Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Maatschappij » Privacy & beveiliging » Hackers geven tool vrij voor ssl-dos

Hackers geven tool vrij voor ssl-dos

Door Joost Schellevis, dinsdag 25 oktober 2011 09:59, views: 22.694

Een hackersgroep heeft een tool uitgebracht waarmee via ssl eenvoudig denial of service-aanvallen uitgevoerd zouden kunnen worden. Met relatief weinig processorkracht moeten servers met ssl-support offline kunnen worden gehaald.

De tool, verkrijgbaar als Windows-binary of broncode voor op Unix gebaseerde besturingssystemen, is vrijgegeven door de Duitse hackersgroep The Hacker's Choice. De tool, THC-SSL-DOS, leunt op het verschil in benodigd rekenwerk tussen het maken van een ssl-connectie aan de serverkant en het maken van de connectie aan de clientkant. Het eerste vereist meer rekenwerk omdat de server tijdens de handshake cryptografische sleutels moet genereren.

Volgens de hackersgroep is aan de serverzijde maar liefst vijftien keer meer processorkracht nodig, wat het uitvoeren van een denial of service-aanval eenvoudiger maakt. Een gewone laptop op een adsl-verbinding kan daardoor wedijveren met een server op een 30Gbps-pijp, stellen de hackers. Een gewone laptop zou daardoor één enkele server met ssl offline kunnen halen; bij een groter serverpark met load balancers zou een twintigtal laptops met een 120Kbps-verbinding nodig zijn.

De aanval werkt het best wanneer een server ondersteuning heeft voor ssl renegotiation, een ssl-functie die het mogelijk maakt om tijdens een lopende ssl-sessie een nieuwe sleutel te genereren. Door dat vaak te doen, kunnen de resources van een server worden uitgeput. Zonder ssl renegotiation werkt de tool weliswaar ook, maar die moet dan wel worden aangepast en in dat geval hebben de aanvallers meer resources nodig. Zonder ondersteuning voor ssl renegotiation leunt de tool op het maken van een groot aantal ssl-handshakes.

THC stelt dat het meeste succes waarschijnlijk niet kan worden behaald bij https, een populaire implementatie van ssl, maar met poorten voor bijvoorbeeld pop3s en smtps, omdat die waarschijnlijk minder goed bestand zijn tegen een groot aantal ssl-verzoeken.

De hackers stellen dat het ssl-protocol onveilig is en niet meer van deze tijd. In 2009 werd ssl renegotiation al eens gebruikt om een aanval op het ssl-protocol uit te voeren; het bleek mogelijk om tijdens een renegotiation een ssl-verbinding te onderscheppen.

Volgende 10:13 'Bedenker iTunes werkt voor Apple aan televisie'
Vorige 09:25 KPN investeert verder in glasvezelaanleg
Advertentie

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 66 reacties zichtbaar660 Off-topic / Irrelevant: 60 reacties zichtbaar60+1 On-topic: 35 reacties zichtbaar35+2 Informatief: 5 reacties zichtbaar5+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door Eagle Creek, dinsdag 25 oktober 2011 10:11

Score: 1
Nou, dan kan ik mijn BF3 pre-order wel cancellen dus
Ik zie de relevantie totaal niet. :?
De hackers stellen dat het ssl-protocol onveilig is en niet meer van deze tijd.
Onveilig = vatbaar voor DDOS-aanvallen?

Volgens mij kun je dat zo niet helemaal stellen. Overigens zal een eventueel nieuw encryptieprotocol wellicht hetzelfde probleem hebben, daar encryptie meer performance vereist (er moeten immers berekeningen worden gemaakt).

Een eventueel nieuw protocol zal wellicht op een hoger niveau wel barrières kunnen opwerpen, maar tegen een reguliere DDOS is ook weinig bestand volgens mij.

Of denk ik te kortzichtig?

