Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-22 Par sujet Florian Stosse 
Allez, juste pour rebondir sur le sujet :
http://www.infosecurity-magazine.com/news/krebs-website-hit-by-620-gbps-ddos

Bien cordialement,

Florian STOSSE | Apprenti-Ingénieur sécurité informatique
*Bureau Veritas - Service Sûreté de Fonctionnement | ESIEA Paris*

Le 15 septembre 2016 à 08:00, megagolgoth  a
écrit :

> Bonjour,
>
> C'est pas encore trolldi mais : https://www.schneier.com/blog/
> archives/2016/09/someone_is_lear.html
>
> Qu'en pensez-vous?
>
> Megagolgoth
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-16 Par sujet Kavé Salamatian 

> Le 16 sept. 2016 à 14:09, Jérôme Nicolle  a écrit :
> 
> Kavé,
> 
> Le 16/09/2016 à 10:07, Kavé Salamatian a écrit :
>> Mais quand 4 à 7 AS différentes aux quatres coins du monde font la même 
>> erreur de petites mains à la minute près c’est plus une histoire de doigts 
>> gras. Ajouter à cela qu’un gros DDOS commence aussi en même temps.
> 
> Alors ça me fait très plaisir que tu remonte ce cas précis.
> 
> En 2012 j'avais commencé à théoriser une attaque qui consiste à amorcer
> un DDoS pour pousser un AS à se cacher derrière un nettoyeur et shutter
> ses peers, histoire pour l'attaquant de gagner le match de visibilité
> par des hijack ciblés (originés par le bon AS via/ou AS23456 tant qu'à
> faire).

C’est vraisemblablement quelque chose de similaire qui est en train d’être 
expérimenté. 
> 
> Bizarrement l'ANSSI n'a pas l'air d'avoir approfondi la piste, et j'ai
> pas trouvé de contremesure viable.

Il y’a des pistes mais qui casserait le modèle actuel de loose cooperation dans 
BGP.  Plus généralement la caractérisation de BGP (détection de mauvaise 
configuration, détection de comportement, compréhension du comportement) reste 
un challenge scientifique).



A+

Kv

> 
> Tu as une idée ?
> 
> -- 
> Jérôme Nicolle
> 06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-16 Par sujet Jérôme Nicolle 
Kavé,

Le 16/09/2016 à 10:07, Kavé Salamatian a écrit :
> Mais quand 4 à 7 AS différentes aux quatres coins du monde font la même 
> erreur de petites mains à la minute près c’est plus une histoire de doigts 
> gras. Ajouter à cela qu’un gros DDOS commence aussi en même temps.

Alors ça me fait très plaisir que tu remonte ce cas précis.

En 2012 j'avais commencé à théoriser une attaque qui consiste à amorcer
un DDoS pour pousser un AS à se cacher derrière un nettoyeur et shutter
ses peers, histoire pour l'attaquant de gagner le match de visibilité
par des hijack ciblés (originés par le bon AS via/ou AS23456 tant qu'à
faire).

Bizarrement l'ANSSI n'a pas l'air d'avoir approfondi la piste, et j'ai
pas trouvé de contremesure viable.

Tu as une idée ?

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-16 Par sujet Kavé Salamatian 
Bonjour,
> Le 16 sept. 2016 à 11:27, Solarus  a écrit :
> 
> Le 2016-09-16 10:10, Kavé Salamatian a écrit :
> 
>> Je ne pense pas que le RPKI soit une solution à tout les problèmes …
> Bonjour Kavé.
> 
> RPKI n’est pas une solution à tous les problèmes, mais une solution aux 
> usurpations de préfixe, nous le savons tous.
> 
> Ces DDOS sont inquiétants, mais je ne vois pas quelle finalité pourrait 
> représenter une menace.

Ce ne sont pas les DDOS per se qui sont inquiétants. C’est la coordination de 
DDOS et d’activités BGP et ceux aux niveau international.
> 
> Pour moi la méthode de réflexion doit-être la suivante :
> 1°) Ces DDOS sont ils en mesure de saturer les Tier1 visés ?

