyllä ohjastaa, ja niin niissä ohjastetaankin yleensä.

Monen muun tuotteen kohdalla voisi tässä tilanteessa nuo vahinkoasianajajat (vai mikä se nimitys näistä epämääräisistä juristeista olikaan) olla jo oikeustalon portailla paperit kourassaan.
Kuten vaikka autonvalmistajien kun tekevät lukkoja jotka voidaan murtaa ja joku voi ajaa sillä autolla jonkun yli? Kuten kirveenvalmistajien, kun eivät kirjoita tuotteisiinsa "älä käytä ihmisiin"? Asevalmistajien? Hackmannin paistinpannuissa ja leipäveitsissäkään ei lue "älä hakkaa nauloja tai ihmisiä", ei niitä silti haasteta oikeuteen jne. Ja maalaisjärki jo sanoo miksei.
setae Re: Hyökkääjät kiinni
setae, 2.12.2002 22:04:20		 Pisteet: 0
a maalaisjärki jo sanoo miksei.
Yhdysvaltain oikeuslaitos ei tunne käsitettä "maalaisjärki". Jos et usko, etsi huviksesi käsiin lista, jossa on mm. tämä mummo joka sai miljoonan tai enemmän mcdonaldsista kun kuuma kahvimuki polttikin syliin laitettuna ja niin edelleen.
Bling Re: Hyökkääjät kiinni
Bling, 26.11.2002 16:09:44		 Pisteet: 0
nhan jokaisen huolehdittava auton ajokelpoisena pitämisestä ja katsastamisesta, miksi ei siis kotitietokoneen tietoturvasta. Suomalainen holhousyhteiskunta varmaan omaksuu tämän ajattelumallin ajatustakin nopeammin.
Mutta toisaalta eikö tuota vois verrata luvattomaksi käyttöönotoksi. Eikai auton omistajaa veetä raastuvaan jos joku varastaa sen auton ja ajaa sillä jonku yli.
IE is like the language of south park. It should not be used by anyone but still it is used by the great majority
lokori Re: Hyökkääjät kiinni
lokori, 26.11.2002 16:49:47		 Pisteet: 0
Mutta toisaalta eikö tuota vois verrata luvattomaksi käyttöönotoksi. Eikai auton omistajaa veetä raastuvaan jos joku varastaa sen auton ja ajaa sillä jonku yli.
Joo, näinhän se on. Kai tuossa on sitten jotain tekemistä sillä miten avoimeksi koneensa jättää (vrt. autossa avaimet virtalukossa).
Re: Hyökkääjät kiinni
Anonyymi kommentoija, 27.11.2002 10:47:57		 Pisteet: 0
Joo, näinhän se on. Kai tuossa on sitten jotain tekemistä sillä miten avoimeksi koneensa jättää (vrt. autossa avaimet virtalukossa).
Analogia hieman ontuu. Ei omistaja siltikään ole vastuussa vaikka autoon avaimet jättäisi ja voro sillä jonkun yli ajaisi.
Bostik Re: Hyökkääjät kiinni
Bostik, 26.11.2002 13:35:22		 Pisteet: +1
Mitä iloa on saada joku juuripalvelin kyykkyyn.
Erittäin hyvä kysymys. Veikkaisin virtuaalisen peniksen venytystä.

Miksei hyökkääjiä oteta kiinni ja anneta sakkoja?
Koska ei tiedetä, ketkä hyökkäyksen todella tekivät.

1) Hyökkääjät eivät koskaan käytä omaa yhteyttään, vaan komentavat tuhansia zombie-koneita ympäri maailmaa. Hyvin todennäköisesti tämä komentoyhteyskin on murretun koneen (tai parin kolmen) kautta, joten varsinaista hyökkäyksen alkuunpanijaa ei löydetä.

2) Jotkin DDoS-"työkalut" väärentävät lähtöosoitteen, joten edes saastuneiden koneiden sijaintia ei välttämättä aina tiedetä.
Kyynisyys on optimismia
Re: Hyökkääjät kiinni
Anonyymi kommentoija, 26.11.2002 15:58:28		 Pisteet: 0
Sota johtaa evoluution kehittymiseen... eli jospa pojilla on ideana saada byrokratian rattaat toimimaan siihen suuntaan että saisivat interrnetin parempaan kuntoon kun itsekkin kuitenkin pelkäävät elää verkossa.
Re: Hyökkääjät kiinni
Anonyymi kommentoija, 26.11.2002 17:41:15		 Pisteet: 0
Sota johtaa evoluution kehittymiseen... eli jospa pojilla on ideana saada byrokratian rattaat toimimaan siihen suuntaan että saisivat interrnetin parempaan kuntoon kun itsekkin kuitenkin pelkäävät elää verkossa.
Henk koht veikkaus on että näillä hyökkäyksillä ei saada aikaan muuta kuin rajoittuneempi internet. Nykyään jo luetaan paketeista matkan varrelta viruksia pois niin voisi kuvitella että seuraava askel olisi plokata moiset hyökkäykset mahdollisimman aikaisessa vaiheessa isp:n toimesta. Tuskin tuollaisen tekeminen mahdotonta olisi siis lukea pakateista että nyt on sekunnin aikana lähtenyt 100 Dos pyyntöä ositteeseen x, joka tuskin on normaalia.

