Video: Server-Side Template Injection: RCE For The Modern Web App (Oktober 2024)
CyberBunker beroperasi dari bunker NATO yang dinonaktifkan; maka nama. Perusahaan tersebut mengklaim sebagai "satu-satunya penyedia hosting independen sejati di dunia" dan memungkinkan pelanggan untuk meng-host secara anonim "konten apa pun yang mereka sukai, kecuali pornografi anak-anak dan apa pun yang terkait dengan terorisme."
Janji itu tampaknya terbukti menarik bagi satu atau lebih kelompok spammer, karena SpamHaus melacak lalu lintas spam yang signifikan kembali ke CyberBunker. Mereka daftar hitam CyberBunker dan dengan demikian memotong spammer dari hampir dua juta Kotak Masuk. Sebagai balasan, CyberBunker meluncurkan apa yang disebut sebagai serangan cyber terbesar yang pernah ada.
Serangan diperkuat
CyberBunker berusaha untuk mematikan SpamHause dengan serangan DDoS (Distributed Denial of Service) yang serius. SpamHaus menghubungi perusahaan perlindungan Web CloudFlare untuk meminta bantuan. CloudFlare menentukan bahwa para penyerang menggunakan teknik yang disebut refleksi DNS untuk menghasilkan jumlah lalu lintas Web yang sangat besar di server SpamHaus.
Sistem Nama Domain adalah komponen penting dari Internet. Server DNS menerjemahkan nama domain yang dapat dibaca manusia seperti www.pcmag.com menjadi alamat IP seperti 208.47.254.73. Server DNS ada di mana-mana, dan tingkat keamanannya bervariasi. Dalam refleksi DNS, penyerang mengirimkan banyak resolver DNS tidak aman, permintaan DNS kecil yang menghasilkan respons besar, memalsukan alamat kembali ke alamat korban.
Dalam sebuah posting blog minggu lalu, CloudFlare melaporkan bahwa lebih dari 30.000 penyelesai DNS terlibat. Setiap permintaan 36 byte menghasilkan sekitar 3.000 byte respons, memperkuat serangan sebanyak 100 kali. Pada puncaknya, serangan itu menghancurkan SpamHaus dengan permintaan jaringan yang tidak relevan hingga 90 Gbps, membebani server SpamHaus secara berlebihan.
Kerusakan tambahan
CloudFlare berhasil mengurangi serangan menggunakan teknologi yang mereka sebut AnyCast. Secara singkat, semua pusat data CloudFlare di seluruh dunia mengumumkan alamat IP yang sama, dan algoritma load-balancing mengarahkan semua permintaan yang masuk ke pusat data terdekat. Ini secara efektif melemahkan serangan dan memungkinkan CloudFlare untuk memblokir paket serangan apa pun dari mencapai korban.
Tapi itu bukan akhir. Menurut New York Times, para penyerang kemudian mengalihkan pandangan mereka langsung ke CloudFlare, sebagai pembalasan. The Times mengutip CEO CloudFlare, Matthew Prince, yang mengatakan, "Benda-benda ini pada dasarnya seperti bom nuklir. Sangat mudah menyebabkan begitu banyak kerusakan." Artikel itu juga mencatat bahwa jutaan pengguna untuk sementara waktu tidak dapat menjangkau situs web tertentu karena serangan yang sedang berlangsung, secara khusus menyebut Netflix sebagai contoh.
CloudFlare menguraikan kerusakan yang diperpanjang ini di pos baru hari ini. Pertama, para penyerang mengejar SpamHaus secara langsung. Selanjutnya, mereka memfokuskan serangan mereka pada CloudFlare. Ketika itu tidak berhasil, mereka memindahkan serangan ke hulu ke "penyedia dari siapa CloudFlare membeli bandwidth."
Posting CloudFlare menyatakan, "Tantangan dengan serangan pada skala ini adalah mereka berisiko membanjiri sistem yang menghubungkan Internet itu sendiri." Dan memang, serangan yang meningkat pada penyedia bandwidth tingkat atas ini menyebabkan masalah konektivitas yang signifikan bagi sebagian pengguna, sebagian besar di Eropa.
Tidak Menyembunyikan
Menurut Times, juru bicara CyberBunker memuji serangan itu, dengan mengatakan "Tidak ada yang pernah mewakili Spamhaus untuk menentukan apa yang terjadi dan tidak masuk Internet. Mereka bekerja sendiri ke posisi itu dengan berpura-pura memerangi spam."
Situs web CyberBunker menawarkan perselisihan lain dengan regulator dan penegak hukum. Halaman sejarahnya menyatakan, "Pemerintah Belanda dan polisi telah melakukan beberapa upaya untuk memasuki bunker secara paksa. Tidak ada upaya ini yang berhasil."
Perlu dicatat bahwa SpamHaus sebenarnya tidak "menentukan apa yang terjadi di Internet." Seperti yang ditunjukkan oleh FAQ perusahaan, penyedia email yang berlangganan blacklist SpamHaus dapat memblokir email yang berasal dari alamat yang di-blacklist; itu saja.
Perlindungan Mungkin
Untungnya, ada cara untuk mengakhiri serangan jenis ini. Satuan Tugas Teknik Internet telah menerbitkan analisis Praktik Saat Ini Terbaik (BCP-38) yang menggambarkan bagaimana penyedia dapat mencegah spoofing alamat sumber IP dan dengan demikian mengalahkan serangan seperti refleksi DNS.
CloudFlare telah terlibat dalam sedikit taktik "nama dan rasa malu", menerbitkan nama-nama penyedia dengan jumlah terbesar dari server DNS tanpa jaminan. Menurut posting blog CloudFlare, setelah empat bulan jumlah resolusi DNS terbuka turun 30 persen. Proyek Penyelesai Terbuka mendaftar 25 juta penyelesai tidak aman. Sayangnya, sebagaimana dicatat oleh CloudFlare, "orang-orang jahat memiliki daftar penyelesai terbuka dan mereka semakin berani dalam serangan yang bersedia mereka luncurkan."
Sistem DNS sangat penting untuk berfungsinya Internet; itu membutuhkan perlindungan terbaik yang bisa kita berikan. Lebih banyak penyedia perlu menutup lubang keamanan yang memungkinkan serangan semacam ini. Salah satu tujuan CloudFlare yang dinyatakan adalah "untuk membuat DDoS sesuatu yang hanya Anda baca di buku-buku sejarah." Kita bisa berharap!