A eu seul non. Combiner au BGP il peuvent générer des effets qu’il reste à 
évaluer.
> 2°) Ces DDOS peuvent ils amener des attaquants à exploiter des failles 
> logicielles ou structurelles ?

Peut être. On pense que les attaques ne sont actuellement que des « proof of 
concept » 
> 3°) Ces failles ont elles un correctif logiciel ou structurel déployable 
> (anti-botnet, failles Kaminski, DNSSEC, RPKI,…) ?

Il faudrait déjà en prendre conscience, comprendre leur motivation et après 
trouver la parade.
> 
> La réponse à la question 1 me semble évidente, c’est la question 2 qui nous 
> intéresse.
> Si et seulement si la réponse à la question 3 est non, il y aura de quoi 
> paniquer.


On ne panique pas. On informe. Maintenant si les oreilles sont fermées …..
> 
> En attendant, si il est vrai que quelqu’un ajuste sa technique pour saturer 
> Internet, il est tout aussi vrai qu’une armée d’ingénieurs ajustent leurs 
> technique pour continuer à faire fonctionner Internet. C’est comme ça depuis 
> le début du Net, et nous sommes toujours là à a discuter sur cette ML. :)
> 
> Vous avez raison d’étudier ce phénomène, mais en l’état je ne vois pas de 
> menace tangible.
> Un peu comme avec les astéroïdes en fait, on garde un œil dessus au cas où, 
> mais on continue à dormir sur nos deux oreilles.

Je  dormirai que sur une seule oreille.

Cordialement

Kv

> 
> Cordialement
> Solarus
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-16 Par sujet Solarus 

Le 2016-09-16 10:10, Kavé Salamatian a écrit :



Je ne pense pas que le RPKI soit une solution à tout les problèmes …


Bonjour Kavé.

RPKI n’est pas une solution à tous les problèmes, mais une solution aux 
usurpations de préfixe, nous le savons tous.


Ces DDOS sont inquiétants, mais je ne vois pas quelle finalité pourrait 
représenter une menace.


Pour moi la méthode de réflexion doit-être la suivante :
1°) Ces DDOS sont ils en mesure de saturer les Tier1 visés ?
2°) Ces DDOS peuvent ils amener des attaquants à exploiter des failles 
logicielles ou structurelles ?
3°) Ces failles ont elles un correctif logiciel ou structurel déployable 
(anti-botnet, failles Kaminski, DNSSEC, RPKI,…) ?


La réponse à la question 1 me semble évidente, c’est la question 2 qui 
nous intéresse.
Si et seulement si la réponse à la question 3 est non, il y aura de quoi 
paniquer.


En attendant, si il est vrai que quelqu’un ajuste sa technique pour 
saturer Internet, il est tout aussi vrai qu’une armée d’ingénieurs 
ajustent leurs technique pour continuer à faire fonctionner Internet. 
C’est comme ça depuis le début du Net, et nous sommes toujours là à a 
discuter sur cette ML. :)


Vous avez raison d’étudier ce phénomène, mais en l’état je ne vois pas 
de menace tangible.
Un peu comme avec les astéroïdes en fait, on garde un œil dessus au cas 
où, mais on continue à dormir sur nos deux oreilles.


Cordialement
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-16 Par sujet Kavé Salamatian 
Docteur,

j’ai la fièvre aujourd’hui pourtant en décembre la mesure de la  température 
rectale de mon cousin à Tahiti  était normale ! 

Les événements visent des tiers 1 principalement US  et ont débuté en mai 2016 
!  

