Baidu ontkent betrokkenheid bij Chinese ddos-aanval op GitHub

De Chinese zoekmachine Baidu ontkent dat zijn systemen zijn gekraakt om een grootschalige ddos-aanval op GitHub mogelijk te maken. GitHub heeft al dagenlang last van ddos-aanvallen vanuit China, waarbij met name Baidu-gebruikers veel verkeer genereren.

Github De aanvallen op GitHub begonnen vorige week donderdag en houden volgens de beheerders nog steeds aan. Daarbij hebben de aanvallers twee doelwitten voor ogen: een project van Greatfire.org waarmee de Chinese 'great firewall' is te omzeilen en CN-NYTimes, een tool om de Chinese versie van The New York Times te kunnen lezen.

Volgens een beveiligingsonderzoeker van de firma Insight Labs wordt er bij de aanvallen gebruikgemaakt van geraffineerde aanvalsmethoden. Zo zou trackingcode van zoekmachine Baidu zo zijn gemanipuleerd dat de twee projectpagina's op GitHub elke twee seconden worden opgevraagd. Baidu laat aan The Wall Street Journal weten dat uit een eigen onderzoek op zijn platform de conclusie getrokken kan worden getrokken dat zijn servers niet verantwoordelijk zijn voor de gemanipuleerde trackingcode.

Mikko Hyponen, beveiligingsonderzoeker van F-Secure, stelt dat de kwaadaardige code niet op de servers van Baidu staat, maar door een systeem dat onderdeel uitmaakt van de 'great firewall' in webverkeer wordt geïnjecteerd. Opvallend is verder dat Baidu-verkeer van bezoekers buiten China wordt gemanipuleerd. Omdat Baidu ook buiten China vele miljoenen gebruikers kent, krijgen de webservers van GitHub uitzonderlijk veel verkeer voor hun kiezen.

De softwaresite stelt dat het gaat om de zwaarste ddos-aanval in zijn bestaan. Via Twitter laten beheerders van GitHub weten dat vrijwel de gehele website weer bereikbaar is, maar dat de twee aangevallen projectpagina's niet tot zeer moeilijk opvraagbaar zijn.

IT-banen

Reacties (31)

_eXistenZ_ 30 maart 2015 12:05

In het artikel staat dat Github om de attack af te slaan nu op de opgevraagde pagina's een javascript-alert geplaatst hebben, die wordt omdat Github elke twee seconden geladen wordt, ook elke twee seconden in de browser getoond.

De javascript die Github serveert wordt dus blijkbaar door de DDoSsende javascript ge-eval()ed want die alert wordt ook daadwerkelijk elke 2 seconden getoond, dus in plaats van een alert die er nu in staat kunnen ze natuurlijk ook prima een document.location = baidu.ch opgeven.

Ervanuitgaande dat Github iets meer power achter de hand heeft dan Baidu, ligt Baidu zelf binnen de kortste keren plat, wat de DDoS effectief stopt. Baidu mag vervolgens bij de Chinese overheid gaan klagen dat hun firewall de boel verpest heeft, dat zoeken ze (wederom) maar binnen de grenzen van China uit.

De beste verdediging is de aanval.

[Reactie gewijzigd door _eXistenZ_ op 23 juli 2024 00:01]

kibje @_eXistenZ_ • 30 maart 2015 14:04

De code wordt als ge-encrypte javascript geinjecteerd onder standaard code die baidu erop plaatst, en voegt daar gewoon wat code aan toe die door de consument op zijn pc wordt gedraaid.

De request komt dus van de consument naar github. Baidu's servers worden niet belast.

De code is al gedecrypt en hier te vinden: http://pastebin.com/raw.php?i=kJ6ZBXc2

Monochrome @_eXistenZ_ • 30 maart 2015 12:27

Ervanuitgaande dat Github iets meer power achter de hand heeft dan Baidu, ligt Baidu zelf binnen de kortste keren plat, wat de DDoS effectief stopt. Baidu mag vervolgens bij de Chinese overheid gaan klagen dat hun firewall de boel verpest heeft, dat zoeken ze (wederom) maar binnen de grenzen van China uit.

