Le cloud est-il une arme de choix pour lancer des attaques en déni de service (DDoS) ?
Les attaques en déni de service sont en plein boom. L'actualité récente de WikiLeaks est un exemple flagrant. Comment mettre perspective le Cloud computing et les moyens utilisée pour lancer des attaques en DDoS ? Le Cloud va-t-il mettre au rencard les botnet et groupes d'hacktivistes ? Je vous propose quelques éléments de réponse...
Botnets et cyber-hacktivistes
Dans une attaque en déni de service, l'objectif de l'attaquant est de rendre un site complètement inopérant ou inutilisable pour ses utilisateurs habituels. L'un des élements clefs d'une attaque en DDoS c'est le bot (ou zombie) : il s'agit très souvent d'une machine infectée qui se retrouve pilotée à distance par l'attaquant, le tout à l'insu de son propriétaire légitime.
De façon moins fréquente, il s'agit d'utilisateurs partageant une motivation commune et se mobilisant de façon concertée pour attaquer une cible. Cette forme de protestation online est connue sous le terme de cyber-hacktivisme. Les attaques lancées par les Anonymous vers des sites bancaires dans le cadre de l'affaire Wikileaks est un exemple très récent.
Pas optimal le réseaux de machines infectées
Dans le cas des zombies/bots, infecter un nombre suffisant de machines dans un délai court reste assez complexe : Il faut monter des pièges, faire en sorte que des personnes tombent dedans pour infecter leurs machines. Cela demande des compétences, des outils et va nécessiter du temps pour recruter un nombre suffisant de machines.
Dans tous les cas il sera nécessaire de rester en dessous du radar afin de pas être détecté par un logiciel antivirus ou autre système de détection. En outre, les accès réseaux sont majoritairement de type asymétrique : la bande passante montante disponible par bot est faible... Il sera donc nécessaire de recruter beaucoup de ces machines.
Trop contraignant le cyber-hacktivisme
Le recrutement d'un nombre important de personnes partageant des motivations communes est redoutable comme moyen d'attaque : Les défenses au niveau du poste de travail sont inefficaces (les propriétaires sont d'accord pour s'auto-infecter ou pour utiliser des outils d'attaques), le nombre de personnes ralliée à la cause commune peut être suffisamment important.
Mais le problème principal c'est la motivation commune : Difficile voire impossible de motiver des personnes pour attaquer le site d'un compétiteur ou dans le cadre d'un schéma d'extortion de fonds. De plus, la personne qui coordonne les attaques reste dépendante du bon vouloir des personnes et de leur disponibilité. Lancer des attaques répétées sur plusieurs jours ou semaines est irréaliste : la motivation va aller en s'effilochant.
Monter un botnet dans le Cloud
Le cloud possède des caractéristiques fort intéressantes : Accès réseaux performants avec d'importantes bandes passantes disponibles ; capacité d'activer à distance et de façon rapide de nouvelles ressources ; paiement à l'usage et systèmes répartis dans différents endroits du monde.
A ces caractéristiques, il convient d'en ajouter une importante : L'engagement que les fournisseurs de services de cloud ont de respecter et de protéger les données de leurs clients d'atteinte à la confidentialité des données mises dans le cloud.
Une personne souhaitant monter son réseau de machine zombies pourrait utiliser le cloud à son avantage.
Anonymat grace au "tout à distance" et au "tout automatisé"
A partir d'informations d'une (ou plusieurs) carte bancaire préalablement volée (ou alors une carte bancaire pré-payée), l'attaquant ouvrira des comptes auprès de plusieurs plateformes de Cloud de fournisseurs différents.
Bien évidemment, celui-ci passera via des proxys et autres réseaux anonymes comme TOR pour ne pas laisser de traces lorsqu'il se connectera sur les interfaces de création de compte ainsi que pour toute interaction avec les systèmes de gestion des plateformes de cloud.
Des VMs pré-conditionnées pour attaquer
Sur chacun de ces cloud, il déploiera une image ISO (ou une image de VM) préparée de sorte à ce que dès son démarrage celle-ci se connecte à un ou plusieurs points de ralliement pour prendre ses ordres. Les points de ralliement peuvent être ou des machines localisées dans un cloud ou être des plateformes de réseaux sociaux comme twitter.
Les VMs ainsi construites seront bien sur optimisées pour n'utiliser qu'un très faible niveau de mémoire vive ou d'espace disque : Ainsi, l'attaquant optimise sa facture et peut lancer pour le même prix encore plus de VMs.
Un botnet élastique grâce aux API distantes
Le truc cool c'est que de plus en plus de cloud mettent à disposition des API (Interfaces de programmation) pour permettre leur pilotage à distance. Dans un monde idéal (ce n'est pas encore le cas mais c'est la tendance, les API devraient normalisées) : Donc pour un attaquant c'est le top... il peut développer un script pour lancer ou stopper à distance autant de VM dont il a besoin pour lancer son attaque... Elasticité et pilotage à distance vous avez dit ?
