Resultados 1 a 9 de 9
  1. #1
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,000

    [FR] OVH: DDoS did not overflow the VAC



    La goutte DDoS n'a pas fait déborder le VAC*

    Durant un peu plus d’une semaine, OVH a été sous le feu des caméras. D’un côté, des centaines de milliers de caméras IP compromises, utilisées pour générer la semaine du 19 septembre la plus importante attaque DDoS jamais enregistrée (et à laquelle OVH a bien résisté). De l’autre, les caméras et micros des journalistes du monde entier, pressés d’en savoir davantage sur cette attaque hors norme. Hors norme par son intensité (des pics jusqu’à 1 Tbps) et, surtout, par son mode opératoire (plus de 145 000 objets connectés piratés envoyant des requêtes simultanément). Partagé entre le souci de transparence vis à vis de ses clients et les risques qu’il y a à communiquer autour d’une telle attaque, OVH s’est jusqu’à présent peu exprimé. Si tous ces DDoS ont échoué, la lecture de certains articles, en revanche, a bien failli nous faire tomber (de notre chaise). Nous avons donc décidé de prendre la parole pour démêler le vrai du faux… Et rassurer tout le monde !
    *VAC : combinaison de technologies mises au point par OVH pour mitiger les attaques DDoS

    Le but des attaques DDoS était-il de « pirater » ou « kidnapper des données », comme certains articles en ont rapporté l’hypothèse ?

    Non ! Il existe trois types d’attaques informatiques : celles visant à rendre un service indisponible, celles ayant pour objectif de dérober et/ou faire fuiter des fichiers, et celle visant à altérer des données. Les attaques DDoS survenues fin septembre sont du premier type : elles ont pour but de rendre un service indisponible. En l’occurrence, ce n’est pas à proprement parler OVH qui a été attaqué, mais une poignée de clients hébergés par OVH, dont les attaquants ont tenté de mettre leurs sites KO. Le mécanisme d’une attaque DDoS (Distributed Denial of Service attack, ou attaque par déni de service distribuée) est assez simple à comprendre. Il s’agit de surcharger la bande passante d’un serveur (le « tuyau » qui mène jusqu’à la machine) ou d’accaparer ses ressources jusqu’à épuisement, en envoyant une multitude de connexions simultanées, depuis différents points du réseau Internet (d’où le "Distributed"). Rien à voir, donc, avec l’exfiltration ou la destruction de données.

    OVH attaqué par des « machines zombies », c’est super flippant, non ?

    Oui, absolument, tout comme les illustrations utilisées pour évoquer le sujet : une main gantée de cuir noir tapotant sur un clavier, un gangster cagoulé posté à proximité d’une baie de serveurs...
    Dédramatisons un peu : pour lancer une attaque DDoS, il est nécessaire d’avoir à disposition de nombreuses machines connectées à Internet. Pour constituer ce réseau de machines capables de se concerter pour exécuter une attaque – ce qu’on appelle un botnet –, les pirates s’appuient sur les failles de sécurité des équipements. Ils en prennent alors le contrôle en toute discrétion, de façon à pouvoir s’en servir le moment venu.

    Jusqu’alors, ces « zombies » étaient majoritairement les PC de monsieur et madame Tout-le-monde, infectés, via des e-mails piégés ou des logiciels téléchargés sur des sites pornographiques ou de téléchargement illégal. De façon plus marginale, les serveurs ont ensuite été mis à contribution au sein des botnets, ce qui nécessite de la part des pirates plus ou moins d’ingéniosité, selon qu’il s’agit « simplement » de profiter de la négligence d’un administrateur ayant mal sécurisé sa machine ou d’exploiter une faille de sécurité repérée dans le système d’exploitation ou dans l’une des applications installées. Puis l’internet des objets est arrivé : des smartphones aux caméras, en passant par les thermostats, les TV et même les voitures, tout un tas d’équipements ont été connectés à Internet… sans que les constructeurs ne se soucient outre mesure de leur forte vulnérabilité.