Dit klopt niet. Er is javascript geinjecteerd in de code die bezoekers van baidu geserveerd krijgen. Dus baidu heeft geen enkele servercapaciteit nodig voor deze ddos. Het gaat om de bezoekers van baidu, die (via de javascript) massa's requests doen naar de servers van github.

_eXistenZ_ @Monochrome • 30 maart 2015 12:43

Als ik het zo lees is het zo dat de tracking code van Baidu wordt aangepast door de Chinese Firewall (wat in mijn oren als een proxy klinkt), waardoor gebruikers van alle sites die de Baidu trackingcode includen, (vergelijkbaar met Google Analytics) nu Github DDoSsen vanaf hun eigen systeem, want de aangepaste javascript wordt uiteindelijk in de browser van de eindgebruiker uitgevoerd.

/edit Volgens mij zeggen we precies hetzelfde

De overheid kan natuurlijk wel vanuit hun proxy best hun aangepaste versie van de Baidu-code blijven serveren, ook al is Baidu zelf plat natuurlijk

In zo verre hoeft het iig geen bal uit te maken nee

Ook kan de Chinese overheid natuurlijk ook gewoon in élke pagina javascript injecten als Baidu eenmaal down is, waardoor hun tracking-JS niet meer geladen zou kunnen worden. Ze hóeven niet te piggybacken op de JS van Baidu.

Deze opzet is voor hen echter wél efficiënt, want ze vervangen in hun proxy gewoon de JS van Baidu, die door elke site die Baidu Tracking heeft, vervolgens ingeladen wordt. Zo hoeven ze maar één JS-file aan te passen, en hoeven ze niet de capaciteit te hebben om on the fly met een proxy in élke site custom JS te injecten.

Echter, als ze stoppen met het vervangen van de Baidu-code en daadwerkelijk gaan injecten (of eerst nog op Google Analytics gaan piggybacken bijv.) wordt het probleem misschien alleen nog wel groter :-/

Je moet mijn idee dan ook niet als een echte oplossing zien, maar meer als een brainfart.

Github zou natuurlijk wel, zolang de JS met eval() uitgevoerd blijft worden, bijv. een forward naar een ip uit ip-reeks van Great Firewall of een forward naar de site van de Chinese overheid kunnen doen, dan kunnen ze zelf ervaren hoe irritant het is.

[Reactie gewijzigd door _eXistenZ_ op 23 juli 2024 00:01]

Verwijderd @_eXistenZ_ • 30 maart 2015 12:28

Je gaat er vanuit dat Baidu minder serverpower heeft dan Github, daar kun je denk ik niet vanuit gaan. Baidu krijgt denk ik meer bezoekers voor de kiezen dan Github.

CyBeR @_eXistenZ_ • 30 maart 2015 20:03

Ervanuitgaande dat Github iets meer power achter de hand heeft dan Baidu

Die aanname moet je niet maken. Baidu is het Google van China. Die zijn *enorm*.

Nickvda @_eXistenZ_ • 30 maart 2015 12:13

Klinkt interressant. Probleem is wel dat het verder zal escaleren..

+1 iig

Paul C @_eXistenZ_ • 30 maart 2015 12:15

Het zou nog mooier zijn geweest als ze in het Chinees een bericht erin hadden gezet met uitleg over de Great Firewall en hoe deze te omzeilen!

_eXistenZ_ 30 maart 2015 11:47

Open deur maar voor velen die hun brood verdienen als developer bijzonder hinderlijk... :-/
Kan Github die great firewall van China niet gewoon blokkeren?

Vervelend voor de Chinezen natuurlijk, maar laat die maar aankloppen bij hun regering die er een zooitje van maakt met zulke firewalls, daar kan Github natuurlijk niks aan doen. Zonder zo'n firewall was dit hele probleem er niet, als ik het zo lees.

[Reactie gewijzigd door _eXistenZ_ op 23 juli 2024 00:01]

M3! @_eXistenZ_ • 30 maart 2015 11:50

Dat is juist het slimme, ook websites die gebruik maken van de analytics van Baidu laten hun bezoekers twee requests sturen naar Github, ongeacht of ze uit China komen of niet. Simpelweg heel China blokkeren helpt dus niet.

