Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Ile kosztuje DDoS – z perspektywy cyberprzestępcy i ofiary ataku - SEConference 2014

Prezentacja na przykładzie realnych wydarzeń, ukazuje ogromną asymetrię kosztów związanych z atakami typu DDoS, zarówno z perspektywy sprzedających takie usługi cyberprzestępców (wraz z aktualnym cennikiem) oraz z perspektywy zaatakowanych firm

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Ile kosztuje DDoS – z perspektywy cyberprzestępcy i ofiary ataku - SEConference 2014

Naszą misją jest ochrona naszych Klientów przed realnymi stratami finansowymi. Wykorzystując ponad 10 lat doświadczenia, świadczymy usługi z zakresu bezpieczeństwa IT:
Testy penetracyjne
Audyty bezpieczeństwa
Szkolenia
Konsultacje
Informatyka śledcza
Aplikacje mobilne

Borys Łącki
SECURE, Atak i Obrona, Internet Security Banking, SecureCON, SEConference, SekIT, ISSA, Open Source Security, PLNOG, (...)
6 lat blogowania o cyberprzestępcach: www.bothunters.pl

Ile kosztuje DDoS – z perspektywy cyberprzestępcy i ofiary ataku

Borys Łącki

DoS (ang. Denial of Service, odmowa usługi) – atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania.
DDoS (ang. Distributed Denial of Service – rozproszona odmowa usługi) – atak na system komputerowy lub usługę sieciową w celu uniemożliwienia działania poprzez zajęcie wszystkich wolnych zasobów, przeprowadzany równocześnie z wielu komputerów (np. zombie)
DRDoS (ang. Distributed Reflected Denial of Service) - jedna z nowszych odmian ataku odmowy dostępu DoS.
Polega na generowaniu specjalnych pakietów, których adres źródłowy jest fałszywy - jest nim adres ofiary. Następnie duża liczba takich pakietów jest wysyłana do sieci.
DRDoS (ang. Distributed Reflected Denial of Service)
4.4.4.4
DNS
2.2.2.2
1.1.1.1
DNS
3.3.3.3
4.4.4.4 -> 2.2.2.2
4.4.4.4 -> 3.3.3.3
Statystyki
Spamhaus
309 Gbps - 28 minut
30956 open DNS resolvers ~ 0.1%
3 sieci - spoof IP
1 laptop, 5-7 przejętych serwerów
9 Gbps zapytań = 300 Gbps odpowiedzi
Statystyki
2012 - 65 Gbps
2013 - 160 Gbps / 120 Mpps
2013 - 309 Gbps / Spamhaus
DNS
2014.02 - 350 Gbps / OVH
2014.02 - 400 Gbps / CloudFlare
NTP
2014.04 - 250 Gbps / UltraDNS
Open Resolver Project - DNS
2014-05-04 -
23 446 514
201?
~ 8% open DNS resolvers
100 sieci - spoof IP
1 laptop, 200-400 przejętych serwerów
280 Gbps zapytań =
12 Tbps
odpowiedzi
DrDoS
SNMP
- Simple Network Management Protocol -
600 X
NTP
- Network Time Protocol -
43 X
CHARGEN
- Character Generator Protocol -
17 X
DNS
- Domain Name System -
53 X
(Quake 3, Steam, BitTorrent, SSDP, NetBios, QOTD, Kad, ...)
DrDoS
; <<>> DiG <<>> @ns1.cisco.com axfr cisco.com
(...)
zzz-dns.cisco.com. 86400 IN NS bxb-vm2.cisco.com.
zzz-s3.cisco.com. 86400 IN A 10.86.41.33
zzz-s3-priv.cisco.com. 86400 IN A 10.86.41.34
cisco.com. 86400 IN SOA edns-aln1-1-l. postmaster.cisco.com. 12445597 7200 1800 864000 86400
;; Query time: 176665 msec
;; SERVER: 72.163.5.201#53(72.163.5.201)
;; WHEN: Sat
Sep 14 16:35:38 2013
XFR size: 1808339 records (messages 1222,
bytes 62561398
Botnet
2012-2013 - > 8 000 000 - Bamital
2012 - 109 000 - Kelihos
2012 - > 3 000 000 - Virut
2013.02 - ~ 500 000 - Microsoft - ZeroAccess
2013.09 - ~ 500 000 - Symantec - ZeroAccess
2013.09 - ~ 2 000 000 - TOR
Botnet PL - 2014.01.19
ShadowServer - 2014.05
DDoS - Koszty
operacyjne IT
BOK
reputacja - Klienci aktualni i potencjalni
kary umowne (SLA)
wydajność pracowników
biznes
DDoS - Koszty
Szacunkowo