    Cela pose de multiples problèmes, à commencer par le respect de la vie privée des utilisateurs de ces produits. En 2014 déjà, le site insecam.org a été mis en ligne par un hacker russe pour sensibiliser les clients et constructeurs quant à sécurité défaillante des caméras IP. Simplement (et en parfaite illégalité), on peut ainsi accéder aux images streamées en temps réel des caméras IP mal ou pas protégées, un peu partout dans le monde… Bien que relayée dans les médias, cette initiative n’a pas provoqué l’électrochoc escompté. Un an auparavant, quand les experts en sécurité ont commencé à alerter l’opinion sur la menace d’attaques informatiques perpétrées par des objets connectés compromis, beaucoup ont été amusés par la prophétie de frigos et autres thermostats connectés à l’origine d’un DDoS. De fait, la menace s’est concrétisée plus rapidement que prévu !

    Et pour cause : non seulement les objets connectés sont tout le temps disponibles (contrairement aux PC) et plus faciles à compromettre que les serveurs (le monitoring rend la découverte des programmes malveillants plus aisée), mais ils sont aussi plus nombreux. Une caméra compromise devient aussitôt l’esclave du réseau botnet et participe à la propagation du malware puisqu’elle va à son tour scanner le net à la recherche d’autres équipements à infecter… C’est ainsi qu’en quelques mois ont pu se constituer des réseaux d’objets connectés piratés de très grande envergure, tels que ceux qui ont attaqué OVH. Plusieurs malwares à l’origine de ces botnets ont été identifiés au cours des attaques récentes : Mirai (dont le code source vient d’être rendu public, et dont l’auteur revendique 380 000 devices infectés), mais aussi Bashlite (dont le code source a fuité fin 2015, ce qui a donné lieu à l’apparition de variantes du code initial).

    Dernière difficulté, et pas des moindres : les objets utilisés pour ces attaques sont, le plus souvent, connectés à Internet par l’intermédiaire de réseaux domestiques, eux-mêmes connectés à Internet par des FAI. Or, il y a un certain nombre de FAI qui attribuent dynamiquement des adresses IP temporaires à leurs utilisateurs. Autrement dit, si nous identifions l’IP d’une caméra à l’origine d’une attaque, il se peut que quelques jours après cette IP soit devenue celle d’un utilisateur légitime du réseau...

    Les caméras sont-elles les seuls objets connectés en cause ? Combien sont-elles ? Quels sont leurs réseaux ?

    On a beaucoup parlé des caméras, car elles sont extrêmement nombreuses du fait de leur coût d’achat en baisse, mais nous avons également repéré des DVR infectés (Digital Video Recorder, soit les petits serveurs domestiques utilisés pour enregistrer les images des caméras de vidéosurveillance), ainsi que des NAS, des routeurs (des Box xDSL), ainsi que des Raspberry pi. Tous ces équipements connectés ont en commun l’existence de failles de sécurité relevant de défauts dans leur conception logicielle, de la négligence des constructeurs, qui souvent attribuent le même mot de passe usine par défaut à tous leurs produits, ou de la négligence des installateurs, qui ne prennent pas la peine de le modifier lorsqu’ils les déploient ! On peut supposer également l’existence de « portes dérobées » : un des softwares en cause, contenant un backdoor, a été commercialisé en marque blanche à plusieurs constructeurs. Il n’est donc pas possible d’exclure un acte intentionnel. Enfin, ces équipements ont en commun d’avoir de la puissance de calcul disponible, ainsi qu’une large bande passante pour envoyer des flux de requêtes. Ainsi, l’une des dernières attaques DDoS enregistrées par OVH provenait… de Box mal sécurisées distribuées à leurs abonnés par des FAI du sud de l’Europe.

    Bref, si les caméras zombies vous ont effrayé (certainement parce qu’elles ne ferment pas l’œil de la nuit, contrairement à vous), préparez-vous à frémir encore un peu. Si notre enquête interne (qui est encore en cours) a recensé plus de 145 000 objets connectés infectés à l’origine des dernières attaques, le transitaire Level3 a récemment évalué leur nombre à plus d’un million. Nous ne sommes donc, à vrai dire, qu’au tout début du problème. Et cela sans compter le fait que le débit des connexions à Internet est en constante augmentation, avec la démocratisation du VDSL, SDSL et de la fibre. Ainsi, nous avons récemment constaté que 60 caméras piratées en Finlande (un pays très bien connecté), pouvaient occasionner une attaque d’une puissance similaire à celle générée par 1 000 caméras en provenance de Taïwan !


    (cont)

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,000
    « OVH noyé par une attaque DDoS sans précédent ». Quelqu’un a-t-il bu la tasse ?