Kv
> Le 16 sept. 2016 à 09:43, Stephane Bortzmeyer  a écrit :
> 
> On Fri, Sep 16, 2016 at 08:43:42AM +0200,
> Jérôme Nicolle  wrote 
> a message of 35 lines which said:
> 
>> On voit bien que c'est "chatty" hein, pas besoin de sonder bien plus
>> loin que sur des petits IX. Mais il y a plein de facteurs pour
>> expliquer ça.
> 
> Et si on veut des chiffres précis, avec des études concrètes et une
> méthodologie documentée et tout, on a le Rapport sur la Résilience
> de l'Internet :
> 
> http://www.ssi.gouv.fr/agence/rayonnement-scientifique/lobservatoire-de-la-resilience-de-linternet-francais/
> 
> « 1.3   Usurpations de préfixes
> Résultats globaux
> En 2015, l’observatoire a détecté 6392 conflits d’annonces. Ils ciblent 344 
> AS français
> distincts, et 1350 préfixes. Leur classification est fournie dans la figure 
> 1.9. Près de
> 50% d’entre eux sont des annonces légitimes validées par des objets
> route ou des ROA. Environ 2% des conflits sont uniquement validés par des
> ROA. ... »
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-16 Par sujet Kavé Salamatian 

> Le 16 sept. 2016 à 09:31, Xavier Beaudouin  a écrit :
> 
> Hello,
> 
>> Le 16/09/2016 à 08:19, Kavé Salamatian a écrit :
>>> Pas trop. Je fais du monitoring BGP multi-points et je peux confirmer
>>> la croissance d’essai de Hijack BGP à grande échelle et coordonnés
>>> depuis quelques mois. J’ai contacté Bruce et nos observations
>>> concorde. Il se passe réellement quelque chose ……
>> 
>> On voit bien que c'est "chatty" hein, pas besoin de sonder bien plus
>> loin que sur des petits IX. Mais il y a plein de facteurs pour expliquer ça.
>> 
>> En essayant de faire concorder le nombre de nouveaux petits-AS, encore
>> un peu jeune et plein de doigts trop gras, avec la verbosité actuelle du
>> BGP public, ça a l'air de matcher.
> 
> Sans compter les vendeurs "d'optimizeur de traffic" (BGP donc) qui font du 
> hijack BGP des AS de certain eyeballs configuré sur un backbone par un gars 
> qui as oublié de mettre un filtre en sortie (ou l'optimizeur BGP qui ne 
> connais pas la communauté BGP NO_EXPORT).
> 
> Testé et approuvé lorsqu'une alerte de hijacking BGP m'est remontée récemment 
> (il y a donc moins d'un an).

En effet, j’ai vu ca aussi :-).
> 
> Les quick fix comme RPKI que peut de gens implémentent / utilisent (et 
> surtout pas les tier-1/tier-2, car il ne faut pas perdre de clients...) ne 
> servent encore a rien…

Je ne pense pas que le RPKI soit une solution à tout les problèmes …

A+
Kv
> 
> Bref... voila.
> 
> Après je ne parles pas de BCP38 car quand je vois les torrents de saloperies 
> en UDP... (rien à voir avec des .torrent)...
> 
> Xavier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-16 Par sujet Kavé Salamatian 
Bonjour,
> Le 16 sept. 2016 à 08:43, Jérôme Nicolle  a écrit :
> 
> Kavé,
> 
> Le 16/09/2016 à 08:19, Kavé Salamatian a écrit :
>> Pas trop. Je fais du monitoring BGP multi-points et je peux confirmer
>> la croissance d’essai de Hijack BGP à grande échelle et coordonnés
>> depuis quelques mois. J’ai contacté Bruce et nos observations
>> concorde. Il se passe réellement quelque chose ……
> 
> On voit bien que c'est "chatty" hein, pas besoin de sonder bien plus
> loin que sur des petits IX. Mais il y a plein de facteurs pour expliquer ça.
> 
> En essayant de faire concorder le nombre de nouveaux petits-AS, encore
> un peu jeune et plein de doigts trop gras, avec la verbosité actuelle du
> BGP public, ça a l'air de matcher.

On a l’habitude du coté chatty et des erreurs de configurations de petites main 
voir des bugs de CISCO. Mais quand 4 à 7 AS différentes aux quatres coins du 
monde font la même erreur de petites mains à la minute près c’est plus une 
histoire de doigts gras. Ajouter à cela qu’un gros DDOS commence aussi en même 
temps. Ca cible des tiers 1 et ca semble être des attaques visant à les 
déconnecter complètement en combinant du BGP Hijack coordonné et du DDOS, et ça 
a commencé depuis mai 2016, avec un peak d’activité en juillet-aout. Pour les 
voir il faut regarder plusieurs feeds, et recaler les horloges et faire du root 
cause analysis un petit peu non trivial. 

