Noong 2016, ang vDos ay naging pinakasikat na serbisyo sa mundo para sa pag-order ng mga pag-atake ng DDoS
Kung naniniwala ka sa mga teorya ng pagsasabwatan, ang mga kumpanya ng antivirus mismo ang namamahagi ng mga virus, at ang mga serbisyo ng proteksyon sa pag-atake ng DDoS mismo ang nagpasimula ng mga pag-atake na ito. Siyempre, ito ay kathang-isip... o hindi?
Enero 16, 2020 Federal District Court ng New Jersey Tucker Preston, 22, ng Macon, Georgia, sa isang bilang ng pagsira sa mga protektadong computer sa pamamagitan ng pagpapadala ng program, code o command. Si Tucker ay ang co-founder ng BackConnect Security LLC, na nag-aalok ng proteksyon laban sa mga pag-atake ng DDoS. Hindi napigilan ng batang negosyante ang tuksong maghiganti sa kanyang mga kliyenteng hindi matitinag.
Ang malungkot na kuwento ni Tucker Preston ay nagsimula noong 2014, nang ang teenager na hacker, kasama ang kanyang kaibigan na si Marshal Webb, ay nagtatag ng kumpanyang BackConnect Security LLC, na noon ay na-spun off mula sa BackConnect, Inc. Noong Setyembre 2016, ang kumpanyang ito sa panahon ng operasyon upang isara ang serbisyo ng vDos, na sa oras na iyon ay itinuturing na pinakasikat na serbisyo sa mundo para sa pag-order ng mga pag-atake ng DDoS. Ang kumpanyang BackConnect noon ay diumano mismo ay inatake sa pamamagitan ng vDos - at nagsagawa ng hindi pangkaraniwang "counterattack", na nakakuha ng 255 na IP address ng kaaway sa pamamagitan ng (Pag-hijack ng BGP). Ang pagsasagawa ng gayong pag-atake upang protektahan ang mga interes ng isang tao ay nagdulot ng kontrobersya sa komunidad ng seguridad ng impormasyon. Maraming nadama na ang BackConnect ay lumampas sa dagat.
Ang isang simpleng pagharang ng BGP ay ginagawa sa pamamagitan ng pag-anunsyo ng prefix ng ibang tao bilang sa iyo. Tinatanggap ito ng mga uplink/peer, at nagsimula itong kumalat sa Internet. Halimbawa, noong 2017, di-umano'y bilang resulta ng isang pagkabigo ng software, Rostelecom (AS12389) Mastercard (AS26380), Visa at ilang iba pang institusyong pinansyal. Ang BackConnect ay nagtrabaho sa halos parehong paraan noong inalis nito ang mga IP address mula sa Bulgarian hoster na Verdina.net.
Ang CEO ng BackConnect na si Bryant Townsend sa newsletter ng NANOG para sa mga operator ng network. Sinabi niya na ang desisyon na salakayin ang address space ng kaaway ay hindi basta-basta, ngunit handa silang sagutin ang kanilang mga aksyon: βBagaman nagkaroon kami ng pagkakataon na itago ang aming mga aksyon, nadama namin na ito ay mali. Gumugol ako ng maraming oras sa pag-iisip tungkol sa desisyong ito at kung paano ito magpapakita ng negatibo sa kumpanya at sa akin sa mata ng ilang tao, ngunit sa huli ay sinuportahan ko ito."
Tulad ng nangyari, hindi ito ang unang pagkakataon na gumamit ang BackConnect ng BGP interception, at ang kumpanya sa pangkalahatan ay may madilim na kasaysayan. Bagaman dapat tandaan na ang pagharang ng BGP ay hindi palaging ginagamit para sa mga malisyosong layunin. Brian Krebs na siya mismo ay gumagamit ng mga serbisyo ng Prolexic Communications (ngayon ay bahagi ng Akamai Technologies) para sa proteksyon ng DDoS. Siya ang nakaisip kung paano gamitin ang BGP hijack upang maprotektahan laban sa mga pag-atake ng DDoS.
Kung ang isang biktima ng pag-atake ng DDoS ay nakipag-ugnayan kay Prolexic para sa tulong, inililipat ng huli ang mga IP address ng kliyente sa sarili nito, na nagbibigay-daan dito na suriin at i-filter ang papasok na trapiko.
Dahil ang BackConnect ay nagbigay ng mga serbisyo sa proteksyon ng DDoS, isang pagsusuri ang isinagawa upang matukoy kung alin sa mga pagharang ng BGP ang maaaring ituring na lehitimo sa mga interes ng kanilang mga kliyente, at kung alin ang mga mukhang kahina-hinala. Isinasaalang-alang nito ang tagal ng pagkuha ng mga address ng ibang tao, kung gaano kalawak ang pag-advertise ng prefix ng ibang tao bilang kanilang sarili, kung mayroong nakumpirmang kasunduan sa kliyente, atbp. Ipinapakita ng talahanayan na ang ilan sa mga aksyon ng BackConnect ay mukhang napakahinala.
Tila, ang ilan sa mga biktima ay nagsampa ng kaso laban sa BackConnect. SA Ang pangalan ng kumpanya na kinilala ng korte bilang biktima ay hindi ipinahiwatig. Ang biktima ay tinutukoy sa dokumento bilang Biktima 1.
Tulad ng nabanggit sa itaas, nagsimula ang pagsisiyasat sa mga aktibidad ng BackConnect pagkatapos ma-hack ang serbisyo ng vDos. Pagkatapos mga administrador ng serbisyo, pati na rin ang database ng vDos, kasama ang mga nakarehistrong user nito at mga talaan ng mga kliyenteng nagbayad ng vDos para sa pagsasagawa ng mga pag-atake ng DDoS.
Ang mga talaang ito ay nagpakita na ang isa sa mga account sa vDos website ay binuksan sa mga email address na nauugnay sa isang domain na nakarehistro sa pangalan ni Tucker Preston. Ang account na ito ay nagpasimula ng mga pag-atake laban sa malaking bilang ng mga target, kabilang ang maraming pag-atake sa mga network na pag-aari ni (FSF).
Noong 2016, sinabi ng isang dating FSF sysadmin na ang nonprofit ay minsang naisip na makipagsosyo sa BackConnect, at nagsimula ang mga pag-atake halos kaagad pagkatapos sabihin ng FSF na maghahanap ito ng isa pang kumpanya na magbibigay ng proteksyon sa DDoS.
Ayon sa Kagawaran ng Hustisya ng U.S., sa bilang na ito, nahaharap si Tucker Preston ng hanggang 10 taon sa bilangguan at multa ng hanggang $250, na doble ang kabuuang pakinabang o pagkawala mula sa krimen. Ipapahayag ang hatol sa Mayo 000, 7.
Nagbibigay ang GlobalSign ng mga nasusukat na solusyon sa PKI para sa mga organisasyon sa lahat ng laki.
Higit pang mga detalye: +7 (499) 678 2210, [protektado ng email].
Pinagmulan: www.habr.com