I 2016 blev vDos den mest populære tjeneste i verden til at bestille DDoS-angreb
Hvis man skal tro på konspirationsteorier, så distribuerer antivirusvirksomheder selv vira, og DDoS-angrebsbeskyttelsestjenester initierer selv disse angreb. Selvfølgelig er det her fiktion... eller ej?
16. januar 2020 Federal District Court of New Jersey Tucker Preston, 22, fra Macon, Georgia, på en optælling af beskadigelse af beskyttede computere ved at sende et program, kode eller kommando. Tucker er medstifter af BackConnect Security LLC, som tilbød beskyttelse mod DDoS-angreb. Den unge forretningsmand kunne ikke modstå fristelsen til at hævne sig på sine vanskelige kunder.
Den triste historie om Tucker Preston begyndte i 2014, da teenagehackeren sammen med sin ven Marshal Webb grundlagde virksomheden BackConnect Security LLC, som derefter blev udskilt fra BackConnect, Inc. I september 2016, denne virksomhed under operationen for at lukke vDos-tjenesten, som på det tidspunkt blev betragtet som den mest populære tjeneste i verden til at bestille DDoS-angreb. BackConnect-firmaet blev derefter angiveligt selv angrebet via vDos - og udførte et usædvanligt "modangreb" og fangede 255 fjendens IP-adresser af (BGP-kapring). At udføre et sådant angreb for at beskytte ens interesser har forårsaget kontroverser i informationssikkerhedssamfundet. Mange troede, at BackConnect var gået over stregen.
En simpel BGP-aflytning udføres ved at annoncere en andens præfiks som dit eget. Uplinks/peers accepterer det, og det begynder at sprede sig over internettet. For eksempel, i 2017, angiveligt som følge af en softwarefejl, Rostelecom (AS12389) Mastercard (AS26380), Visa og nogle andre finansielle institutioner. BackConnect fungerede stort set på samme måde, da det eksproprierede IP-adresser fra den bulgarske hoster Verdina.net.
BackConnect CEO Bryant Townsend i NANOG-nyhedsbrevet for netværksoperatører. Han sagde, at beslutningen om at angribe fjendens adresserum ikke blev taget let på, men de er klar til at svare for deres handlinger: ”Selvom vi havde mulighed for at skjule vores handlinger, følte vi, at det ville være forkert. Jeg brugte meget tid på at tænke over denne beslutning, og hvordan den kunne afspejle virksomheden og mig negativt i nogle menneskers øjne, men i sidste ende støttede jeg den."
Det viste sig, at det ikke er første gang, BackConnect har brugt BGP-aflytning, og virksomheden har generelt en mørk historie. Selvom det skal bemærkes, at BGP-aflytning ikke altid bruges til ondsindede formål. Brian Krebs at han selv bruger tjenesterne fra Prolexic Communications (nu en del af Akamai Technologies) til DDoS-beskyttelse. Det var hende, der fandt ud af, hvordan man bruger BGP-kapring til at beskytte mod DDoS-angreb.
Hvis et DDoS-angrebsoffer kontakter Prolexic for at få hjælp, overfører sidstnævnte klientens IP-adresser til sig selv, hvilket giver den mulighed for at analysere og filtrere indgående trafik.
Da BackConnect leverede DDoS-beskyttelsestjenester, blev der udført en analyse for at afgøre, hvilke af BGP-aflytningerne, der kunne anses for legitime i deres klienters interesse, og hvilke der så mistænkelige ud. Dette tager højde for varigheden af indfangningen af andre personers adresser, hvor bredt den anden persons præfiks blev annonceret som deres eget, om der er en bekræftet aftale med klienten osv. Tabellen viser, at nogle af BackConnects handlinger ser meget mistænkelige ud.
Tilsyneladende anlagde nogle af ofrene en retssag mod BackConnect. I Navnet på det firma, som retten anerkendte som offer, var ikke angivet. Offeret omtales i dokumentet som Offer 1.
Som nævnt ovenfor begyndte undersøgelsen af BackConnects aktiviteter, efter at vDos-tjenesten blev hacket. Derefter serviceadministratorer, såvel som vDos-databasen, herunder dens registrerede brugere og registreringer af klienter, der har betalt vDos for at udføre DDoS-angreb.
Disse optegnelser viste, at en af konti på vDos-webstedet blev åbnet for e-mail-adresser tilknyttet et domæne, der var registreret i navnet Tucker Preston. Denne konto igangsatte angreb mod et stort antal mål, herunder adskillige angreb på netværk ejet af (FSF).
I 2016 sagde en tidligere FSF-sysadmin, at nonprofitorganisationen på et tidspunkt havde overvejet at indgå partnerskab med BackConnect, og angrebene begyndte næsten umiddelbart efter, at FSF sagde, at det ville lede efter et andet firma til at yde DDoS-beskyttelse.
Ifølge U.S. Department of Justice, på dette punkt, risikerer Tucker Preston op til 10 års fængsel og en bøde på op til $250, hvilket er det dobbelte af den samlede gevinst eller tab fra forbrydelsen. Dommen afsiges den 000. maj 7.
GlobalSign leverer skalerbare PKI-løsninger til organisationer i alle størrelser.
Flere detaljer: +7 (499) 678 2210, [e-mail beskyttet].
Kilde: www.habr.com