Verwijderd @M3! • 30 maart 2015 11:55

Dat, plus dit is natuurlijk wat die chinezen willen. Het doel is dat geen enkele chinees nog gebruik kan maken van die projecten. Je speelt ze dus recht in de kaart.

De enige manier is om nieuwe anti-ddos technologie te ontwikkelen die requests van dit type kan opvangen zonder nadelige gevolgen voor de performance.

_eXistenZ_ @Verwijderd • 30 maart 2015 12:01

Wat China wil is niet relevant, de rest van de wereld wil kunnen werken.
Fijn voor ze als ze hun zin hebben, maar beter is het nog dat ik m'n werk kan doen...

Als ze trouwens Github geblokkeerd willen hebben, kunnen ze dat ook doen door 'm in hun firewall op te nemen. Daar is ie immers voor...

[Reactie gewijzigd door _eXistenZ_ op 23 juli 2024 00:01]

Ibex @_eXistenZ_ • 30 maart 2015 12:22

Veel chinese bedrijven gebruiken zelf ook GitHub. In het verleden werd GitHub al tijdelijk geblokkeerd, maar dit raakte dan ook Chinese bedrijven. Nu gebruiken ze deze aanval als drukkingsmiddel.

_eXistenZ_ @Ibex • 30 maart 2015 12:30

Dan moeten Chinese bedrijven klagen bij de Chinese overheid dat ze door acties van de overheid niet meer kunnen werken. Github heeft volgens mij niets te verliezen, China zelf wel.

China wil toch een grote opkomende economie zijn? Moet China lief doen ook.

kwikstaart @_eXistenZ_ • 30 maart 2015 13:59

Dat China iets te verliezen heeft is een redenering die twee kanten op werkt. Dat jij je werk niet kunt doen is irritant, maar in China lopen mensen het risico naar een werkkamp gestuurd te worden omdat ze de censuur willen omzeilen. Wat mij betreft is de prioriteit duidelijk. Als Github deze repo's zou verwijderen, of heel China zou blokkeren, dan verliest iedereen, en dat weten ze.

Loller1 @Ibex • 30 maart 2015 15:31

Ik betwijfel of er ooit een blokkade is geweest die GEEN Chinese bedrijven raakte. Want waarom zouden ze het dan blokkeren, alles zal wel eens een bedrijf geraakt hebben.

_eXistenZ_ @M3! • 30 maart 2015 11:54

Ok, maar denkelijk wel voor een heel groot gedeelte. De hele westerse wereld gebruikt toch Google Analytics

Loller1 @_eXistenZ_ • 30 maart 2015 15:30

Ok, maar denkelijk wel voor een heel groot gedeelte. De hele westerse wereld gebruikt toch Google Analytics

Of Piwik. Maar opnieuw, hoeveel zou het af doen om enkel en alleen China te blokkeren.

sfc1971 @_eXistenZ_ • 30 maart 2015 14:06

En is dat niet precies wat de aanvallers willen? Dat chinezen niet meet bij github kunnen en projecten kunnen downloaded/opzetten om de chinese firewall te omzeilen?

Verwijderd @_eXistenZ_ • 30 maart 2015 11:53

Tracking cookies, leveren waardevolle informatie op voor zoekgiganten of adverteerders(voorkeuren e.d.). Als China Baidu's tracking-cookie-verkeer gaat blokkeren, worden die cookies buiten nutteloos of gedeeltelijk non-functioneel, daarnaast draaien die trackers ook vaak buiten China.

Dit nieuws onderschrijft maar weer eens, dat het als internetter helemaal niet gek is om trackingcookies en andere advertorial-code te blokkeren via je browser.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:01]

Verwijderd @_eXistenZ_ • 30 maart 2015 17:19

"Kan Github die great firewall van China niet gewoon blokkeren?"

Nee, zo werkt het nu eenmaal niet. Als er tienduizend man een voor een voor je voordeur gaan staan, wordt het voor jezelf behoorlijk lastig om naar buiten te gaan, ook al weiger je al die mensen de toegang.