    Une attaque DDoS ne dure jamais bien longtemps, rarement plus de deux minutes. Mais, souvent, elle se répète toutes les 10 à 15 minutes pendant plusieurs heures, jours ou semaines. Comme expliqué plus haut, le but des attaquants est de rendre indisponibles une poignée de sites, mais les moyens importants employés peuvent avoir pour effet collatéral la saturation du réseau, auquel cas tout ou partie de l’infrastructure de l’hébergeur attaqué peut ne plus être accessible par les internautes. Concrètement, cela peut occasionner des time out : les paquets envoyés font la queue pour entrer dans le tuyau devenu trop petit, et s’ils n’y parviennent pas, expirent et sont perdus (dropés). Cette situation critique ne s’est pas produite, c’est pourquoi nous pouvons dire qu’OVH a résisté aux attaques.

    Il y a toutefois eu quelques conséquences pour certains clients, que nous souhaitons détailler. Durant les attaques, les internautes originaires des pays d’Europe du Sud ont pu subir des ralentissements lorsqu’ils tentaient d’accéder aux serveurs hébergés chez OVH, et ce parce que les DDoS en provenance de cette région ont été massifs. Il y a eu des congestions sur nos interconnexions avec un FAI local en Espagne. Nous avons donc accéléré nos investissements au sein de notre point de présence de Madrid, et nos capacités d’échange y seront très prochainement multipliées par dix.

    Par ailleurs, si le VAC (combinaison de technologies mises au point par OVH pour mitiger les attaques DDoS) protège tous les clients d’OVH par défaut, il ne s’active que lorsqu’une attaque est détectée. Il filtre alors le trafic illégitime pour maintenir la disponibilité du serveur visé. Certains clients, qui ont des besoins de protection spécifiques, bénéficient d’une option permettant l’activation permanente du VAC. L’intégralité de leur trafic est alors filtré, tout le temps, même quand ils ne subissent pas de DDoS. Durant la semaine du 19 septembre, nous avons désactivé cette option afin de libérer de la bande passante au sein du VAC pour pouvoir recevoir l’attaque sans saturer nos équipements de protection. Dans les prochains jours, nous allons réactiver la mitigation permanente pour les clients concernés. Avant la fin de l’année 2016, la première génération de protection anti-DDoS que nous avons sortie en 2013 sera remplacée par une nouvelle technologie développée en interne sur la base de FGPA (circuits intégrés programmables) et de codes élaborés depuis 18 mois. Cela nous permettra de proposer un VAC capable de supporter des attaques DDoS avec des pics jusqu’à 5 Tbps sans ralentissement sur notre réseau.

    Enfin, la puissance des dernières attaques semble monstrueuse à première vue, mais ce qu’il faut comprendre, c’est que peu d’hébergeurs ont la possibilité ne serait-ce que de recevoir de tels pics, pour la bonne et simple raison que leur backbone serait saturé avant que ces pics ne leur parviennent. Nous avons des interconnexions directes avec presque tous les acteurs d’Internet en Europe et aux USA et une bande passante excédentaire conséquente. Aujourd’hui, nous comptons plus de 7 Tbps de connexion vers Internet. Cela qui explique que nous avons pu recevoir une attaque d’1 Tbps, alors que le précédent record s’établissait à 600 Gbps, sans saturer nos connexions (hormis pour le FAI Espagnol évoqué précédemment).

    Quelle est la situation à l’intérieur d’OVH ? La presse parle d’équipes « 100 % mobilisées », avec un niveau de vigilance maximum. A-t-on activé le plan Vigi-Pirate ?

    Tout le monde est en effet sur le pied de guerre. Y compris le chef cuisinier de notre cantine d’entreprise, qui hier encore nous a préparé un délicieux DDoS de cabillaud en papillote. Plus sérieusement, si nous sommes mobilisés à 100 % actuellement, c’est plutôt dans la perspective de notre 4e OVH Summit, qui a lieu le 11 octobre prochain. Même si l’intensité des dernières attaques a surpris, nous y étions préparés… et nous sommes convaincus qu’il y en aura d’autres. Si une période de calme peut succéder à la « reddition » de l’auteur à l’origine du malware Mirai, qui affirme avoir refermé la backdoor qu’il utilisait pour infecter les caméras, il y a fort à parier que des variantes vont apparaître, toujours plus ingénieuses. La situation actuelle n’a, en somme, rien de vraiment exceptionnel, hormis l’emballement médiatique qui entoure ces attaques.