[Reactie gewijzigd door Eagle Creek op dinsdag 25 oktober 2011 10:13]

Door ReenL, dinsdag 25 oktober 2011 10:18

Score: 1
DoS != DDoS

DoS = Server(s) slopen met je laptop
DDoS = Server(s) slopen met je botnet/serverpark

Door coretx, dinsdag 25 oktober 2011 10:52

Score: 1
Als je iemand corrigeert doe het dan goed.

DOS = Denial of Service Attack
DDOS = Distributed Denial of Service Attack.

Beiden is middels 1 laptop uit te voeren.
Bijv. middels de afkomst van je datapaketjes te veranderen in een ander adres.
Op die manier maak je niet alleen gebruik van je eigen netwerk capaciteit, maar ook van het netwerk waarvan je foutief het afkomst adres hebt opgegeven.

Ook behoeft een (D)DOS aanval helemaal geen massale datatoestroom te zijn die een systeem plat legt. Ook een misvatting die door posts zoals hierboven leeft.
Er zijn honderden al dan niet duizenden type DOS aanvallen mogelijk.

Door trolloos, dinsdag 25 oktober 2011 11:24

Score: 0
Hoe verander je de afkomst van je datapaketjes in een ander adres?
Heb je hier misschien meer informatie over voor mij dat klinkt interresant.

Door toxicunderGroov, dinsdag 25 oktober 2011 11:33

Score: 0
Wellicht is het beter zo'n soort discussie te hervatten per DM :)

Door coretx, dinsdag 25 oktober 2011 18:00

Score: 1
Je daagt mij nu uit om met meer details op de proppen te komen.
Er is geen ergere vorm van censuur dan zelf censuur.

Het is juist goed om dit soort zaken publiekelijk te bespreken.
Op die manier ontvangt men namelijk sneller diep inzicht in verhouding tot
het oppervlakkige geneuzel en pseudo intellectuele geblaat wat je normaliter in de nieuwsreacties ziet staan. Dit laatste stuurt namelijk af op interpretatie fouten, wat vervolgens versterkt word door hersenloos papegaai gedrag.
Uiteindelijk heeft dat als gevolg dat de publieke opinie is gebaseerd op halve waarheden en onzin, wat op zijn beurt weer slechte besluitvorming als resultaat zal hebben.

Door ejay79, dinsdag 25 oktober 2011 12:45

Score: 0
Met wat als doel? Veranderen van source klinkt mij altijd als "niet integer"...
Je ziet de pakketjes dus ook niet meer terug hè.

Door ReenL, dinsdag 25 oktober 2011 12:04

Score: 1
Tuurlijk kan je beide vanaf 1 punt aanspreken, ik wil slecht aangeven dat er meer kracht nodig is voor een DDoS, je hoort me ook niets zeggen over massale datastroom.

Mijn bericht geeft enkel aan dat dit met een enkele laptop icm deze tool kan, zonder extra resources.

Door paulus83, woensdag 26 oktober 2011 07:18

Score: 1
Onjuist. De naam zegt het al, distributed: verspreid dus, over meerdere bronnen. Als jij loopt te spoofen, maakt dat je aanval niet opeens gedistribueerd. Bovendien, zoals iemand anders ook al opmerkte, krijg je nooit de antwoorden binnen. Je kan dus enkel een server plaat krijgen als het aan te vallen protocol al resources reserveert bij ontvangst van het eerste pakketje - aangezien je niet weet wat het antwoord was op je initiële pakket kun je geen passend antwoord sturen. ReenL's antwoord klinkt wat kort door de bocht, maar is wel correct.

Door ReenL, dinsdag 25 oktober 2011 11:58

Score: 0
= is definitie
== is vergelijking

Door ursie, dinsdag 25 oktober 2011 14:03

Score: 0
das helemaal niet waar ! dat ligt maar helemaal aan de taal die je gebruikt. Er zijn talen die == niet eens begrijpen. Waar != wel naar mijn weten in alle talen waar ik me tot nu toe in mijn leven gebruik van heb gemaakt wel bestaat en gebruikt kan worden.

Door fdm391, dinsdag 25 oktober 2011 21:50

Score: 0
Eerst zeggen dat het helemaal niet waar is en vervolgens zeggen dat het in alle talen waar je mee gewerkt hebt != wel geldt..

