Anche se questi server sono dotati dei noti dispositivi firewall, possono comunque essere rimossi se un utente malintenzionato sfrutta questa tecnica.
Può sembrare incredibile, ma invece di una gigantesca botnet, basta un laptop con una connessione Internet per lanciare un potente attacco DDoS , distruggendo importanti server Internet e firewall esistenti.
I ricercatori del TDC Security Operations Center hanno scoperto una nuova tecnica di attacco che consente ad aggressori solitari con risorse limitate (in questo caso, un laptop con una rete a banda larga con larghezza di banda di almeno 15 Mbps) di poter abbattere server di grandi dimensioni .
Soprannominata l'attacco BlackNurse o l' attacco a bassa velocità " Ping of Death " , questa tecnica può essere utilizzata per lanciare una serie di attacchi DoS a basso volume utilizzando l'invio di pacchetti ICMP o "ping" per inondare i processori sul server.
Anche i server protetti da firewall di Cisco , Palo Alto Networks o altre società sono colpiti da questa tecnica di attacco.
ICMP (Internet Control Message Protocol) è un protocollo utilizzato dai router e altri dispositivi di rete per inviare e ricevere messaggi di errore.
Il Ping of Death è una tecnica di attacco che sovraccarica la rete inviando al bersaglio pacchetti ICMP di dimensioni superiori a 65.536 byte. Poiché questa dimensione è maggiore di quella consentita per i pacchetti IP, verrà divisa in parti più piccole e inviata al computer di destinazione. Quando raggiunge la destinazione, verrà riassemblato in un pacchetto completo e, a causa delle sue dimensioni eccessive, causerà un overflow del buffer e un arresto anomalo.
Secondo un rapporto tecnico pubblicato questa settimana, l'attacco BlackNurse è conosciuto anche con un nome più tradizionale: " ping float attack " e si basa su query (o bug) ICMP di tipo 3. Destination Unreachable) Code 3 (Port Unreachable error). .
Queste query sono pacchetti di risposta, che in genere ritornano al ping di origine quando la porta di destinazione della destinazione è irraggiungibile – o Irraggiungibile .
1. Ecco come funziona la tecnica di attacco BlackNurse:
Inviando un pacchetto ICMP di tipo 3 con un codice 3, un hacker può causare una condizione di negazione del servizio (DoS) sovraccaricando le CPU su determinati tipi di firewall del server, indipendentemente dalla qualità della connessione Internet.
Il volume di traffico che utilizza la tecnica BlackNurse è molto ridotto, solo da 15 Mbps a 18 Mbps (o circa 40.000-50.000 pacchetti al secondo), soprattutto se paragonato all'attacco DDoS record da 1 Tbps contro il provider. .
Nel frattempo, TDC ha anche affermato che questo enorme volume non rappresenta un problema importante poiché semplicemente mantenere un flusso costante di pacchetti ICMP da 40K a 50K che raggiungono il dispositivo di rete della vittima può distruggere il dispositivo target.
Allora qual è la buona notizia qui? " Una volta avvenuto l'attacco, gli utenti della LAN non saranno più in grado di inviare o ricevere traffico da e verso Internet," hanno detto i ricercatori ."
Ciò significa tuttavia che questa tecnica di attacco DoS a basso volume è ancora molto efficace perché non solo inonda il firewall di accessi, ma costringe anche le CPU a un carico elevato e addirittura mette i server offline se l'attacco ha una capacità di rete sufficiente.
I ricercatori affermano che BlackNurse non deve essere confuso con gli attacchi ping Flooding che si basano sui pacchetti ICMP Type 8 Code 0 (o pacchetti ping regolari). I ricercatori spiegano:
" La tecnica di attacco BlackNurse ha attirato la nostra attenzione perché nel testare la soluzione anti-DDoS, anche quando la velocità di accesso e il volume dei pacchetti al secondo erano a livelli molto bassi, questo attacco potrebbe anche bloccare tutte le operazioni dei nostri clienti ."
" Questa tecnica di attacco può essere applicata anche ad aziende dotate di firewall e connessioni Internet di grandi dimensioni. Ci auguriamo che i dispositivi firewall professionali siano in grado di gestire questi attacchi. questo attacco ."
2. Dispositivi interessati
La tecnica di attacco BlackNurse è efficace con i seguenti prodotti:
3. Come mitigare l'attacco di BlackNurse?
Ci sono ancora buone notizie per te: ci sono diversi modi in cui puoi contrastare gli attacchi di BlackNurse.
TDC consiglia una serie di mitigazioni e regole IDS SNORT (sistema di rilevamento delle intrusioni open source SNORT) che possono essere utilizzate per rilevare gli attacchi BlackNurse. Inoltre, gli ingegneri OVH hanno pubblicato su GitHub i codici PoC (proof-of-concept), che possono essere utilizzati anche per testare i dispositivi LuckyTemplates rispetto a BlackNurse.
Per mitigare gli attacchi BlackNurse su firewall e altri dispositivi, TDC consiglia agli utenti di creare un elenco di fonti attendibili a cui è consentito inviare e ricevere pacchetti ICMP . Tuttavia, il modo migliore per mitigare l’attacco è semplicemente disabilitare i pacchetti ICMP Type 3 Code 3 sull’interfaccia WAN.
Anche Palo Alto Networks ha rilasciato una dichiarazione, affermando che i suoi dispositivi sono stati colpiti solo in " scenari molto specifici, non con impostazioni predefinite e contro pratiche comuni ". L'azienda ha anche elencato alcune raccomandazioni per i suoi clienti.
Nel frattempo, Cisco ha affermato di non considerare il comportamento riportato nel rapporto un problema di sicurezza, ma ha avvertito che:
" Raccomandiamo a tutti di impostare una licenza per i pacchetti non raggiungibili ICMP di tipo 3. Negare i messaggi non raggiungibili ICMP aiuta a disabilitare il protocollo Path MTU Discovery per i pacchetti ICMP. Questi possono impedire IPSec (Internet Protocol Security: un insieme di protocolli per proteggere il processo di trasmissione delle informazioni ) e accesso secondo il protocollo PPTP (Point-To-Point Tunneling Protocol: protocollo utilizzato per trasmettere dati tra reti private virtuali VPN) ."
Inoltre, il fornitore di software indipendente NETRESEC ha pubblicato anche un'analisi dettagliata di BlackNurse dal titolo: " La tecnica di attacco Flooding degli anni '90 è tornata ". Oltre agli avvertimenti di cui sopra, il SANS Institute ha anche annunciato un breve promemoria sull'attacco BlackNurse, in cui si discute dell'attacco e di cosa dovrebbero fare gli utenti per mitigarlo.
Usare DISM con FFU è utile anche se devi sostituire un HDD o SSD. Basta prendere un'immagine FFU, sostituire l'unità e applicare l'immagine alla nuova unità e il gioco è fatto.
CandyOpen sviluppato da SweetLabs è un software progettato per essere fornito in bundle con il programma di installazione di un altro programma, in modo che possa essere installato segretamente sui computer delle persone che utilizzano il programma di installazione in esso fornito. .
Affinché TLS funzioni, deve essere abilitato sia sul client che sul server. Per gli utenti di server Windows, TLS 1.3 è abilitato per impostazione predefinita in IIS/HTTP.SYS.
Wake On Lan è un'ottima funzionalità integrata nella maggior parte dei computer e server, che consente agli utenti di inviare uno speciale pacchetto magico WOL sulla rete e "risvegliare" la macchina dallo stato di sospensione o ibernazione.
Grazie al Regolamento generale sulla protezione dei dati (GDPR) del maggio 2018, i siti web ora non possono nascondere il modo in cui archiviano e utilizzano i dati degli utenti.
Molte persone si chiederanno perché hanno bisogno di un servizio di posta elettronica anonimo quando ci sono molti servizi di posta elettronica fantastici e gratuiti come Gmail, Outlook, Yahoo! Posta. Privacy e anonimato sono la risposta.
Gli hacker utilizzano molti modi diversi per rimanere anonimi durante l'attività di hacking, tuttavia va detto che l'anonimato completo è impensabile, ma gli hacker possono essere sicuri e anonimi in una certa misura e garantire il tracciamento inverso è molto difficile.
Explorer.exe è un file del sistema operativo. Il processo explorer.exe è popolarmente noto come Esplora risorse e viene utilizzato per esplorare l'interfaccia utente grafica di Windows, nonché per visualizzare i file del disco rigido.
Ci sono moltissimi servizi VPN tra cui scegliere e alcuni offrono piani gratuiti, quindi puoi provarli prima di spendere soldi. Lo stesso vale per Hotspot Shield poiché puoi provare il loro servizio gratuitamente.
La cronologia degli appunti di Windows ha ricevuto un grande impulso con l'aggiornamento di ottobre di Windows 10.