DennusB 30 maart 2015 11:57

Het blijft bizar dat GitHub z'n infra overeind kan houden met zo'n enorm lange en zware aanval. Kudo's voor het engineer team wat daar rondloopt, zullen lange nachten zijn nu

WokeBroke @DennusB • 30 maart 2015 13:32

als ik kijk op http://www.digitalattackmap.com/ stelt het niet zo veel voor, in vergelijking met de ddosen die derptrolling in het verleden op sony en microsoft uitgevoerd heeft.

Jeoh @WokeBroke • 30 maart 2015 13:39

Deze aanval zal je dan ook niet op die kaart zien, omdat het gewoon webverkeer is dat wordt doorgestuurd.

Daedeloth @DennusB • 30 maart 2015 13:24

Welja, "overeind houden" is wel de juiste woordkeuze. Ik ondervind al drie dagen redelijk wat last; timeouts op willekeurige momenten etc...

velenski 30 maart 2015 14:10

ik heb nergens last van gelukkig, weet iemand of dit een probleem kan opleveren voor het binnenhalen met git?

_eXistenZ_ @velenski • 30 maart 2015 14:50

Ja, soms moet je 2 keer pullen. Pushen evenzo. Kapot gaat je project gelukkig niet, want git doet toch alles met hashes.

[Reactie gewijzigd door _eXistenZ_ op 23 juli 2024 00:01]

velenski @_eXistenZ_ • 30 maart 2015 17:41

ja precies, had wat installaties net die van git getrokken worden en die niet wilden, na 2 minuten wel weer.
heb maar even dubbele clone gemaakt op onze eigen git server just in case

bedankt

Verwijderd 30 maart 2015 11:47

Volgens een beveiligingsonderzoeker van de firma Insight Labs wordt er bij de aanvallen gebruikgemaakt van geraffineerde aanvalsmethoden. Zo zou trackingcode van zoekmachine Baidu zo zijn gemanipuleerd dat de twee projectpagina's op GitHub elke twee seconden worden opgevraagd.

Ook al kom ik waarschijnlijk op weinig pagina's die gebruik maken van Baidu's tracking cookies, dit is nog een extra reden om anti'-tracking-tools en advertentie/script-blokkers te gebruiken als je surfed.

Qunix 30 maart 2015 14:39

Ik heb wel last (mogelijk hiervan). Ik kan geen dependencies installeren via npm en bower voor mijn projecten. Momenteel heb ik nog geen oplossing gevonden. URL's zowel via http, https als git:// hebben het probleem.

Zie https://github.com/blog/1...ddos-attack-on-github-com en https://status.github.com/

$ bower list
bower check-new Checking for new versions of the project dependencies..
bower ECMDERR Failed to execute "git ls-remote --tags --heads git://github.com/jashkenas/backbone.git", exit code of #128

Additional error details:
fatal: unable to access 'https://github.com/jashkenas/backbone.git/': Failed to connect to github.com port 443: Connection refused

Edit:
Ook via de DNS van Google (8.8.8.8) heb ik hetzelfde probleem. Ik ben nu aan het uitzoeken hoe ik een andere mirror kan krijgen op een andere locatie.

Edit 2:
Zojuist een e-mail ontvangen van GitHub:
We've recently made some changes which have fixed connectivity issues for other customers. Could you please try again now?
En inderdaad, het werkt weer.

[Reactie gewijzigd door Qunix op 23 juli 2024 00:01]

Loller1 30 maart 2015 15:25

Dit gaat inderdaad al enkele dagen door (http://status.github.org/messages) en dit is gewoon te triest voor woorden. Waarom GitHub? Hoewel ik er weinig last van ondervind, loopt mijn GitHub cliënt nu wel eens vaak tegen een foutmelding aan of krijg ik geen website te zien (of heel laat). Volgens GitHub zou dit gaan over "bepaalde content die verwijderd moet worden door GitHub".

PS/ Tweakers, update dat logo eens.

Op dit item kan niet meer gereageerd worden.

Baidu ontkent betrokkenheid bij Chinese ddos-aanval op GitHub

Lees meer

IT-banen

Reacties (31)

Sorteer op:

Weergave: