Pour le moment, les informations [1], [2] sont assez sommaires : Un supposé ex-militaire (se faisant appeler sous le pseudonyme de "Jester") aurait développé un méthode d'attaque en déni de service lui permettant de bloquer à distance l'accès à aux sites Web de son choix.
Les détails sur la méthode utilisée sont assez limités : Ce que l'on sait c'est que celle-ci ne s'appuie pas sur l'utilisation synchronisée d'un grand nombre de machines préalablement compromises (botnet) : Selon les dires de l'intéressé, il aurait développé un outil tournant sur une seule et unique machine de type Linux. Si tout cela est vrai, cela laisse à penser qu'il s'agirait d'une attaque visant la couche applicative : En l'occurrence le serveur web ou l'application web elle-même. Est-ce une évolution de l'attaque dite Slowloris ? On ne sait pas.
C'est intéressant à plusieurs titres
Les détails sur la méthode utilisée sont assez limités : Ce que l'on sait c'est que celle-ci ne s'appuie pas sur l'utilisation synchronisée d'un grand nombre de machines préalablement compromises (botnet) : Selon les dires de l'intéressé, il aurait développé un outil tournant sur une seule et unique machine de type Linux. Si tout cela est vrai, cela laisse à penser qu'il s'agirait d'une attaque visant la couche applicative : En l'occurrence le serveur web ou l'application web elle-même. Est-ce une évolution de l'attaque dite Slowloris ? On ne sait pas.
C'est intéressant à plusieurs titres
- Tout d'abord ce justicier masqué "Jester" aurait attaqué des sites de la mouvance jihadiste ou extrémistes ; des sites Internet Iranien auraient aussi été attaqués : L'outil "arme informatique" est donc, encore une fois de plus, utilisé dans le cadre de visées politiques ou du moins de défense idéologique.
- Si cette nouvelle méthode d'attaque existe bien réellement et si elle est aussi efficace que déclarée alors "Houston on a un problème", du moins tant que les détails de son fonctionnement sont inconnus : Il est effectivement pour le moins inconfortable de se défendre contre une attaque dont les caractéristiques sont inconnues. L'effet d'amplification qui pourrait résulter de l'utilisation de ce même outil de façon distribuée (via un botnet ou par un groupe de cyber-hacktivistes par exemple) pouvant être particulièrement létal pour des cibles les plus protégées.
- Les attaques ont été
lancées via un service réseau anonymisant localisé en Suéde proposant à ses membres
de rester "cachés" pour une cotisation mensuelle : Ce type de service
est en pleine expansion : Un chaînage de 2 ou trois services de ce type
et l'identification de l'attaquant est beaucoup plus complexe. Mon avis
est que ces services ont un avenir plutot radieux dans les années à
venir... que ce soit pour lancer des attaques "ciblées" comme c'est ici
le cas, mais aussi pour conserver un semblant de vie privée sur
Internet, notamment contre les officines publiques (ou privées) de
défense de tel ou tel droit/sujet.
Mais tout cela n'est encore qu'a prendre avec précaution : Très peu d'informations sont pour le moment disponibles. Si vous voulez coller au plus près du sujet, vous pouvez suivre "th3j35t3r" sur Twitter.
Liens :
[1] - Infosecurity-Magazine.com, 'Jester' ex-military hacker takes the distributed out of DDOS attacks, January 11, 2009
[2] - Information-Security-Resources.com, Patriot Hacker Hits Jihad With DDoS Attacks, January 7, 2009
Cela peut être, comme vous l'avez dit, du côté applicatif ou tout simplement un paquet mal forgé.
Cependant, j'ai aujourd'hui quelques doutes face à cela. Premièrement, tous les serveurs ne tournent pas sur Apache, notamment ceux de plusieurs entreprises qui restent sur des services de type IIS sans parler d'Nginx ou de Lighttpd.
Une attaque DOS étant liée à la vulnérabilité "Slowloris" ne serait donc pas liée, vu que c'est "aux sites Web de son choix".
De plus, si ce problème se situe dans les couches inférieures, le problème serait du côté du système d'exploitation, mais là encore, nous sommes face à différents systèmes possédant tous leurs propres caractéristiques dans l'interprétation des paquets.
Bref, cette information est véritablement à prendre avec des pincettes... cela pourrait cependant prendre la forme d'un Framework composé de plusieurs exploits pour différents serveurs web alliant des options publiques et des 0 days afin de rendre hors service des serveurs, des loadbalancers ou des reverses proxys.
Bonjour. Effectivement le champ des possibles est large : Il est donc possible de spéculer tant que l'on veux (lâchons-nous !). :-)
Même si les Nginx a le vent en poupe, Apache (suivi de IIS) reste LE serveur prédominant sur Internet, cf les dernières statistiques de NetCraft sur le sujet.
Juste pour avancer d'un cran, je me suis prêté (petit) au jeu suivant : Quel OS/serveur web se trouvent derrière les sites web indiqués dans l'un des deux articles ?
Voici ce que Netcradt donne comme résultats (hostname, OS, serveurWeb, pays hébergeant le site) :
www.alemarah.info / Linux / Apache/2.0 / Malaisie
www.radicalislam.org / Solaris / Apache / USA
www.islamicpoint.net / No info / No info / USA
www.almaghrib.org / Linux / Apache/2.0 / USA
www.as-ansar.com / Linux / Apache/2.2 / Malaisie
www.islamicnetwork.com / Windows Server 2003 / Apache/2.2 / Canada
www.islamicawakening.com / Linux / Apache/2.0 / UK
www.ansarnet.info / Linux / Apache/2.2 / Malaisie
www.president.ir / Linux / Apache/2.2 / Iran
mbna.co.uk / Linux / Apache / USA
---> Le dénominateur commun "Apache" apparait clairement (hormis le "cas" de islamicpoint.net), et une prédominance de Linux comme système d'exploitation.... Est-ce une attaque de type Slowloris ? On peut raisonnablement émettre l'hypothèse... on continue toujours à spéculer mais ca pourrait être le cas comme ne pas l'être du tout...
J'ai été surpris d'une chose: Une grande majorité de ses sites sont localisés sur le territoire américain alors que la guerre contre le terrorisme est lancée depuis belle lurette.... On pourrait expliquer que cela est du ou 1) au droit de libre expression/défense de ses idées garanti par la constitution américaine ou que 2) le gouvernement préfère garder ces sites "proches" pour collecter de l'information (cf les "grandes oreilles" de la NSA/Echelon). Aller, j'arrête de spéculer. ;-)
Bonne continuation !
Bravo pour votre blog autour de la sécurité ! Des articles intéressants.
Je n'avais pas fait attention au fait que la majorité des sites internet étaient effectivement situés sur le continent américain... intéressant pour l'analyse.
En quelques minutes, n'importe qui peut se coder un slowloris like (je viens de le faire :D) ; couplé avec l'utilisation de proxies on doit pouvoir bloquer n'importe quel site...
A mon avis c'est exactement cela qu'utilise le gars, pour qu'il puisse bloquer ces sites via un fournisseur de vpn bon marché si rapidement je ne vois pas d'autres solutions :p
Alors là je pense exactement comme fbparis c'es surement des gars qui utilisent un fournisseur de vpn, n'importe lequel remplirait cette tâche. Pour flouer les pistes ou pour être anonyme sur internet ça marche bien.