image

Man bekent DoS-aanvallen op website ex-werkgever

vrijdag 11 maart 2016, 11:32 door Redactie, 4 reacties

Een 64-jarige man heeft voor een Amerikaanse rechter bekend dat hij 10 maanden lang DoS-aanvallen op de website van zijn voormalige werkgever heeft uitgevoerd, waardoor de server stopte met werken of zeer traag werd. De schade voor het bedrijf bedroeg meer dan 15.000 dollar.

Kort nadat de man bij het bedrijf was vertrokken stuurde hij "aanvalsscripts" naar de website. Deze scripts voerden allerlei geautomatiseerde acties tegen de website uit, waaronder het downloaden van informatie en het geven van opdrachten aan een applicatie op de website, aldus het Amerikaanse ministerie van Justitie. De aanvallen vonden gedurende 10 maanden plaats in de periode 2009 en 2010.

Om zijn eigen ip-adres te verbergen gebruikte hij het Tor-netwerk, aldus de bekentenis van de man. "Personen die hun criminele activiteiten via Tor willen verbergen zijn niet buiten bereik van de politie", aldus David Bowdich van de FBI. "Deze zaak laat de dreiging van insiders zien, wiens aanvallen veel effectiever kunnen zijn als ze kennis van het netwerk van de aangevallen onderneming hebben." De man kan een gevangenisstraf van maximaal 10 jaar krijgen. De rechter wijst op 23 mei vonnis.

Reacties (4)
11-03-2016, 15:20 door Hans van Eijsden
Interessant precedent, ook al is het in Amerika.

Even een zijstraatje. Veel websites gebruiken nog steeds Apache (en dan zelfs zonder Varnish, kaal aan internet..) in plaats van Nginx, met vaak tot gevolg dat de sites niet meer dan 2 requests per seconde kunnen verwerken voordat de CPU op de server het druk krijgt (met name Apache + PHP, zonder frontend cache en zonder opcache).
Als mijn kat toevallig op mijn toetsenbord ligt en de F5-toets ingedrukt houdt, ligt dus die hele site plat.

Stel dat dat gebeurt.. ook al is dat geen DDoS (wel DoS), is dat dan een strafbaar feit? Is het niet aan de hoster om ervoor te zorgen dat de server op orde is en niet met een simpele F5/CMD-R kan worden platgelegd?
11-03-2016, 18:31 door Anoniem
"Deze scripts voerden allerlei geautomatiseerde acties tegen de website uit, waaronder het downloaden van informatie en het geven van opdrachten aan een applicatie op de website"

Los van het feit of dit nou werkelijk illegaal is. Irritant is het zeker.

"Personen die hun criminele activiteiten via Tor willen verbergen zijn niet buiten bereik van de politie"

Tor beschermt mensen ook niet tegen domme dingen doen.
Als jij als it-er met ruzie bij de werkgever bent weggegaan en die ineens last krijgt van digitale overlast weet de politie ook wel in welke buurt ze wat extra onderzoek zouden kunnen gaan verrichten door op de gok alles in beslag te nemen en te onderzoeken.

"Is het niet aan de hoster om ervoor te zorgen dat de server op orde is en niet met een simpele F5/CMD-R kan worden platgelegd?"

Cloudflare doet dat op deze site ook.
Wanneer je een blokkade voor je neus krijgt en per omgaande met een vernieuwd Tor-circuit (is andere exitnode met ander ip adres) wordt je direct weer geblokkeerd.
Ik vermoed dat die grens hier ergens tussen de 7 en 15 seconden ligt.
Het heeft er alle schijn van dat je kat dus rustig op het toetsenbord kan gaan liggen wanneer blokkeerity.nl open staat.
Al loop je de kans dat je ip op de blocklist komt, dat schijnt tegenwoordig helemaal hot te zijn hier.

Tot slot is Tor niet zo geschikt gemaakt om vanaf te ddos-en maar het kan nooit kwaad Tor te beschimpen nietwaar?

Tor en DDOS info
"What about distributed denial of service attacks?"

Distributed denial of service (DDoS) attacks typically rely on having a group of thousands of computers all sending floods of traffic to a victim. Since the goal is to overpower the bandwidth of the victim, they typically send UDP packets since those don't require handshakes or coordination.

But because Tor only transports correctly formed TCP streams, not all IP packets, you cannot send UDP packets over Tor. (You can't do specialized forms of this attack like SYN flooding either.) So ordinary DDoS attacks are not possible over Tor. Tor also doesn't allow bandwidth amplification attacks against external sites: you need to send in a byte for every byte that the Tor network will send to your destination. So in general, attackers who control enough bandwidth to launch an effective DDoS attack can do it just fine without Tor."

Abuse faq Torproject
https://www.torproject.org/docs/faq-abuse.html.en
12-03-2016, 18:45 door soeperees
@Hans van Eijsden
Wat een lulkoek! Een goed geconfigureerde apache met mod_php is net zo snel en "light weight" als nginx met php-fpm.
Het hangt voornamelijk af van wat voor software je website zelf draait.

nginx is een gehypte webserver die welbeschouwd niet eens PHP kan serveren. Daar heb je een andere backend voor nodig.
nginx is leuk voor CDN's of kale HTML.
12-03-2016, 21:11 door Hans van Eijsden
Niet mee eens soeperees. PHP via Apache zonder iets ervoor is beslist niet schaalbaar vergeleken met PHP via Nginx. Zie o.a. https://anturis.com/blog/nginx-vs-apache/ voor een uitleg.
Info over het C10k-probleem: https://en.wikipedia.org/wiki/C10k_problem
Nginx kan via fastcgi-cache PHP even snel serveren als statische content. Apache gaat dan voor elke request extra threads/workers uitvoeren, terwijl Nginx het met 2 vingers in de neus doet.

Wel ben ik het met je eens dat het afhangt van welke software je website zelf draait. Maar in dit geval had ik het over PHP.

Met Nginx op een simpele VPS 40 miljoen hits per dag doen is geen enkel probleem, in tegenstelling tot Apache. Check http://reviewsignal.com/blog/2014/06/25/40-million-hits-a-day-on-wordpress-using-a-10-vps/ maar eens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.