Harvoin resursseja käytetään ihmisten seurailuun jos siihen ei suoraa tarvetta ole.
Re: Hyökkääjät kiinni
Anonyymi kommentoija, 26.11.2002 18:32:21		 Pisteet: +1
Henk koht veikkaus on että näillä hyökkäyksillä ei saada aikaan muuta kuin rajoittuneempi internet. Nykyään jo luetaan paketeista matkan varrelta viruksia pois niin voisi kuvitella että seuraava askel olisi plokata moiset hyökkäykset mahdollisimman aikaisessa vaiheessa isp:n toimesta. Tuskin tuollaisen tekeminen mahdotonta olisi siis lukea pakateista että nyt on sekunnin aikana lähtenyt 100 Dos pyyntöä ositteeseen x, joka tuskin on normaalia.
100 Dos pyyntöä ? Näinhän se homma menee, että lähetetään paketteja osoitteeseen xxx.xxx.xxx.xxx ja siellä headerissa lukee "Hei olen Dos paketti". Esimerkki DoS hyökkäyksestä voisi olla, että 100 eri koneelta lähetetään täysin laillisia yhteyden muodostamisessa tarvittavia SYN ja ACK paketteja. Näitäkyn lähetetään tarpeeksi saadaan aikaiseksi denial of service eli suomeksi palvelun esto hyökkäys, eli kulutetaan esimerkiksi vaikkapa jonkin yksittäisen web palvelimen resurssit.
Re: Hyökkääjät kiinni
Anonyymi kommentoija, 27.11.2002 23:22:28		 Pisteet: 0
100 Dos pyyntöä ? Näinhän se homma menee, että lähetetään paketteja osoitteeseen xxx.xxx.xxx.xxx ja siellä headerissa lukee "Hei olen Dos paketti". Esimerkki DoS hyökkäyksestä voisi olla, että 100 eri koneelta lähetetään täysin laillisia yhteyden muodostamisessa tarvittavia SYN ja ACK paketteja. Näitäkyn lähetetään tarpeeksi saadaan aikaiseksi denial of service eli suomeksi palvelun esto hyökkäys, eli kulutetaan esimerkiksi vaikkapa jonkin yksittäisen web palvelimen resurssit.
Ei ole aivan normaalia, että yhtäkkiä lähtee kauhea kasa SYN ja ACK paketteja yhteen koneeseen.
Re: Hyökkääjät kiinni
Anonyymi kommentoija, 28.11.2002 15:14:53		 Pisteet: 0
100 Dos pyyntöä ? Näinhän se homma menee, että lähetetään paketteja osoitteeseen xxx.xxx.xxx.xxx ja siellä headerissa lukee "Hei olen Dos paketti". Esimerkki DoS hyökkäyksestä voisi olla, että 100 eri koneelta lähetetään täysin laillisia yhteyden muodostamisessa tarvittavia SYN ja ACK paketteja. Näitäkyn lähetetään tarpeeksi saadaan aikaiseksi denial of service eli suomeksi palvelun esto hyökkäys, eli kulutetaan esimerkiksi vaikkapa jonkin yksittäisen web palvelimen resurssit.
Tarkoittanet syn floodia? Tässä tapauksessa lähetetään kasa SYN packetteja (eikä mitään ACK:ia) jolloinka palvelimen initialize connection puskuri täyttyy eikä siten suostu enää hyväksymään uusia yhteyksiä.

Syn floodeja vastaan löytyy lukuisia tuotteita, ja valtaosa esim layer-4 kytkimistä osaavat suodattaa liiallisia SYN paketteja tietystä hostista, ja esim Checkpointin Firewall-1:ssa on SynDefender toiminto joka ainakin uusimissa versioissa toimii varsin tehokkaana suojana alkeellisia SYN floodeja vastaan.
Re: Hyökkääjät kiinni
Daedalon, 26.11.2002 19:05:02		 Pisteet: +1
Mitä iloa on saada joku juuripalvelin kyykkyyn.
Tätä olen itsekin koittanut pohtia moneen otteeseen. Yleisin syy on varmasti tekijälle itselleenkin epäselvä viehätys ja tutkinta: kokeillaan, millä kaikella pystytään maailmaan vaikuttamaan.