Uiteindelijk zijn het maar tekens en ligt het maar aan je definitie.

Door hyptonize, dinsdag 25 oktober 2011 10:04

Score: 1
Zijn er geen andere manieren om te bewijzen dat SSL onveilig en niet meer van deze tijd is? Ik vraag me af hoelang deze hack-rage door blijft gaan.

Door Kevinp, dinsdag 25 oktober 2011 10:09

Score: 1
In feite doen ze hier niks fouts, alleen geven ze mensen de tools om mogelijk iets te doen wat niet hoort.

Net als een autodealer die je een auto verkoopt die > 130 kan

Of de overheid die wegen aanlegt waarop je > 130 kan.

Er is pas iets mis wanneer het gebruikt wordt. En het wordt pas aangepast wanneer er een grote dreiging van kosten aan lijkt te komen.

Er is dus ook geen manier om instellingen te dwingen er iets aan te doen, behalve door ze maanden plat te leggen. Omdat ze (helaas) vaak gewoon niet luisteren. Maar dat plat leggen mag dan weer niet.

Een beetje het kip en het ei verhaal...

Door BaRF, dinsdag 25 oktober 2011 10:13

Score: 0
Ja hoor, als ik vuurwapens ga uitdelen op een schooltje doe ik ook niks fout? Ik geef ze alleen maar de mogelijkheid om iets fouts te doen? :?

Door Megalodon86, dinsdag 25 oktober 2011 10:20

Score: 1
Vuurwapens vallen onder een aparte wetgeving. Die zijn verboden, dát is strafbaar.

Ik vind het een goede vergelijking die Kevinp maakt.

Door Kenhas, dinsdag 25 oktober 2011 11:16

Score: 1
Maar, als ik het goed begrepen heb, kan je met dit tooltje enkel zo'n aanval uitvoeren. Dit tooltje dient tot niets anders. Met een auto kan je ook perfect onder de 130 blijven.

Een auto en (bepaalde) wegen zijn bedoeld voor onder de 130. Dit tooltje is enkel bedoeld om "kwaad" te doen.

Toch wel een verschil

Door BazB, dinsdag 25 oktober 2011 12:24

Score: 1
Je kan een aanval op je eigen server uitvoeren om testen of je server beschermd is tegen dit soort aanvallen...

Door ursie, dinsdag 25 oktober 2011 14:05

Score: 0
Dit tooltje is de bewijslast van de theorie ! dus het doet wel degelijk iets goed. Het bewijst de theorie!

Door darkfader, woensdag 26 oktober 2011 00:55

Score: 0
Er is geen PoC nodig om zoiets te bewijzen; anders zouden beveiligingslekken ook niet voortijdig opgelost hoeven te worden.

Door triflip, dinsdag 25 oktober 2011 11:56

Score: 1
Ik vind het een slechte vergelijking. Dit is net zo iets als die PS3 Jailbreak USB stick, deze mag niet meer verkocht worden omdat je er iets mee kan doen wat niet mag.

Hetzelfde geld voor deze tool, het is mogelijk om er iets mee te doen wat niet mag. Dus volgens de logica van de wetgeving zou ook deze verboden moeten worden.

Verder vind ik dat we gewoon moeten stoppen met nieuws schrijven over die "scriptkiddies" die sites plat leggen. Dan is de lol er zo vanaf en gaan ze misschien nuttige dingen doen achter de PC.
Door dit soort dingen in het nieuws te zetten denken weer een paar scriptkiddies "ooooeh leuk laten we het proberen" en dat moeten we juist zien tegen te houden.

Door kevinv2u, dinsdag 25 oktober 2011 10:20

Score: 0
Guns don't kill people. People kill people.

Door Flowmo, dinsdag 25 oktober 2011 10:21

Score: 0
Vuurwapens zijn illegaal. Internet, laptops en auto's niet.