DC 100 m2
8 500$ - 201 000$ (średnio 46 000$) / 1 h

x0 000$ / 1h
DDoS - Koszty
DDoS - Koszty
"when HKeX under DDoS attack, all the HK stock market trading also halted. The cost is uncountable."
DDoS - Koszty
Online Gaming - "It was DDoS attack during peak hours. It was long lasting around 3 month. As the result, they loss 50% of customers and they fired their CEO"

DDoS - Koszty
"A DDoS attack that shut down the site of popular battery retailer for several hours resulted in losses of 40 000 $"

DDoS - Koszty
Kampania kwietniowa (2013)

"W sumie w ostatnich dwóch miesiącach mieliśmy do czynienia z około 4 atakami DDOS, które skutkowały dłuższą niedostępnością serwisu Allegro ale tylko dla części naszych Użytkowników. Wczoraj z problemami borykało się około 20% naszych użytkowników, pozostali nie mieli problemów z dostępem do serwisu."

Grupa Allegro ~ 16 mln użytkowników
DDoS - Koszty
24.12.2012

"San Francisco - Bank of the West"
> 900 000$

DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Cyberprzestępcy
DDoS - Obrona
DNS/NTP/SNMP/CHARGEN/(...) - ACL/OFF/Rate limit
Plan działania (IT, PR, BOK, Odpowiedzialność)
Komunikacja wewnętrzna
Komunikacja z ISP/CERT/(...)
Aktualizacje bezpieczeństwa
Segmentacja usług/IP (DNS, CDN)
no IP Spoofing
WANGUARD
, Arbor Networks, Prolexic, F5 CloudFlare, (...)

URL
http://krebsonsecurity.com/
http://openresolverproject.org/
http://pl.wikipedia.org/wiki/DDoS
http://pl.wikipedia.org/wiki/DoS
http://pl.wikipedia.org/wiki/DRDoS
https://code.google.com/p/dns-check/
http://atak-obrona.pl/
https://www.cloudflare.com/
https://www.shadowserver.org
http://www.arbornetworks.com/
http://www.ponemon.org/
http://www.prolexic.com/
http://www.spidersweb.pl/2013/04/allegro-ataki-ddos.html
http://www.internetsociety.org/sites/default/files/01_5.pdf
http://chr13.com/2014/04/20/using-facebook-notes-to-ddos-any-website/
http://www.team-cymru.org/
http://blog.neustar.biz/neustar-insights/ultradns-ddos-attack-update/
Dziękuję za uwagę

Borys Łącki

b.lacki@logicaltrust.net
DDoS - Koszty
"Od godziny 20 obserwujemy duży atak DDoS, m.in. na nasze adresy IP. Atak wygenerował ruch przeszło dziesięciokrotnie większy niż zwykły i zapchał wszystkie nasze łącza.
Atak ma intensywność ok 60Gbps i ponad 62Mpps. Atak pochodził z ponad 257 tyś adresów źródłowych na całym świecie a celem ataku były wszystkie adresy z jednej z naszych klas IP.
Niestety ok 1/4 klientów została całkowicie pozbawiona usługi dostępu do Internetu."

DDoS - Koszty
"a popular E-commerce website told Prolexic it had calculated that it lost 1 000$ per second when it was brought down by DDoS"
DDoS - Koszty
"European gaming company, which was experiencing a series of DDoS attacks that caused significant losses in revenue. By then, the company had already experienced costly downtime, amounted to anywhere from £80,000 to £160,000 in lost revenue"
DDoS - Koszty
"The parties had agreed that the direct losses as a result of the attack on the website were less than $5,000 but Koch Industries had argued that it hired a consulting group to protect its Web sites at a cost of approximately $183,000."

DDoS - Koszty
"ujęto 6 osób z Hong Kongu, które szantażowały firmy zajmujące się handlem złotem, srebrem, papierami wartościowymi.
15 firm zapłaciło od 15 do 50 tysięcy złotych za “spokój”. Jedna z firm zapłaciła w tym okresie 26 razy!"
Facebook
Full transcript