Muita mahdollisia syitähän olisivat esimerkiksi poliittiset syyt. Esimerkiksi joku on hyvinkin saattanut ottaa nokkiinsa jostain tavalliselle ihmiselle täysin käsittämättömästä asiasta ja lähtenyt "hakemaan oikeutta" tuolla tapaa. Vertauskohteina esimerkiksi kettutytöt ja terroristit.

Joku DoS-hyökkäys mistä luin, oli tehty sen takia, että joku oli käsittänyt sivuston ylläpitäjän haukkuneen hänen kaveriaan.

Miksei hyökkääjiä oteta kiinni ja anneta sakkoja?
Tämä on myös jaksanut ihmetyttää minua vaikka kuinka pitkään. Tietoteknisen rikollisuuden torjunnan periaatteenahan on, että kaikki on jäljitettävissä. Internet on täynnään palvelimia, joihin jää jälkiä milloin mistäkin, joten kyse on vain motiiveista. Mikä halutaan saada selville, se myös saadaan selville.

Yleisesti käytetyt DoS-työkaluthan käyttävät perinteisiä menetelmiä kuten syn floodia, ja yhdistävät siihen nimiosoitteiden väärentämistä ynnä muuta. Tämä vain vaikeuttaa ja hidastaa selvitystyötä, mutta ei tee sitä mahdottomaksi.

Perinteinen esimerkkihän on 37 palvelimen kautta kulkenut hakkerointi, joka selvitettiin palvelin kerrallaan ja syyllinen vietiin leivättömän pöydän eteen.

Olen mietiskellyt, millainen mahtaisi olla täydellinen tietotekninen rikos. Sellainen, joka on niin merkittävä, että se huomataan, mutta jota vain ei voida jäljittää. Hyökkäyksen suorittaminen anonyymilta koneelta olisi melko hankalaa, sillä niillä ei usein ole mahdollisuuksia sellaisen järjestämiseen.

Hyökkäyksethän tapahtuvat useita koneita käyttäen (siitä etuliite distributed DoS:n eteen), mutta jokainen niihin otettu yhteys jää yleensä yhteen tai useampaan logiin reitittimissä ja muissa yhteydenvälittäjissä ympäri maailman. Näin siis saadaan selville seuraava askel selvitettäessä polkua uhrilta tekijälle.

Lähestulkoon jokaisen netissä olevan koneen käyttäjäkunta pystytään selvittämään, vaikka koko kone hävitettäisiinkin. Ainakin länsimaissa. Jostain Aasian valtiostahan tuollainen vielä onnistuisi.
Re: Hyökkääjät kiinni
Anonyymi kommentoija, 26.11.2002 20:29:09		 Pisteet: +1
Hyökkäyksen suorittaminen anonyymilta koneelta olisi melko hankalaa, sillä niillä ei usein ole mahdollisuuksia sellaisen järjestämiseen.
ei se ole vaikeaa.. kannettava tietokone+kännykkä(mahdollisesti varastettu ja/tai datapiuhalla tunnistamattomaksi muutettu)+prepaid liittymä+ilmainen soittosarja.. alkaa olla jo melkolailla anonyymi, eikä ole edes sijaintiin sidottu

zombie-koneilla saadaan tuhoa aikaan helposti ja niitä on määrättömästi tarjolla.. kokeile esim googlella "appz site:.de" löytyy kolmisenkymmentä sivustoa jotka kylvävät jonkinsortin executablea koneelle ie:n tietoturvareikiä hyödyntäen
Re: Hyökkääjät kiinni
Daedalon, 26.11.2002 22:00:04		 Pisteet: +1
ei se ole vaikeaa.. kannettava tietokone+kännykkä(mahdollisesti varastettu ja/tai datapiuhalla tunnistamattomaksi muutettu)+prepaid liittymä+ilmainen soittosarja.. alkaa olla jo melkolailla anonyymi, eikä ole edes sijaintiin sidottu
Prepaid-liittymätkin jäävät operaattorin logeihin. Kännykkä pystytään jäljittämään päällä ollessaan Suomessa aarin tarkkuudella.

Suomessahan laki velvoittaa operaattoreita säilyttämään vaikka minkälaista tietoa parin vuoden ajan. Hyvinkin mahdollista että paitsi käytetyn kännykän MAC-koodi tai vastaava, käytetty tukiasema ja suoritetun yhteyden ajankohta kuuluisivat säilytettäviin. Kukaties paljon muutakin.

zombie-koneilla saadaan tuhoa aikaan helposti ja niitä on määrättömästi tarjolla.. kokeile esim googlella "appz site:.de" löytyy kolmisenkymmentä sivustoa jotka kylvävät jonkinsortin executablea koneelle ie:n tietoturvareikiä hyödyntäen
DSL-käyttäjien koneilla vaan ei paljoa tee, kun juuripalvelinten nopeudet on kuitenkin gigaluokkaa. Ahkeralla krakkerilla kun on joka tapauksessa runsaudenpula 100-megaisista palvelimista. Vähän simppeliä automaatiota ja 200 rootattua konetta viikossa on todellisuutta.