Door Huugje, dinsdag 25 oktober 2011 10:41

Score: 1
Aangezien ze heel goed zullen weten waar hun tool voor gebruikt gaat worden, vind ik persoonlijk dat ze wel fout zitten. Net als wanneer je legaal iemand een pistool zou verkopen terwijl je weet dat hij er iemand mee gaat vermoorden.

Door DikkeDouwe, dinsdag 25 oktober 2011 11:05

Score: 1
Ik weet het niet hoor, maar volgens mij is dergelijke software ook geschikt om een server-load test uit te voeren. Daarmee is de tool dus ook geschikt om te gebruiken door systeem-beheerders. Bovendien vraag ik mij af of het niet super eenvoudig is om je te wapenen tegen deze aanval: schrijf gewoon een programmatje dat na 3 maal foutieve SSH verbinding te hebben gemaakt een ip-adres spert voor een bepaalde tijd via bijvoorbeeld iptables. Opeens worden dan alle pakketjes ge-reject-ed en valt je 120kbps verbindingje in het niets tov 3gbps. Ik zelf heb iets vergelijkbaars op mijn server draaien om NFS poorten vrij te geven indien er succesvol een SSH verbinding is gemaakt van een IP adres.

Door Kevinp, dinsdag 25 oktober 2011 11:09

Score: 0
Mee eens, maar instellingen zijn (vaak) te lui om er dus iets aan te doen (staat ook in het laaste stukje tekst) waardoor je uit twee kwade moet kiezen.

1. het negeren, zodat hackers er misbruik van kunnen maken omdat het nu eenmaal niet veilig is
2. Iets vrijgeven waardoor er nu problemen kunnen ontstaan, maar wel bedrijven dwingt na te denken over hun ssl beveiliging.

Een lastige keuze, in beide gevallen kan je altijd deze personen de schuld geven als je wil.

Door sequenter, dinsdag 25 oktober 2011 22:45

Score: 0
Nee, en MetaSploit is ook maar een tool waarmee je goede maar ook slechte dingen kunt doen maar je hebt ze gewoon nodig om bijvoorbeeld penetration tests mee te doen.
En zolang je dit soort dingen in de openbaarheid brengt leg je de zenuw bloot en kunnen mensen zich hier mogelijk tegen wapenen, of hierdoor mogelijk andere keuzes maken.
Hack-rage is al veeeeel langer aan de gang alleen word er nu eens een beetje ruchtbaarhied aan gegeven, zodat alle simpele zielen ook eens een keer na gaan denken of wat ze op het grote boze web plaatsen.

Door BadpunK, dinsdag 25 oktober 2011 10:04

Score: 0
Ben benieuwd of Anonymous dit zal gaan inzetten als een van hun tools.

Door Dexs, dinsdag 25 oktober 2011 10:13

Score: 1
Anonymous heeft hoogstwaarschijnlijk een eigen botnet tot zijn beschikking, die gebruiken niet tools om met 1 pc iets aan te vallen. Het is veel te makkelijk om aan de hand van een IPadres een gebruiker van deze tool te achterhalen. Daarnaast is een botnet ook veel effectiever als het gaat om grote sites plat leggen.

Door GuardMoony, dinsdag 25 oktober 2011 10:24

Score: 1
Dat is waar. Maar aangezien de broncode is vrij gegeven zal deze relatief makkelijk in een module te gieten zijn. En hiermee kunnen ze dan de mogelijkheid van hun botnet vergroten. Dit geld niet alleen voor Anonymous. Ook word daardoor deze tool een ddos.

Leuk dat ze hiermee willen aantonen dat SSL onveilig word/is. Maar mss volgende keer toch de broncode bij houden zou ik zeggen...

Door BadpunK, dinsdag 25 oktober 2011 10:29

Score: 1
Anonymous heeft hoogstwaarschijnlijk een eigen botnet tot zijn beschikking, die gebruiken niet tools om met 1 pc iets aan te vallen.
Onlangs hebben mensen vrijwillig http://en.wikipedia.org/wiki/LOIC gebruikt om een botnet te creeeren. Ze hebben hiermee toentertijd de creditcardmaatschappijen en Paypal mee aangevallen. Waarom zouden ze dan niet een dergelijke tool gaan gebruiken?