    Nous continuons à innover, à maintenir et améliorer les services que nous proposons à nos clients… et à gérer les attaques, qui sont un phénomène consubstantiel à notre activité d’hébergeur. Chaque jour, environ 1 200 clients d’OVH sont protégés par notre système anti-DDoS (VAC) sans même s’en apercevoir. Une fois l’attaque passée, c’est nous qui leur apprenons ce qu’il s’est passé. Nous avons une équipe dédiée à ce projet, des ingénieurs R&D, nous y consacrons des moyens conséquents. Bref, une attaque DDoS ce n’est pas grave ! Vous avez tous, potentiellement, un concurrent qui sera tenté un jour ou l’autre de vous faire tomber. C’est pour cette raison que chez OVH l’anti-DDoS n’est pas une option, mais une protection offerte par défaut à l’ensemble de nos clients.

    (cont)

  3. #3
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,000
    Qui sont les méchants dans l’histoire ? Que veulent-ils au juste ?

    Certains sont un peu vite partis en besogne, analysant que la taille et les ambitions d’OVH en avaient fait une cible de choix. La réalité est un tout petit peu plus compliquée. Reprenons les choses depuis le début.

    A l’origine des botnets en cause dans les attaques DDoS récentes, il y a des superméchants. Très rusés, ils codent les programmes (malwares) qui infectent les objets connectés en exploitant leurs failles et pilotent leur réseau d’objets zombies depuis leur Command & Control (C2), qui est le maître absolu des objets connectés devenus esclaves. Ces botnets, les superméchants les mettent à disposition du plus offrant, avec un prix proportionnel à la puissance de frappe et aux dégâts qu’ils sont capables de générer. Et ces botnets, comme l’argent qu’ils génèrent, ne s’arrêtent jamais de travailler. Car des méchants, qui sont prêts à payer rubis sur l’ongle pour s’offrir ce genre de service dans le but de nuire à leur concurrent, ou à l’amant de leur femme en faisant tomber le site de son entreprise, sont assez nombreux.

    En somme, dire qu’OVH est une cible privilégiée, c’est faire un raccourci un peu rapide. La vérité est que, étant donné le nombre de serveurs et d’applications hébergés par OVH, il s’en trouve forcément un certain nombre qui constituent des cibles pour des attaquants de tout type. C'est évidemment un paramètre que nous avons pris en considération depuis longtemps, car nous savons que les DDoS ne visent pas nécessairement des clients évoluant dans des domaines réputés très concurrentiels ou accoutumés à ce genre de pratique (le monde du jeu en ligne par exemple). La contrepartie de ce volume considérable de clients, c'est que nous avons les moyens de nous défendre des attaques.

    Enfin, inutile de se voiler la face, il y a évidemment sur le web des projets plus ou moins respectables. Certains pourraient être tentés de justifier le recours aux attaques DDoS dans le cadre de combats qui, à leurs yeux, semblent justes. Nous pensons que c’est une erreur. Et nous continuerons à investir autant que nécessaire dans des protections toujours plus efficaces pour que les attaques DDoS ne deviennent jamais un moyen de censure (un risque très bien expliqué par l’expert américain en sécurité Brian Krebs).

    Pourquoi avoir rendu publique l’attaque sur Twitter ?

    Si Octave Klaba, notre CTO, a fait le choix de rendre publique sur Twitter l’attaque du 23 septembre, son objectif était d’attirer l’attention des spécialistes en sécurité et autorités compétentes sur l’ampleur du botnet (le réseau d’objets connectés contrôlé par les pirates) à l’origine du DDoS, ainsi que sur l’intensité des pics de charge qu’OVH a eu à absorber.

    OVH, tout comme les autres grands acteurs du web, a la capacité de résister à des attaques de cette envergure – tous y sont d’ailleurs régulièrement confrontés sans nécessairement en parler. Mais ce n’est pas le cas d’opérateurs de taille plus modeste ou d’entreprises qui ont encore leur IT en interne. Ceci notamment en raison du coût des protections à mettre en place, et de la capacité réseau excédentaire dont il faut en permanence disposer ne serait-ce que pour recevoir ces attaques.