Krakkerin kolme pahinta vihollista minun luonnehdintani mukaan, vaarattomimmasta vaarallisimpaan:

1. Ylläpitäjä, joka hakkeroinnin huomatessan asentaa koko järjestelmän uusiksi ja jättää asian sikseen.

2. Toinen hakkeri, joka kaappaa esimerkiksi käytetyn DoSnetin tai muutoin aiheuttaa jotain haittaa, joka tuntuu jo käytännössä.

3. Ylläpitäjä tai muu verkkoa tarkkaileva henkilö, joka väärinkäytöstä epäillessään lähtee selvittämään asiaa ja tekee siitä rikosilmoituksen.

Tarkempaa luotausta aiheeseen löytyy painetussa muodossa ja suomeksi esim. Talentumilta, http://kauppapaikka.talentum.com/display.asp?show=...
Re: Hyökkääjät kiinni
Anonyymi kommentoija, 26.11.2002 23:42:27		 Pisteet: +1
Prepaid-liittymätkin jäävät operaattorin logeihin.
Mutta milläs selvität kuka sen liittymän on ostanut? Tietääkseni niitä saa ostaa täysin nimettömasti.
Kännykkä pystytään jäljittämään päällä ollessaan Suomessa aarin tarkkuudella.
Voidaanhan se sijainti määrittää aarin tarkkuudella, mutta mitä hyötyä siitä on jos yhteys on vain hetkellinen? Tuskin operaattori peilaa kokoajan kaikkia verkossa olevia puhelimia ja paikantaa niiden sijaintia logeihinsa.
Ei vaadi montaa minuttia laukaista ddos hyökkäystä valmistelluilta koneilta, katso http://lockdowncorp.com/bots/gallery.html kuvagalleria kuinka botnet toimii. Voit laskea kauanko kestää, kun laitat kännykän päälle, soitat nettiin, laukaiset hyökkäyksen jotain kohdetta vastaan, sammutat yhteyden ja kävelet pois laitteet kainalossa. Oletetaan että operaattori peilasi puhelimesi heti kun käynnistit sen, ja arvioidaan että aikaa sinulla meni noin 5-10 minuuttia kaiken em. tekemiseen, ja vertaat tuota aikaa esim poliisin vasteaikaan haja-asutusalueella. Operaattori soittaa poliisille, ja he lähettävät partion aarin kokoiselle alueelle(jos lähettävät). Ennenkuin partio paikantaa koordinaatit, aikaa on kulunut jo vähintään 15min-30min. Jos olit autolla liikkeellä, ehdit ajaa noin 3km päähän paikasta taajamanopeutta ajaen, kävellenkin ehdit jo yli puolen kilometrin päähän paikalta, ts. kauas pois silmistä.

Suomessahan laki velvoittaa operaattoreita säilyttämään vaikka minkälaista tietoa parin vuoden ajan. Hyvinkin mahdollista että paitsi käytetyn kännykän MAC-koodi tai vastaava, käytetty tukiasema ja suoritetun yhteyden ajankohta kuuluisivat säilytettäviin. Kukaties paljon muutakin.
Kännyköissä on IMEI-laitetunnus, ei MAC osoitetta(en tiedä varmaksi gprs puhelimista), ja molemmat ovat vaihdettavissa niin kännykkään kuin mihin tahansa verkkokorttiinkin netistä löytyvillä ohjelmilla, ja jos kännykkä on varastettu niin eihän sitä tarvitse päällä säilytellä, tai säilyttää ollenkaan, soittaa puhelun ja heittää luurin järveen

DSL-käyttäjien koneilla vaan ei paljoa tee, kun juuripalvelinten nopeudet on kuitenkin gigaluokkaa. Ahkeralla krakkerilla kun on joka tapauksessa runsaudenpula 100-megaisista palvelimista. Vähän simppeliä automaatiota ja 200 rootattua konetta viikossa on todellisuutta.
todennäköisempänä pitäisin kuitenkin zombie-koneiden luomista matojen(nimda,code red, jne) avulla, tehokkaasti leviävä mato joka hyödyntäisi tuntematonta turvallisuusaukkoa voisi helposti saastuttaa tuhansia koneita lyhyellä aikavälillä, eikä olisi suurta väliä minkätasoinen yhteys saastuneessa koneessa on jos koneita on tuhansia ellei jopa satoja tuhansia. Sadallatuhannella 56k modeemillakin voisi floodata nurin pienemmän reitittimen ja katkaista verkon kohtalaiselta alueelta