Sinon on peut s’être trompé. On a l’habitude en tant que chercheur. On cherche, 
on trouve et parfois pas :-). Le futur nous le dira.

A+

Kv

> 
 4) Bref, le sujet ne m'a pas l'air de mériter plus de
 développement.
>> Il doit réveiller l’intérêt de tous car si pour l’instant cela se
>> concentre sur des Tiers 1, cela peut dégénérer.
> 
> 
> 
> -- 
> Jérôme Nicolle
> 06 19 31 27 14
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-15 Par sujet Ludovic LACOSTE 
Tu peux faire des phrases, genre sujet verbe et complément, Mani ?

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Ludovic LACOSTE
Envoyé : jeudi 15 septembre 2016 12:56
À : 'Solarus' <sola...@ultrawaves.fr>; frnog-m...@frnog.org
Objet : RE: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer 
Internet

Vous nous avez IPV6 et nous en sommes encore a IPV4, il y un monde 
qu'apparemment peu franchisses, donc on fait comment, on y va ou pas, à votre 
image

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Solarus Envoyé : jeudi 15 septembre 2016 12:40 À : frnog-m...@frnog.org Objet : 
Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

Le 2016-09-15 08:00, megagolgoth a écrit :
> Bonjour,
> 
> C'est pas encore trolldi mais :
> https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html
> 
> Qu'en pensez-vous?

Avec tout le respect que je porte à Bruce Schneier, cette histoire me fait rire.
Tous les 3 mois on voit ressortir un vague whitepaper nous expliquant que 
Internet va mourir à cause de [insérer ici une des 7 plaies d’Egypte].
Là, ce n’est même pas public, il faut acheter son livre pour savoir de quoi il 
retourne.

Et quand bien même cette menace serait réelle, il n’existe aucun problème que 
l’absence de solution ne finisse par résoudre.

On craint des DDOS massif ? Les techniques anti-DDOS et le blackholling sont 
quand même bien avancées, à la grande joie des vendeurs de solutions.
On craint un détournement des DNS ? Continuons à déployer DNSSEC.
On craint un détournement de routes dans un AS BGP hostile ? Intensifions le 
déploiement de RPKI.

À l’heure actuelle, la seule menace réelle pour Internet est la fin d’Epoch le 
12 janvier 2038 qui menace les systèmes UNIX.

Pour tout le reste, des solutions existent, et si nous refusons de les 
appliquer nous sommes coupables de laisser perdurer un Internet non-sécurisé et 
vulnérable.
Et si cet Internet vulnérable se casse un jour la figure, on ne pourra s’en 
prendre qu’à nous.

Alea jacta est.

Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-15 Par sujet Ludovic LACOSTE 
Vous nous avez IPV6 et nous en sommes encore a IPV4, il y un monde 
qu'apparemment peu franchisses, donc on fait comment, on y va ou pas, à votre 
image

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Solarus
Envoyé : jeudi 15 septembre 2016 12:40
À : frnog-m...@frnog.org
Objet : Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer 
Internet

Le 2016-09-15 08:00, megagolgoth a écrit :
> Bonjour,
> 
> C'est pas encore trolldi mais :
> https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html
> 
> Qu'en pensez-vous?

Avec tout le respect que je porte à Bruce Schneier, cette histoire me fait rire.
Tous les 3 mois on voit ressortir un vague whitepaper nous expliquant que 
Internet va mourir à cause de [insérer ici une des 7 plaies d’Egypte].
Là, ce n’est même pas public, il faut acheter son livre pour savoir de quoi il 
retourne.

Et quand bien même cette menace serait réelle, il n’existe aucun problème que 
l’absence de solution ne finisse par résoudre.

On craint des DDOS massif ? Les techniques anti-DDOS et le blackholling sont 
quand même bien avancées, à la grande joie des vendeurs de solutions.
On craint un détournement des DNS ? Continuons à déployer DNSSEC.
On craint un détournement de routes dans un AS BGP hostile ? Intensifions le 
déploiement de RPKI.