    Résister aux DDoS visant nos clients, c’est notre job ! Mettre hors d’état de nuire des botnets de plus en plus gros, en revanche, ce n’est pas notre mission. Nous n’en avons ni le droit, probablement pas les moyens (hormis en ce qui concerne la neutralisation de C2 qui seraient hébergés chez nous), et cela implique la coopération de nombreux acteurs. Que pouvons-nous, par exemple, si les constructeurs d’équipements connectés ne corrigent pas les failles de leurs softwares, si les revendeurs n’osent pas prévenir leurs clients que leur matériel est infecté ?

    Pourquoi avoir ensuite refusé de communiquer ?

    Si nous n’avons pas donné suite aux (très nombreuses) demandes de la presse, c’est que la communication autour des attaques DDoS est très délicate, et bien souvent contre-productive. Il est en effet ardu d’expliquer comment s’est déroulée une attaque et comment nous l’avons contrée sans donner au passage des informations précieuses aux attaquants, en inspirer d’autres ou entraîner la destruction de preuves qui auraient pu être utilisées par les autorités judiciaires au cours d’une éventuelle enquête. Communiquer sur le fait d’avoir résisté à une attaque a souvent pour conséquence de motiver les assaillants à redoubler leurs efforts, et finalement, cela peut inquiéter nos clients, ceux-ci considérant à tort qu’OVH est davantage la cible d’attaques DDoS que les autres.

    Voilà pourquoi nous continuerons d’être transparents, mais néanmoins discrets lors de prochaines attaques.

    Si nous n’avons pas manqué, ici, de pointer les approximations et inexactitudes repérées sur le sujet, vous aurez également noté qu’il existe de très solides articles dont nous avons fourni les liens. Nous vous en recommandons chaudement la lecture si le sujet vous intéresse !

    https://www.ovh.com/fr/news/articles...eborder-le-vac

  4. #4
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,000

    Novo VAC

    [Bing]

    A DDoS attack never lasts long, rarely more than two minutes. But, often, it repeats every 10 to 15 minutes for several hours, days or weeks. As explained above, the goal of the attackers is to make them unavailable to a handful of sites, but important ways employees can have the collateral effect the saturation of the network, in which case all or part of the infrastructure of the attacked host may no longer be accessible by users. In practice, this may cause a time-out: packets sent are lining up to enter the hose became too small, and if they do not, expire and are lost (dropped). This critical situation has not occurred, that is why we can say that OVH had resisted the attacks.

    However there was some consequences for some clients, we wish to detail. During the attacks, from users of the countries of southern Europe were able to experience slowdowns when trying to access the servers hosted at OVH, and this because the DDoS coming from this region were massive. There was congestion on our interconnections with a local ISP in Spain. So we have accelerated our investments in our point of presence in Madrid, and our ability to Exchange there will be soon multiplied by ten.

    Moreover, if the VAC (combination of technologies developed by OVH to mitigate DDoS attacks) protects all customers default OVH, it will activate only when an attack is detected. It then filters the illegitimate traffic to maintain the availability of the target server. Some customers who have specific protection needs, have an option for permanent activation of the VAC. All of their traffic is then filtered, all the time, even when they are not DDoS. During the week of September 19, we have disabled this option in order to free bandwidth within the VAC in order to receive the attack without saturating our protection equipment. In the coming days, we will reactivate the permanent mitigation for the clients concerned. Before the end of the year 2016, the first generation of anti-DDoS protection we released in 2013 will be replaced by a new technology developed internally on the basis of FPGA (programmable integrated circuits) and codes developed for 18 months. This will allow us to propose a VAC capable of supporting DDoS attacks with peaks up to 5 Tbps without slowdown on our network.

    Finally, the power of the latest attacks seems monstrous at first sight, but what to understand, is that few Web hosts have the possibility receive such peaks, for a good and simple reason that their backbone would be saturated before these pics don't reach them. We have direct connections with almost all actors of the Internet in Europe and the USA and a consequent excess bandwidth. Today, we have more than 7 Tbps of connection to the Internet. That explains that we could receive an attack of 1 TB, while the previous record stood at 600 Gbps, without saturating our connections (except for the Spanish ISP mentioned previously).

  5. #5
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,000


    Octave Klaba / Oles ‏@olesovhcom Oct 4

    new POP in Madrid,ES (Interxion) testing new Cisco ASR9K (8x100G) + Cisco N77K (24x100G + 96x10G)

  6. #6
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,000
    Resumo: "DDoS did not overflow the VAC" porque a OVH desativou a mitigação permanente dos clientes há ~3 semanas e ainda não a reativou.