Krakkerin kolme pahinta vihollista minun luonnehdintani mukaan, vaarattomimmasta vaarallisimpaan: 1. Ylläpitäjä, joka hakkeroinnin huomatessan asentaa koko järjestelmän uusiksi ja jättää asian sikseen.
huono ylläpitäjä, tulisi selvittää miksi koneelle on päästy alunperin ja estettävä sen toistuminen
2. Toinen hakkeri, joka kaappaa esimerkiksi käytetyn DoSnetin tai muutoin aiheuttaa jotain haittaa, joka tuntuu jo käytännössä.
tämä vaikuttaa eniten pieniin palveluntarjoajiin.. keskenään tappelevat "dossaajat" voivat katkaista verkon jopa päiviksi -> haittaa liiketoimintaa jos esim webhotellia ylläpitävät ja pahimmassa tapauksessa menettävät asiakkaita
3. Ylläpitäjä tai muu verkkoa tarkkaileva henkilö, joka väärinkäytöstä epäillessään lähtee selvittämään asiaa ja tekee siitä rikosilmoituksen.
Tässä on oikea ylläpitäjä, joka ajattelee asiaa laajemmasta näkökulmasta. Tämänkaltaisia ylläpitäjiä pitäisi olla enemmän.
Jos huomaa "virheen" verkossa, siihen pitää puuttua. Sitä ei saa sysätä "maton alle" ja jättää jonkun toisen ongelmaksi. Jos virhe ei vaikuta omaan verkkoon saman tien, se voi vaikuttaa seuraavana tai sitä seuraavana päivänä.
Re: Hyökkääjät kiinni
Daedalon, 27.11.2002 00:40:33		 Pisteet: +1
Mutta milläs selvität kuka sen liittymän on ostanut? Tietääkseni niitä saa ostaa täysin nimettömasti.
Tuota tietoa tuskin saakaan kovin helposti selvitettyä. Pääseikka kuitenkin on se, että nykyaikainen maailma tallentaa eri puolille niin monenlaista tietoa, että siitä ei pysy kärryillä sitten millään.

Puhutaan mistä tiedosta tahansa, on todennäköisempää, että se tallentuu ainakin jollain tapaa kuin ei ollenkaan. Ja kun tietää tietojen olevan palautettavissa WTC:n keskellä olleesta kiintolevystä, voi hyvin päätellä, että tietoa on paitsi tallennettuna, myös saatavilla aika pohjattomasti.

Kaiken tiedon seulomiseen ja läpikäymiseen vain vaaditaan nykyisellään niin tolkuttomasti resursseja, että tapauksen pitää olla todella merkittävä että tosissaan edes yritettäisiin käydä kaikkia keinoja läpi. Kuka tuon aina vain madaltuvan kynnyksen ylittää, löytää itsensä tiilenpäitä lukemasta.

Ei vaadi montaa minuttia laukaista ddos hyökkäystä valmistelluilta koneilta, katso http://lockdowncorp.com/bots/gallery.html kuvagalleria
Hommanhan voi aloittaa kirjaimellisesti klikkauksella. Vaan siihen vaiheeseen päästäkseen jonkun on täytynyt tehdä huomattavasti työtä etukäteen, josta on myös jäänyt runsaasti jälkiä seurattavaksi.

Tapahtumien selvittäminen viekin sitten vähintään päiväkausia, eli kirjaimellinen karkuunjuoksu ei karkausmahdollisuuksiin vaikuta. Länsimaissa tarpeeksi pahat tapaukset jäljitetään tai ainakin voidaan jäljittää, minkä takia hommaan pitäisi myös panostaa. Mitä vaikeampaa ilkivalta on, sitä suurempi on kynnys sen tekemiseen.

Muualla päin maailmaa on sitten helppo ottaa oppia, kun siellä tullaan teknologisesti lähemmäs nykyistä länsimaailmaa ja voidaan suoraan apinoida toimivat mallit rikosten ehkäisemiseksi. Tietyt valtiot tuntien ei välttämättä täysin vapaaehtoisesti.

todennäköisempänä pitäisin kuitenkin zombie-koneiden luomista matojen(nimda,code red, jne) avulla, tehokkaasti leviävä mato joka hyödyntäisi tuntematonta turvallisuusaukkoa voisi helposti saastuttaa tuhansia koneita lyhyellä aikavälillä, eikä olisi suurta väliä minkätasoinen yhteys saastuneessa koneessa on jos koneita on tuhansia ellei jopa satoja tuhansia. Sadallatuhannella 56k modeemillakin voisi floodata nurin pienemmän reitittimen ja katkaista verkon kohtalaiselta alueelta
Kahta 56 kbps modeemia kohti ei ole varattu kuin max. 100 kbps kaistaa, ja noita tarvitsisi 200, jotta olisi edes 10 Mbps, ja silloinkin kyseessä olisi tehottomampi dosnet: pitäisi itse lähettää käskyjä 200-kertaiselle määrälle koneita.