Door SomeYoke, dinsdag 25 oktober 2011 11:33

Score: 1
" Het is veel te makkelijk om aan de hand van een IPadres een gebruiker van deze tool te achterhalen"

Hmmm niet echt.... de gebruiker is wel zo slim om dit niet vanaf z'n eigen verbinding te doen maar via een open of slecht beveiligde verbinding

Door kramerty88, dinsdag 25 oktober 2011 11:39

Score: 0
" Het is veel te makkelijk om aan de hand van een IPadres een gebruiker van deze tool te achterhalen"

Hmmm niet echt.... de gebruiker is wel zo slim om dit niet vanaf z'n eigen verbinding te doen maar via een open of slecht beveiligde verbinding
Tegenwoord heb je wel zoveel manieren om jouw IP onbekend te houden. Voorbeeld: het TOR netwerk.

Door Kaasrol, dinsdag 25 oktober 2011 23:29

Score: 0
Anonymous heeft geen eigen botnet, leden waarschijnlijk. Ik heb in ieder geval geen toegang tot een botnet :')

Door dutch666, dinsdag 25 oktober 2011 10:04

Score: 0
En waarom plaatst Tweakers.net een link in het artikel waardoor (potentiële) internetvandalen de kans krijgen andermans internetfun te bederven? :+

[Reactie gewijzigd door dutch666 op dinsdag 25 oktober 2011 10:11]

Door Keiichi, dinsdag 25 oktober 2011 10:07

Score: 2
Omdat ik nu de aanval op m'n testserver probeer uit te voeren en desnoods wat ga tweaken om het minder kwetsbaar te maken ;)

-edit-

Als clientcertificate validation aan staat, doet de aanval niets.

-edit2-

Als renegotiations uitstaan, doet de aanval ook niets. (default ubuntu apache installatie bv)

[Reactie gewijzigd door Keiichi op dinsdag 25 oktober 2011 10:31]

Door dutch666, dinsdag 25 oktober 2011 10:17

Score: 1
Niet iedereen gebruikt deze tool voor hetzelfde doel als jij, maar dat had jij allang begrepen ;)

Door Keiichi, dinsdag 25 oktober 2011 10:32

Score: 1
Dus kunnen we ze maar beter voor zijn waardoor de tool uiteindelijk geen nut meer heeft :)

Door dutch666, dinsdag 25 oktober 2011 10:54

Score: 0
Niet iedereen is (zo grondig) als jij (hoewel ik je inspanningen wel weer waardeer) ;)

Door cpf_, dinsdag 25 oktober 2011 14:22

Score: 0
THC stelt dat het meeste succes waarschijnlijk niet kan worden behaald bij https, een populaire implementatie van ssl, maar met poorten voor bijvoorbeeld pop3s en smtps, omdat die waarschijnlijk minder goed bestand zijn tegen een groot aantal ssl-verzoeken.
Staat zo in het artikel.
Apache is sowieso gemaakt om een hoge load aan te kunnen, en zal dus per definitie minder vatbaar zijn.

Andere SSL-beveiligde protocols zullen dit minder graag zien komen.

Door Garyu, dinsdag 25 oktober 2011 10:04

Score: 1
Een beetje kinderachtig, maar goed. Ik neem aan dat hier ook niet heel veel tegen te doen is, behalve time-outs genereren en multiple requests gewoon negeren.
De hackers stellen dat het ssl-protocol onveilig is en niet meer van deze tijd
Deze uitspraak snap ik niet. Waarom is het ssl-protocol niet meer van deze tijd? Bestaan er betere mogelijkheden om verbindingen te versleutelen dan, en zoja, waarom worden die niet gebruikt? Dat het bepaalde problemen heeft begrijp ik, zoals ook uitgelegd in het artikel, maar zijn er alternatieven? SSL wordt hééél veel gebruikt..