À l’heure actuelle, la seule menace réelle pour Internet est la fin d’Epoch le 
12 janvier 2038 qui menace les systèmes UNIX.

Pour tout le reste, des solutions existent, et si nous refusons de les 
appliquer nous sommes coupables de laisser perdurer un Internet non-sécurisé et 
vulnérable.
Et si cet Internet vulnérable se casse un jour la figure, on ne pourra s’en 
prendre qu’à nous.

Alea jacta est.

Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-15 Par sujet Ludovic LACOSTE 
Je ne crois pas que l'oiseau sera capable de scier la branche sur laquelle il 
est assise, 
Tu est  en droit de le penser, mais je persiste a penser que tu te trompes .

-Message d'origine-
De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de 
Solarus
Envoyé : jeudi 15 septembre 2016 12:40
À : frnog-m...@frnog.org
Objet : Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer 
Internet

Le 2016-09-15 08:00, megagolgoth a écrit :
> Bonjour,
> 
> C'est pas encore trolldi mais :
> https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html
> 
> Qu'en pensez-vous?

Avec tout le respect que je porte à Bruce Schneier, cette histoire me fait rire.
Tous les 3 mois on voit ressortir un vague whitepaper nous expliquant que 
Internet va mourir à cause de [insérer ici une des 7 plaies d’Egypte].
Là, ce n’est même pas public, il faut acheter son livre pour savoir de quoi il 
retourne.

Et quand bien même cette menace serait réelle, il n’existe aucun problème que 
l’absence de solution ne finisse par résoudre.

On craint des DDOS massif ? Les techniques anti-DDOS et le blackholling sont 
quand même bien avancées, à la grande joie des vendeurs de solutions.
On craint un détournement des DNS ? Continuons à déployer DNSSEC.
On craint un détournement de routes dans un AS BGP hostile ? Intensifions le 
déploiement de RPKI.

À l’heure actuelle, la seule menace réelle pour Internet est la fin d’Epoch le 
12 janvier 2038 qui menace les systèmes UNIX.

Pour tout le reste, des solutions existent, et si nous refusons de les 
appliquer nous sommes coupables de laisser perdurer un Internet non-sécurisé et 
vulnérable.
Et si cet Internet vulnérable se casse un jour la figure, on ne pourra s’en 
prendre qu’à nous.

Alea jacta est.

Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [MISC] Quelqu'un pourrait ajuster sa technique pour saturer Internet

2016-09-15 Par sujet Solarus 

Le 2016-09-15 08:00, megagolgoth a écrit :

Bonjour,

C'est pas encore trolldi mais :
https://www.schneier.com/blog/archives/2016/09/someone_is_lear.html

Qu'en pensez-vous?


Avec tout le respect que je porte à Bruce Schneier, cette histoire me 
fait rire.
Tous les 3 mois on voit ressortir un vague whitepaper nous expliquant 
que Internet va mourir à cause de [insérer ici une des 7 plaies 
d’Egypte].
Là, ce n’est même pas public, il faut acheter son livre pour savoir de 
quoi il retourne.


Et quand bien même cette menace serait réelle, il n’existe aucun 
problème que l’absence de solution ne finisse par résoudre.


On craint des DDOS massif ? Les techniques anti-DDOS et le blackholling 
sont quand même bien avancées, à la grande joie des vendeurs de 
solutions.

On craint un détournement des DNS ? Continuons à déployer DNSSEC.
On craint un détournement de routes dans un AS BGP hostile 
? Intensifions le déploiement de RPKI.


À l’heure actuelle, la seule menace réelle pour Internet est la fin 
d’Epoch le 12 janvier 2038 qui menace les systèmes UNIX.


Pour tout le reste, des solutions existent, et si nous refusons de les 
appliquer nous sommes coupables de laisser perdurer un Internet 
non-sécurisé et vulnérable.
Et si cet Internet vulnérable se casse un jour la figure, on ne pourra 
s’en prendre qu’à nous.


Alea jacta est.

Solarus.


---
Liste de diffusion du FRnOG
http://www.frnog.org/