Viisi 100 Mbps konetta taas olisi vastaavasti vaarallisempi kuin 10 000 modeemia. 100 Mbps -yhteyksiä löytyy Suomessa satamäärin opiskelijoilta - kaappaa yksi sellainen tai 2 000 modeemia.

Mainittu 100 000 kpl dial-up -yhteyksiä siis vastaisi siis noin viittäkymmentä 100 Mbps -palvelinta, mikä on sekin heikko eväs IRC-häiriköintiä tai parin webbisaitin tukkimista kummempaan tihutyöhön.

tämä vaikuttaa eniten pieniin palveluntarjoajiin.. keskenään tappelevat "dossaajat" voivat katkaista verkon jopa päiviksi -> haittaa liiketoimintaa jos esim webhotellia ylläpitävät ja pahimmassa tapauksessa menettävät asiakkaita
Menneenä vuosituhantena oli kovin yleistä, että irkkiteinit pistivät pystyyn botnetteja rootatuilta firmojen koneilta, joilla sitten pitivät kanavia. Sitten toinen teini dossasi kaikki nuo koneet alas ja valtasi kanavan, siirtäen hallussapidon omalle botnetilleen, joka sekin dossattiin...

Onneksi tuo on hellittänyt itsestään viime vuosina, kun "mirkkwarr-skene" on hiipunut harrastajien kasvettua. Mikäli IRCnetissä olisi jotain vastaavaa kuin SILCnetin founder-mode tai QuakeNetin chanserv, ei koko skeneä olisi varmaan syntynytkään. Monillahan homma lähti ihan Click Nukella sähläilystä: "Höhö, sain ton Windows-koneen katkaseen irkkiyhteyden, voiskohan seuraavaks tehä jotain viel siistimpää".

Kukapa rakentaisi dosnetiä, kun sillä ei voisi tehdä mitään ja "omistamisestakin" voisi päätyä linnaan?
Re: Hyökkääjät kiinni
Anonyymi kommentoija, 27.11.2002 11:00:09		 Pisteet: +1
Prepaid-liittymätkin jäävät operaattorin logeihin. Kännykkä pystytään jäljittämään päällä ollessaan Suomessa aarin tarkkuudella. Suomessahan laki velvoittaa operaattoreita säilyttämään vaikka minkälaista tietoa parin vuoden ajan. Hyvinkin mahdollista että paitsi käytetyn kännykän MAC-koodi tai vastaava, käytetty tukiasema ja suoritetun yhteyden ajankohta kuuluisivat säilytettäviin. Kukaties paljon muutakin.
Tämä ei ole hakkerin kannalta ongelma, jos käytettyä kännykkää, sijaintia tai aikaa ei voida liittää häneen henkilönä. Tyyppi pitäisi saada kiinni rysän päältä, että näyttökysymys saataisiin ratkaistua. Jos tyyppi ei toimi kotoaan käsin, on aika hankalaa osoittaa kuka touhun takana on. Kännykänkin voi aina tuhota vaikkapa viskaamalla suonsilmään.
Re: Hyökkääjät kiinni
Anonyymi kommentoija, 27.11.2002 13:33:04		 Pisteet: 0
Vertauskohteina esimerkiksi kettutytöt ja terroristit.
Huoh, kettutytöt onkin tosi järkevää tuoda esille terroristien kanssa samassa esimerkissä.
Re: Hyökkääjät kiinni
Daedalon, 27.11.2002 14:28:50		 Pisteet: 0
Huoh, kettutytöt onkin tosi järkevää tuoda esille terroristien kanssa samassa esimerkissä.
Olisit toki siteerannut koko asiayhteyden:

"Esimerkiksi joku on hyvinkin saattanut ottaa nokkiinsa jostain tavalliselle ihmiselle täysin käsittämättömästä asiasta ja lähtenyt "hakemaan oikeutta" tuolla tapaa. Vertauskohteina esimerkiksi kettutytöt ja terroristit."

Kettutytöt ja terroristit toin esille esimerkkeinä tahoista, jotka ovat ottaneet nokkiinsa asiasta tavalla, mitä "tavallinen" ihminen ei käsitä. Aivan samaten tietoturvatihulaisen motiivit saattavat olla maalaisjärjelle vieraita.
.org myös
Anonyymi kommentoija, 26.11.2002 13:25:25		 Pisteet: 0
UltraDNS vastaa myös .org-juuripalvelimesta, jonka tukkiminen olisi paljon pahempi kuin .info, joka ei kovin laajassa käytössä vielä ole.
as Re: .org myös
as, 26.11.2002 16:42:54		 Pisteet: +1
UltraDNS vastaa myös .org-juuripalvelimesta, jonka tukkiminen olisi paljon pahempi kuin .info, joka ei kovin laajassa käytössä vielä ole.
Ei vastaa vielä, vasta vuoden vaihteen jälkeen.
grap DDoSien torjunta?
grap, 26.11.2002 20:20:17		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Re: DDoSien torjunta?
Anonyymi kommentoija, 27.11.2002 14:37:49		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Verkoista vastaavat voivat estää spoofattuja osoitteita käyttävien pakettien pääsyn ulos lähiverkosta. Tällä saa jo paljon aikaan, koska hyökkäyksissä usein käytetään spoofausta, ja jos ei käytetä, niin osoitteet pystytään jäljittämään. Valitettavasti erittäin suuri osa nettiin liitetyistä reitittimistä, palomuureista etc ei suorita tällaisia tarkastuksia.
Re: DDoSien torjunta?
Anonyymi kommentoija, 27.11.2002 14:37:49		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Verkoista vastaavat voivat estää spoofattuja osoitteita käyttävien pakettien pääsyn ulos lähiverkosta. Tällä saa jo paljon aikaan, koska hyökkäyksissä usein käytetään spoofausta, ja jos ei käytetä, niin osoitteet pystytään jäljittämään. Valitettavasti erittäin suuri osa nettiin liitetyistä reitittimistä, palomuureista etc ei suorita tällaisia tarkastuksia.
Re: DDoSien torjunta?
Anonyymi kommentoija, 27.11.2002 14:37:50		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Verkoista vastaavat voivat estää spoofattuja osoitteita käyttävien pakettien pääsyn ulos lähiverkosta. Tällä saa jo paljon aikaan, koska hyökkäyksissä usein käytetään spoofausta, ja jos ei käytetä, niin osoitteet pystytään jäljittämään. Valitettavasti erittäin suuri osa nettiin liitetyistä reitittimistä, palomuureista etc ei suorita tällaisia tarkastuksia.
Re: DDoSien torjunta?
Anonyymi kommentoija, 27.11.2002 14:37:50		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Verkoista vastaavat voivat estää spoofattuja osoitteita käyttävien pakettien pääsyn ulos lähiverkosta. Tällä saa jo paljon aikaan, koska hyökkäyksissä usein käytetään spoofausta, ja jos ei käytetä, niin osoitteet pystytään jäljittämään. Valitettavasti erittäin suuri osa nettiin liitetyistä reitittimistä, palomuureista etc ei suorita tällaisia tarkastuksia.
Re: DDoSien torjunta?
Anonyymi kommentoija, 27.11.2002 14:37:50		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Verkoista vastaavat voivat estää spoofattuja osoitteita käyttävien pakettien pääsyn ulos lähiverkosta. Tällä saa jo paljon aikaan, koska hyökkäyksissä usein käytetään spoofausta, ja jos ei käytetä, niin osoitteet pystytään jäljittämään. Valitettavasti erittäin suuri osa nettiin liitetyistä reitittimistä, palomuureista etc ei suorita tällaisia tarkastuksia.
Re: DDoSien torjunta?
Anonyymi kommentoija, 27.11.2002 14:37:50		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Verkoista vastaavat voivat estää spoofattuja osoitteita käyttävien pakettien pääsyn ulos lähiverkosta. Tällä saa jo paljon aikaan, koska hyökkäyksissä usein käytetään spoofausta, ja jos ei käytetä, niin osoitteet pystytään jäljittämään. Valitettavasti erittäin suuri osa nettiin liitetyistä reitittimistä, palomuureista etc ei suorita tällaisia tarkastuksia.
Re: DDoSien torjunta?
Anonyymi kommentoija, 27.11.2002 14:37:51		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Verkoista vastaavat voivat estää spoofattuja osoitteita käyttävien pakettien pääsyn ulos lähiverkosta. Tällä saa jo paljon aikaan, koska hyökkäyksissä usein käytetään spoofausta, ja jos ei käytetä, niin osoitteet pystytään jäljittämään. Valitettavasti erittäin suuri osa nettiin liitetyistä reitittimistä, palomuureista etc ei suorita tällaisia tarkastuksia.
Re: DDoSien torjunta?
Anonyymi kommentoija, 27.11.2002 14:37:51		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Verkoista vastaavat voivat estää spoofattuja osoitteita käyttävien pakettien pääsyn ulos lähiverkosta. Tällä saa jo paljon aikaan, koska hyökkäyksissä usein käytetään spoofausta, ja jos ei käytetä, niin osoitteet pystytään jäljittämään. Valitettavasti erittäin suuri osa nettiin liitetyistä reitittimistä, palomuureista etc ei suorita tällaisia tarkastuksia.
Re: DDoSien torjunta?
Anonyymi kommentoija, 27.11.2002 14:37:51		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Verkoista vastaavat voivat estää spoofattuja osoitteita käyttävien pakettien pääsyn ulos lähiverkosta. Tällä saa jo paljon aikaan, koska hyökkäyksissä usein käytetään spoofausta, ja jos ei käytetä, niin osoitteet pystytään jäljittämään. Valitettavasti erittäin suuri osa nettiin liitetyistä reitittimistä, palomuureista etc ei suorita tällaisia tarkastuksia.
Re: DDoSien torjunta?
Anonyymi kommentoija, 27.11.2002 14:37:55		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Verkoista vastaavat voivat estää spoofattuja osoitteita käyttävien pakettien pääsyn ulos lähiverkosta. Tällä saa jo paljon aikaan, koska hyökkäyksissä usein käytetään spoofausta, ja jos ei käytetä, niin osoitteet pystytään jäljittämään. Valitettavasti erittäin suuri osa nettiin liitetyistä reitittimistä, palomuureista etc ei suorita tällaisia tarkastuksia.
Re: DDoSien torjunta?
Anonyymi kommentoija, 25.8.2004 14:19:35		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä? DDoS hyökkäykset voi estää BlackIce palomuurilla joka on maksullinen, ikävä kyllä, mutta sen saa ladattua joiltain sivuilta.
Itse olen kräkännyt sen vuoteen 2013 asti.
tpr Re: DDoSien torjunta?
tpr, 26.11.2002 21:08:37		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Eipä taida olla, voihan sitä toki ottaa piuhat irti. Pakettien droppaaminenkin jo aiheuttaa kaistanvientiä..
Re: DDoSien torjunta?
Daedalon, 27.11.2002 01:27:12		 Pisteet: 0
Eipä taida olla, voihan sitä toki ottaa piuhat irti.
Taitaisi olla dossaajalle melkoinen lahja, kun pienellä paketoinnilla koko palvelu katoaisi netistä, ei tarttisi vääntää kättä että saako aiheutettua pahempaa kuin lagitusta.