Bande passante à outrance
Toutes ces machines sont sur des plateformes performantes et bénéficiant de connexions réseaux performantes avec des bandes passantes importantes. Qui de plus est, celles-si sont réparties sur le monde entier. Donc coté accès réseaux, il ya de fortes chances que cela tape fort sur la tête de la cible...
Impunité grâce au respect de la confidentialité ?
Comme j'ai pu l'évoquer plus haut, les fournisseurs de services Cloud se doivent de mettre en place tous les moyens en oeuvre pour assurer que les données qui leurs sont confiées restent bien dans le cloud et que personne n'y accède à l'insu de leur propriétaire légitime. Cette règle valant bien évidemment pour tout le monde, y compris les administrateurs du fournisseur de cloud lui-même. Impossible donc de jeter un oeil sur le contenu d'une VM suspecte... ce qui est très bien pour un attaquant : Ses VMs sont bien au chaud dans le cloud.
Next time : Techniques de sécurisation
Oui, le cloud peut être un moyen facilitant les attaques en déni de service. Et je n'ai pas exposé tous les scénarios possibles : Compromissions de VM vulnérables, utilisation de plateformes de type PaaS, etc... C'est aux professionnels de la sécurité et aux opérateurs et fournisseurs de services de faire en sorte que les bénéfices restent supérieurs aux nuisances.
Dans un prochain bulletin, je m'attacherai à décrire quelles mesures un fournisseur de services de cloud computing peut mettre en place pour lutter contre la "botnet-ification" de son cloud.
Article intéressant, mais je ne suis pas d'accord.
Si effectivement les caractéristiques techniques du Cloud sont alléchantes pour les pirates voulant faire du DDoS, le côté pratique de la mise en oeuvre est beaucoup moins favorable que les attaques classiques.Faisons une comparaison:* coût de l'opération DDoS:Dans le premier cas, elle ne coûte rien puisque soit les bots sont actifs chez des victimes ignorantes, soit chez des activistes bénévoles etc. A part en temps, il n'y a pas d'investissement financier préalable à l'attaque.
Dans le cas du CLOUD, il y a des frais à débourser AVANT opération DDoS pour les services de CLOUD! Et s'amuser à utiliser des cartes volées, est moyennement réaliste car il faut un nombre important de comptes CLOUD pour un nombre important de bots, donc un nombre important de cartes volées. Heureusement que ça n'est pas si simple de se procurer autant de cartes volées.
Et même dans cette hypothèse, ils pouvaient très bien utiliser cette techniques avant le CLOUD. (en utilisant une grande quantité de petits serveurs dédiés ou la virtualisation avec des VPS etc.) Si vos craintes étaient fondées, on aurait déjà observé des vagues de DDoS agressives suivant ces méthodes.Or aujourd'hui ce n'est pas que le CLOUD est utilisé pour le DDoS mais qu'il en est la cible.
Le CLOUD serait intéressant pour un pirate DDoS si un seul bot suffisait à une attaque, en ayant des capacités infinies, hors il serait tout de suite repéré et bloqué.
* Le profile des innocents complicesDans le premier cas les complices qui s'ignorent, porteurs de bots, sont des particuliers peu vigilants qui se font piégés ou qui sont négligents sur leur protections résidentes.
Dans le second il s'agit de tromper la vigilance de boites pros dont la sécurité et la surveillance est une grosse partie de leur métier. C'est beaucoup plus difficile. Et pour les cartes volées, il s'agit de tromper le système de prévention des banques, la police etc.Ce ne sont pas les mêmes victimes, c'est beaucoup plus compliqué!
Enfin il serait intéressant d'analyser pourquoi le CLOUD est choisis comme cible.Et voir si le CLOUD ne peut pas être une protection aux attaques DDoS.Car en effet j'aurais tendance à croire, mais je me trompes peut être, que un serveur CLOUD avec un autoscaling permet d'absorber la surcharge de service due à l'attaque. Le surcoût de serveurs (loués à l'heure par exemple) payé dans le CLOUD le temps de l'attaque est surement (j'imagine) moins douloureux, que la perte commerciale (et d'image, quand ça n'est pas du chantage de rançon pirate) engendrée par une attaque DDoS réussie.
Bonjour.
Merci pour votre retour : Une bonne occasion d'échanger nos points de vue et de donner quelques précisions utiles.
Je comprends que vous ne soyez pas d'accord. En effet, le lancement d'attaques de DDoS par l'intermédiaire de botnets (réseaux de machines infectées et pilotées à distance) est clairement plus prépondérant que celles lancées depuis des Cloud : Mais tout évolue (c'est actuellement le cas avec les attaques lancées par des cyberhacktivistes via des outils comme LOIC - Low-Orbit Ion Canon) la menace évolue constamment.