  7. #7
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,000

    The DDoS that didn't break the camel's VAC*

    For a little over a week, OVH has been in the public eye, with two different sets of eyes, that is. On one hand, the watchful eye of hundreds of thousands of comprised IP cameras used to cause the largest DDoS attack ever recorded - which was withstood well by OVH. On the other hand, journalists from all over the world with their own cameras, eager to learn more about this off-the-chart attack, its intensity (peaks of up to 1 Tbps) and its modus operandi (over 145,000 connected objects hacked to send numerous requests simultaneously). Torn between a need for transparency towards its customers and the risks attached to sharing the news about such an attack, OVH hadn't said much until now. Some inaccuracies found in a few articles here and there prompted us to speak up in order to set the record straight… and reassure everyone!

    *VAC : a combination of technologies developed by OVH to mitigate DDoS attacks

    Was the goal of the DDoS attacks to "hack " or "kidnap data", as was allegedly reported in some articles?

    Absolutely not! There are 3 types of computer attacks: the ones aimed at making a service unavailable, the ones aimed at stealing and/or leaking files, and those aimed at altering data. The DDoS attacks that occurred at the end of September fall into the first category—their goal is to make a service unavailable. In this case, the target of the attack wasn't OVH but rather a few websites belonging to customers hosted by OVH. The way a DDoS attack (Distributed Denial of Service attack) operates is easy enough to understand. The key is to overload the bandwidth of a server (the "pipe" leading all the way to the machine) or to completely monopolize its resources by sending a multitude of simultaneous connections originating from various points of the Internet (hence "Distributed"). So this has nothing to do with the exfiltration or destruction of data.

    OVH being attacked by "zombie machines"... now that's really scary isn't it?

    Yes, absolutely. Just like all the images used to illustrate this topic: a gloved hand typing on a keyboard, a hooded gangster standing next to a rack of servers.... Now let's play it down a little: launching a DDoS attack requires the use of several machines connected to the Internet. In order to create this network of machines capable of working together to carry out an attack—what we call a botnet—hackers rely on vulnerabilities. They then stealthily take control of the machines so they can strike at the appropriate time.

    Until then, those "zombies" were for the most part PCs belonging to ordinary people. These machines had been infected by using booby-trapped emails or programs downloaded from pornographic or torrent websites. In a more marginal way, servers were then put to work inside botnets, which called for a little ingenuity depending on whether it was simply about taking advantage of an administrator who showed negligence by not securing his/her machine properly or about exploiting a security vulnerability spotted in the operating system or inside one of the installed applications. Then the Internet of Things arrived: from smartphones to cameras, to home thermostats, TVs and even cars, a whole bunch of devices have been connected to the Internet… without the manufacturers unduly worrying about their high degree of vulnerability.

    This brings about multiple issues, starting with the respect for user privacy. Already back in 2014, the insecam.org website was launched online by a Russian hacker in order to raise awareness with customers and manufacturers regarding the low level of security found in IP cameras. It is very easy - and perfectly legal—to access the stream of inadequately secured or unsecured IP cameras around the world…

    Even though this initiative was passed on through the media, it didn't cause the anticipated shockwave. A year earlier when security experts started to inform the public about the threat of computer attacks launched by comprised connected devices, a lot of people were amused by this prophecy of refrigerators and connected thermostats being the source of a DDoS attack. In reality, the threat became real sooner than expected!

    And for good reason: not only are connected devices always available unlike PCs and easier to compromise than servers (these are monitored, so finding malware becomes easier), but there is also more of them. A compromised camera will not only become a slave to the botnet but it is also a contaminating agent since it will in turn scan the net in search of other poorly secured devices to infect. This is how some very large botnets of connected objects have been formed, similar to those that attacked OVH. Several malware programs at the heart of those infections were identified during the recent attacks: Mirai (whose source code has just been made public and its author has proudly claimed responsibility for infecting 380,000 devices) was one, but also Bashlite (its source code was leaked at the end of 2015, which led to the appearance of variations on the initial code).

    Now here's the last hurdle, but certainly not the least: the devices used for those attacks are more often than not connected to the Internet through home networks, which are in turn connected to the Internet through ISPs. There is a certain number of ISPs who allocate dynamic temporary IP addresses to their users. This means that even if we identify an IP as being one of the sources of an attack, it is possible that this IP will be attributed to a legitimate network user a few days later.

    Are cameras the only connected devices to blame? How many are there? What network do they come from?