Kun tietää DoS-hyökkäysten mahdollisuuden, olisi aika lyhytnäköistä hankkia kaistaa maksa käytön mukaan -periaatteella. Taloudellisempaa varata yläraja, jota nopeammin kaistaa ei käytetä, mielellään niin, että muutaman päivänkin mittainen äkillinen liikennepiikki ei romuttaisi koko taloutta.

Mitä nettisivujen tarjoamiseen tulee, 10 Mbps ei tule hevillä täyteen pelkkää (X)HTML:ää liikuttelemalla, pitäisi olla joku koko kansan portaali jo kyseessä ennen kuin olisi pakko 100-megaiseen siirtyä. Jos taas tykkää aiheuttaa itselleen turhaa liikennettä, niin tarjoaa sitten etusivullaan vaikka muutaman kuvan, joista jokainen vie helposti enemmän tilaa ja kaistaa kuin itse index.html.

Kiinteät kustannukset ovat lahja.
Re: DDoSin torjunta?
Daedalon, 26.11.2002 22:11:19		 Pisteet: 0
Aloin tuossa miettimään, että onko nykyisellään mitään keinoa torjua näitä DDoS-hyökkäyksiä?
Laitteisiinhan voi käsin virittää kaikenlaista suodatusta, mitä ja mistä tulevia paketteja käsitellään mitenkin. Muutama suomalainen palvelin onkin säädetty vastaamaan melkein pelkästään suomalaisista osoitteista tuleviin paketteihin, kun saivat liiaksi liikennettä IRC-kanavien valtaamistarkoituksessa tehdystä DoS:sta.

Yleisistä ratkaisuista väliaikaisemmaksi kelpaa IPsec, jota voisi luonnehtia harvakseltaan tuetuksi IPv4-päivitykseksi. Pysyvämmän ratkaisun tarjoaa sitteni IPv6, jota rakentaessa IPv4:n kanssa vastaantulleet tietoturvaongelmat on otettu huomioon jo "alusta alkaen" (lainausmerkit IPv6:n pitkän ja kirjavan kehityshistorian kunniaksi).

DoS:n luonne kuitenkin on se, että ei pyritä tukkimaan vain kohteen sisäänmenolinjaa, vaan myös tietojärjestelmää itseään ja sen ulostuloa. Siksi siis pyritään aina lähettämään paketteja, jotka vastaanottaja käsittelee ja lähettää niihin vastauksen. Eli jos tiedetään vastaanottajalla olevan järjestelmän, joka kuluttaa johonkin käsittelyyn tuplasti tarvittavan ajan jostain ohjelmistoviasta johtuen, lähetetään toki juuri sitä hyödyntäviä paketteja.

Esimerkiksi JYU:hun tehty hyökkäys lähetti miljooniin olemattomiin @jyu.fi -sähköpostiosoitteisiin viestejä, joita JYU:n kone sitten jumittui tarkastelemaan. Ongelmasta selvittiin keskeyttämällä tarkastelu, jättämällä tarkastukset odottamaan, pistämällä suodatin että "tuolla otsikolla varustettuja viestejä ei tarkasteta tänään" tjsp. ja käynnistämällä tarkastus.