Si je devais me faire devin et donner une tendance ou évolution, je dirais que la menace va évoluer avec les usages.... qui vont vers de plus en plus vers les services en mode cloud : Virtualisation des datacenters et même des postes de travail ou à minima de plus en plus d'application.
Dire que les datacenters sont plus sécurisés que le PC personnel de Mr/Mme Michu : Oui. Mais bon, il convient de rester terre à terre : Les hébergeurs (qu'ils soient en mode "physique" ou de type "cloud") ont toujours eu à se battre contre les attaques et autres agissements illicites lancés depuis depuis leurs infrastructures. Cela continuera et peut-être même en s'aggravant car la lutte va devenir de plus en plus difficile au fur et à mesure que les usages vont se développer.
Autre point : Mon scénario (ou ma "projection") prends comme cadre les services de type IaaS (Infrastructure as a Service, ou hébergement de machines virtuelles) : C'est peut-être un peu restrictif car les services et plateformes en mode cloud de type SaaS (comme les plateformes de réseaux sociaux comme Twitter ou Facebook par exemple) ont été ; et seront très surement ; détournés pour lancer des attaques en déni de service.
Mais je suis en phase avec vous : La menace actuelle ce sont bien les réseaux de machines zombies : C'est actuellement le meilleur moyen de lancer des attaques en déni de service. Les tendances évoluent cependant : à nous de les anticiper pour mieux s'en protéger.
En vous souhaitant un bonne continuation !
Jean-François.
Le Cloud Computing ouvre la porte à de nombreuses applications et
services. Aux meilleurs, comme aux pires. Les infrastructures offrent
bien sur une capacité quasi infinie aux hackers pour lancer des attaques
malveillantes, nous sommes d'accord (même si le cout est plus élevés
qu'avec des bots dormants). Par contre, elles offrent également une
vraie possibilité de prévenir ce type de problème et de s’assurer que
ses applications sont protégées contre ce type d'attaque. Typiquement,
notre plateforme CloudTest nous permet de simuler des millions
d'utilisateurs virtuels pour aider les entreprises à s'assurer de la
fiabilite de leurs applications web ou mobiles (le cas de notre test
myspace est un bon exemple avec plus d'un million d'utilisateurs
virtuels testant la plateforme musicale). Nous
pouvons aggréger des ressources considérables provenant de EC2, Azure,
IBM Cloud, GoGrid etc. Sans surprise, à la suite des attaques DDoS en
Décembre sur visa, mastercard, paypal, nous avons reçu énormément de
demandes de la part d’institution financières voulant mettre en place
des tests de charge pour valider leur infrastructure contre
d’éventuelles attaques.
Le Cloud une arme, probablement. Mais également un bon moyen de se protéger. Le Yin et le Yang !
Fred Beringer
Bonjour,
Pour avoir travaillé chez le plus gros hébergeur de France (pendant quelques mois), malgré les idées reçues, je peux témoigner de l'engagement constant des hébergeurs à lutter contre les usages illicites de leurs serveurs. Il faut savoir que les hébergeurs maitrisent totalement leurs environnements techniques et désactivent les serveurs à la première alarme. Je ne crois pas qu'une attaque DDos puisse durer des heures avant la coupure de service sur une infrastructure physique ou virtuelle.
Le cloud, pas plus que la carte bleue dérobée, n'empêchent la police et la gendarmerie de retrouver les auteurs de méfaits. Certes, les moyens de la "police numérique" seront toujours négligeables par rapport aux moyens des mafias cybernétiques, mais il est très important d'abandonner nos discours obscurantistes des années 80. Il ne faut pas inciter les (souvent jeunes) hacker à commettre des délies en leurs suggérant de fausses garanties d'impunité.
En tout cas, je ne crois pas que le Cloud garantisse l'impunité des attaquants. En terme législatif il ne me semble pas qu'il y ait de différence entre la location de serveurs physiques et de serveurs virtuels.
Tout comme Rahan, je limite mon raisonnement à l'IaaS. Le SaaS impliquerait que des fournisseurs de services proposent spécifiquement des outils de DDoS à la "location". Pourquoi pas ? C'est déjà le cas si l'on considère la "location" de réseaux de botnets.
Dernier point technique, le nombre d'adresses IP disponible sur un cloud ne limite-t-il pas les possibilités de DDos ? Combien de requêtes faut-il pour faire tomber un site institutionnel ou un grand site commercial ?
En tout cas, je vous rejoint tout à fait sur l'utilisation du cloud computing pour le cassage de clés/mots de passe que vous évoquiez dans un précédent article.
Cordialement,
Vincent.