    We spoke extensively about cameras because there's plenty of them around due to their decreasing cost but we've also seen infected DVRs used for home video surveillance as well as NAS, routers and Raspberry Pis. What all these connected devices have in common is the existence of security vulnerabilities caused by a flawed software design or gross negligence on the part of their manufacturers, which will often use the same factory password for all their devices. Similarly, it's not uncommon to see installers who won't take the time to modify those passwords when deploying the equipment. We can also assume the existence of backdoors: one of the software programs involved had a backdoor and was commercialized as unbranded to several manufacturers, which is why we can't rule out anything intentional. And finally, these devices all have the necessary computing power as well as a bandwidth large enough to send request streams. Therefore, one of the last DDoS attacks recorded by OVH came from unsecured NTUs (network termination unit) distributed to subscribers by some ISPs in Southern Europe.

    In short, if zombie cameras scare you, be ready for even more chills. While our internal investigation (which is still ongoing) has identified close to 145,000 infected connected devices as the source of the recent attacks, network service provider Level3 has recently assessed their number at more than a million. So we're only at the beginning of the problem, not to mention the fact that Internet connection rates are constantly growing, notably due to the ever-increasing availability of VDSL, SDSL, and fiber optics. And so we've recently learned that just 60 hacked cameras in Finland (a very well connected country), were able to cause an attack with the resulting impact as one originating in Taiwan that had over 1000 cameras at it command.

    (cont)

  8. #8
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,000
    "The largest DDoS attack to date". And who's been hit, by the way?

    A DDoS attack never lasts for very long - rarely more than 2 minutes - but it will often reoccur every 10 to 15 minutes for several hours, days or weeks. As mentioned earlier, the goal of the attackers is to make a handful of websites unavailable. However, the means being used can also cause the network to get saturated, which in turn causes part of the infrastructure of the hosting provider to become inaccessible to internet users. This causes timeouts: the packets are lining up to enter a tunnel that's become too narrow and if they can't go through, they expire and get dropped. But such a critical situation didn't happen and that is why we can say OVH was able to withstand the attacks.

    However, this had an impact on some of our customers, which we would like to go over in more details. During the attacks, internet users from the Southern European countries have experienced traffic slowdowns as they were trying to access servers hosted by OVH because the DDoS coming from those regions were massive. There were congestions on our interconnections with a local ISP in Spain so we sped up investments in our Madrid point of presence, and our exchange capacities will be multiplied by 10 very soon.

    Furthermore, if the VAC (a combination of technologies developed by OVH to mitigate DDoS attacks) is protecting all OVH customers by default, it only activates when an attack is detected. It then filters legitimate traffic so that the targeted server remains available. Customers with specific security needs have access to an option allowing for a permanent activation of the VAC. Their entire traffic is constantly being filtered, even when they're not under attack. During the week of September 19, we disabled this option in order to free some bandwidth inside the VAC so we could receive an attack without saturating our protective equipment. In the following days, we reactivated permanent mitigation for the impacted customers. Before the end of 2016, the first generation of anti-DDoS protection, we released back in 2013, will be replaced by a new technology developed in-house and based on FGPA (programmable integrated circuits) and codes that have been in development for the past 18 months. This will allow us to offer up a VAC capable of withstanding DDoS attacks with peaks up to 5 Tbps without slowing down our network.

    And finally, the strength of the latest attacks seems enormous at first glance but what needs to be understood is that very few hosting providers have the capacity to even receive such peaks, for the simple reason that their backbone would get saturated even before the peaks could reach it. We have direct interconnections with practically all the major players of the Internet in Europe and in the US, as well as substantial excess bandwidth. Our Internet connection capacity is currently over 7 Tbps and this explain why we were able to receive an attack of 1 Tbps - whereas the previous record was set at 600 Gbps - without saturating our connections (except for the Spanish ISP previously mentioned).

    What is the situation at OVH? The press is talking about "fully mobilized" teams on maximum alertness.

    Everyone is indeed on high alert but if we're mobilizing our teams these days, it's more likely in anticipation of our 4th OVH Summit that will take place on October 11 in Paris. Even though the intensity of the attacks took us a little by surprise, we were prepared… and we're convinced that there will be more. If a period of calm can follow the "surrendering"of the hacker responsible for the Mirai malware - who claims to have closed the backdoor he/she was using to infect cameras, there's every reason to believe that variations will appear, all of them as ingenious as the other. In short, the current situation isn't exceptional except for the media excitement surrounding this latest attack. We continue to innovate, to manage the services we provide to our customers... and to fend off attacks, which are part of a phenomenon that can't be avoided in the hosting business.