Door air2, dinsdag 25 oktober 2011 10:09

Score: 1
TLS 1.2 is van deze tijd, SSL niet. Dus ja die bestaan, maar worden niet gebruikt. Ook je bank gebruikt nog de onderhand onveilige SSL (of TLS 1.0)

een bron: http://www.theregister.co...east_exploits_paypal_ssl/

[Reactie gewijzigd door air2 op dinsdag 25 oktober 2011 10:09]

Door Kalief, dinsdag 25 oktober 2011 10:42

Score: 1
Mijn idee ook.

De aanval werkt het best wanneer een server ondersteuning heeft voor ssl renegotiation, een ssl-functie die het mogelijk maakt om tijdens een lopende ssl-sessie een nieuwe sleutel te genereren. Door dat vaak te doen

Waarom zou een server een renegotiation verzoek zomaar honoreren? Of zelfs eeuwig opnieuw zonder enige criteria. Dat is hooguit nuttig voor clients voor wie zoiets in een SLA is geregeld. En dat zijn betalende en identificeerbare klanten.

Door Dutch_Razor, dinsdag 25 oktober 2011 10:11

Score: 1
Was het probleem van een ddos niet dat er heel veel IP's komen waarbij je niet weet welke er authentiek zijn en welke deel van de ddos?

Als er 1 laptop je server platelet block je gewoon zijn/haar IP en dan ben je toch klaar?

Door phosporus, dinsdag 25 oktober 2011 10:24

Score: 1
Waar zie je staan dat het een Ddos aanval is. Een dos aanval verschilt van een Ddos aanval :)

Door NASUM, dinsdag 25 oktober 2011 10:26

Score: 2
IP adressen kunnen gespoofd worden of men kan gebruik maken van een anoniemiserings 'proxy' netwerk als Tor om dit gemakkelijk te voorkomen. Zo kan 1 persoon zich voordoen als vele andere connecties.

Door Dennizz, dinsdag 25 oktober 2011 11:22

Score: 2
Spoofing is bij deze attack niet mogelijk, omdat je een volledige 3way TCP handshake moet doen, alvorens de SSL connectie tot stand komt. Tor lijkt mij wel bruikbaar overigens.

Door k1n8fisher, dinsdag 25 oktober 2011 10:22

Score: 1
Dat je aan wil tonen dat iets onveilig is kan ik nog mee leven maar op deze manier lijkt het meer alsof je voor de gewone mens het internet wil platleggen omdat jij vindt dat alleen jij en je medehackers (zgnmd computerexperts) maar hier gebruik van wil maken.

Dit lijkt meer op een poging om de wereld op het gebied van internet terug te gooien naar de tijd van de lokale groepjes van computernerds.

Als je echt paranoïde bent zou je er zelfs nog een door de overheid (ongeacht welke) uitgedachte campagne in kunnen zien om op deze manier een nieuw internet te kunnen beginnen waar er meer controle kan worden uitgeoefend op de content en wat de gebruiker kan en mag.

Sowieso is dit ook iets waarmee je de overheid alleen maar meer pijlen op hun boog geeft om het internet te willen reguleren!

Door herrvonbraun, dinsdag 25 oktober 2011 10:30

Score: 1
vraagje : Als het tooltje gestopt is met draaien (en dus geen cryptografische SSL "verzoeken") worden gedaan.. Draait SSL dan weer door? of is het er dan uitgeklapt?

Door Mijzelf, dinsdag 25 oktober 2011 10:47

Score: 1
Dat hangt ervan af hoe robuust de server geschreven is.

Door tommof, dinsdag 25 oktober 2011 10:48

Score: 1
typisch weer een voorbeeltje van "plug & play". is waarschijnlijk weer zon tooltje die je 3 dingen vraagt te doen.

welke website
welke pagina
start/stop

Al zou deze tool alleen maar werken als het grootschalig wordt uitgevoerd, en wordt gemikt op 1 punt
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 10:13 'Bedenker iTunes werkt voor Apple aan televisie'
Vorige 09:25 KPN investeert verder in glasvezelaanleg
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011