    Every day, around 1,200 OVH clients are being protected by our anti-DDoS (VAC) system without even realizing it. Once the attack is over, we're the ones informing them about what happened. We have a team dedicated to this project, including R&D engineers, and we're devoting substantial resources to this endeavour. In other words, a DDoS attack is no big deal! All companies have at least one competitor bent on trying to take them down. This is why an anti-DDoS protection isn't an option at OVH but rather something we provide to all our customers by default.

    Who are the bad guys? What exactly do they want?

    Some people got ahead of themselves by assuming that the OVH's size and ambitions made it a prefect target for the attackers. The reality is a little more complicated than that. Let's go back to the beginning.

    Behind the botnets used during the recent DDoS attacks lay the supervillains. They have a very cunning way of coding the malware used to infect the connected devices by exploiting their vulnerabilities and they operate their networks of zombie devices from their Command & Control (C2), the absolute master of the now slave devices. These botnets are offered to the highest bidder by the supervillains for a price that's proportional to their striking power and the damage they can inflict. And just like the money they generate, these botnets never stop working. Because there's a good number of villains who are willing to pay a very hefty price to get this type of service to harm a competitor or even their wife's lover by bringing down their company website.

    In a nutshell, saying that OVH is a prime target is a little too easy. The truth is, since many servers and applications are being hosted by OVH, a certain number of those will obviously be a target of choice for all sorts of attackers. This is something we've been taking into account for a long time now, since a DDoS attack doesn't necessarily target customers from sectors deemed as very competitive or where this type of practice is common (gaming, for example). The flipside of having so many customers is that we have the means to defend ourselves.

    And finally, there's no need to bury our heads in the sand: the Internet is not all about puppies and unicorns. Some people could be tempted to justify the use of DDoS attacks for what they deem as a fair fight. We believe it's a mistake. And we will continue to invest as much as we can into protective measures that are always more effective so that DDoS attacks never become a means of censorship (a risk very well explained by American security expert Brian Krebs).

    Why then, did you make the attack public on Twitter?

    When Octave Klaba, our CTO, chose to make the attack public on Twitter on September 23, his goal was to draw the attention of security experts and competent authorities regarding the scope of the botnet (the network of cameras controlled by the hackers) that caused the DDoS, as well as the intensity of the peak loads that OVH had to absorb.

    Just like all the other major players on the web, OVH has the capacity to withstand attacks of that magnitude—which is something they all have to face on a regular basis without necessarily talking about it. But this isn't the case with smaller operators, notably because of the costs involved in implementing security measures and the excess network capacity permanently needed to face these attacks.

    Withstanding DDoS attacks aimed at our customers is our job. However, disabling botnets that are becoming bigger and bigger isn't our mission. We neither have the right, nor probably the means to do so (except when it comes to neutralizing the C2s that we could be hosting), and it would involve working alongside many other players. For example, what can we do if equipment manufacturers don't fix their software's vulnerabilities and resellers don't have the courage to warn their customers that their product is infected?

    Why did you then refuse to talk to the media about it?

    The reason why we didn't follow up on requests from the press—and there were a lot—is because communication centering around DDoS attacks is a very sensitive matter and, for the most part, counter-productive. We must indeed tread very carefully when trying to explain how an attack occurred and what we did to counter it without giving away valuable information to the attackers, inspiring others to do the same, or destroying evidence that could have been used by legal authorities over the course of a possible investigation. Disclosing information after withstanding an attack often results in motivating assailants to intensify their efforts. It can also be disquieting for our customers who start to wonder if OVH isn't more at risk for DDoS attacks than other companies. This is why we will continue to be transparent during the next attacks while still being discrete.

    If we didn't refrain from pointing out approximations and inaccuracies on this subject, note that we have quoted some very good papers in this article and we highly recommend that you read them if you're interested in this topic ...

    https://www.ovh.com/us/news/articles...the-camels-vac

  9. #9
    Louco pelo WHT Brasil
    Data de Ingresso
    Feb 2014
    Posts
    166
    Matéria interessante. Pelo menos na medida do possível estão dando explicações. Mas que coisa de 1TB é algo inimaginável.

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •