Toute l'actualité des noms de domaine et nouveaux gTLDs

Archives de mots clés: attaque

L’attaque sur l’internet belge est la conséquence d’une action de spam

L’augmentation suspecte du trafic internet remarquée lundi sur les serveurs de DNS.be, le gestionnaire des noms de domaine « .be », ne résulterait pas d’une attaque orchestrée par des cybercriminels mais d’une action de spam mal exécutée à partir de l’étranger, a indiqué mardi la Computer Emergency Response Team belge (CERT.be) dans un communiqué.

DNS.be a informé lundi la CERT.be et la Federal Computer Crime Unit (FCCU), d’une hausse importante du trafic internet sur les serveurs des noms de domaine « .be« .

Deux serveurs de DNS.be ont été surchargés pendant près de quatre heures à la suite de cette augmentation du trafic. La CERT.be a monitoré et analysé cette hausse, et en a conclu qu’il ne s’agissait pas d’une attaque orchestrée par des cybercriminels mais d’une action de spam d’une série de botnets, un réseau d’ordinateurs hackés issus principalement d’Europe de l’Est et d’Amérique du Sud, qui a mal tourné.

« D’autres services CERT européens ont rapporté des hausses comparables du trafic internet dans leurs pays respectifs« , a indiqué la CERT.be.

« Tout indique que les spammeurs ont mal configuré leurs botnets et ainsi inondé les serveurs de noms de domaine ‘.be’ avec des requêtes fautives. Même s’il ne s’agit pas d’une attaque ciblée, les conséquences sont identiques : les serveurs peuvent être surchargés. Nous continuons à surveiller la situation, mais à l’heure actuelle cela semble se normaliser« , a indiqué le porte-parole de la CERT.be, Jan Torreele.

Source: RTBF.be

L’internet belge hacké

La zone des noms de domaine « .be » serait attaquée depuis dimanche par un réseau d’ordinateurs hackés, aussi appelé botnet, peut-on lire lundi sur le site internet de Data News.

Le directeur général de DNS.be, Philip Du Bois, ne sait pas de quel endroit provient l’attaque mais il a prévenu la Computer Emergency Response Team (CERT) et la Federal Computer Crime Unit (FCCU).

Le gestionnaire de domaines DNS.be reçoit depuis dimanche jusqu’à 6 fois plus de demandes sur ses serveurs que d’habitude. Deux serveurs « .be » ont été perturbés pendant une quarantaine d’heures, rendant les sites webs difficilement ou pas du tout accessibles.

« Nous avons introduit une plainte auprès du FCCU et nous espérons que les criminels pourront être identifiés », a indiqué Philip Du Bois.
Ce n’est pas la première fois qu’une attaque de ce type a lieu, d’après M. Du Bois. Des attaques similaires auraient eu lieu récemment au Chili, aux Pays-Bas et en Slovénie.

Les utilisateurs d’internet ne devraient pas remarquer le problème rencontré par DNS.be car le gestionnaire des domaines belges peut se rabattre sur un réseau externe anycast avec 41 noms de serveurs, d’après Data News. (belga)

Source: 7/7.be

LizaMoon : attaque SQL de grande ampleur

Repérée depuis le 29 mars cette attaque par injection de code malveillant dans des bases de données SQL se propage à grande vitesse. Plus de 500 000 url auraient été infectées.

Certains parlent déjà de la plus grande attaque par injection SQL jamais vue. Depuis le 29 mars, des milliers de sites web ont été infectés par un code malveillant injecté dans leur base de données SQL.

C’est l’éditeur de solutions de sécurité WebSense qui a repéré cette attaque baptisée LizaMoon en raison du nom premier nom de domaine vers lequel les victimes ont été redirigées. Les internautes visitant un site contaminé sont redirigés vers une page les avertissant de la présence d’un malware sur leur ordinateur qui propose les services d’un faux antivirus payant. Les chercheurs de WebSense ont indiqué avoir été prévenus par des personnes qui avaient détecté ce code malveillant dans leur base de données Microsoft SQL Server 2003 et 2005. Il s’agit d’une simple ligne de code (<script src=hxxp://lizamoon.com/ur.php></script>) qui est injectée dans le site et déclenche une redirection vers une page piégée.

Selon le dernier recensement effectué au cours du weekend, plus de 550 000 url étaient déjà contaminés. (Eureka Presse)

Source: ZD Net

iOS vulnérable aux attaques par Phishing ?

Le chercheur en sécurité Nitesh Dhanjani, a découvert une faille qui pourrait aider les spécalistes du Phishing. Pour rappel, le Phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels (mot de passe, numéro de carte de crédit,…). Le chercheur a démontré qu’il était possible d’utiliser le mode web application d’iOS, qui affiche des pages web en masquant la barre d’url, à des fins malhonnêtes.

Vous l’aurez compris, la barre d’adresse est cachée, il est alors très simple de rediriger l’utilisateur vers un faux site Web, sans qu’il le remarque. Pour imager son exemple, il a mis en place un site web qui reprend l’interface complète du site mobile de Bank of America (voir ci-dessus). Il reprend même la même la barre d’URL qui n’est seulement qu’une image pour que les visiteurs ne se doutent de rien.

Apple a été prévenue du problème potentiel de sécurité de cette faille recèle, mais n’a pas encore pris de mesures pour la contrer.Pour résoudre ce problème, Nitesh Dhanjani préconise d’afficher en permanence le nom de domaine pour informer l’utilisateur.

Source: iPhoneAddict

Facebook attaque son double pornographique

Le réseau social attaque le site Faceporn qui « copie ouvertement le logo, le site et le ‘mur' ». Facebook réclame tous les revenus du site ainsi que le nom de domaine.

La site Faceporn


Facebook a décidé de poursuivre en justice le site pornographique Faceporn pour violation de propriété intellectuelle.

Le réseau social aux 500 millions d’inscrits explique que Faceporn « copie ouvertement le logo, le site et le ‘mur’ de Facebook ». En guise de « poke », les membres de Faceporn peuvent s’envoyer des « flirts ». Facebook réclame ainsi à que le créateur du site, Thomas Pederson, lui reverse l’intégralité de ses revenus et lui cède le nom de domaine.

Ouvert en avril dernier, Faceporn se définit comme un réseau social où les internautes peuvent « partager [leur] passion commune : le sexe et l’industrie du charme ». Toutefois, le site est inaccessible depuis la semaine dernière, indiquant « nous faisons de notre mieux pour revenir [avec un site] meilleur que jamais. Nous travaillons actuellement sur une nouvelle version et ce sera le meilleur site porno au monde« .

L’audience est attendue pour janvier 2011.

Source: Nouvel Obs

Nouvelle anicroche US-Chine : Baidu porte plainte contre son registrar américain

Après les affirmations américaines, attribuant à la Chine la responsabilité des attaques contre un certain nombre de sociétés d’outre-Atlantique, le moteur de recherche de l’Empire du Milieu Baidu passe à son tour à l’offensive. Ce dernier vient de porter plainte, devant un tribunal de New York, contre son registrar américain (Register.com), accusé de négligence.

Ce dernier aurait facilité l’attaque dont a été victime Baidu.com la semaine dernière, attaque attribuée à un groupe baptisé Iranian Cyber Army, déjà accusé d’avoir piraté Twitter le mois dernier.

Selon Baidu, l’attaque, qui avait rendu le moteur inaccessible pendant plusieurs heures la semaine dernière, n’a touché que le site international Baidu.com, et pas le moteur chinois.

auteur : Reynald Fléchaux
source LeMagIT.fr

UltraDNS attaqué en DDoS : Amazon.com et walmart.com impactés

Le père fouettard est passé en avance pour UltraDNS, opérateur de services de résolution de noms (DNS) sur Internet : Ses serveurs en charge d’assurer la conversion des noms de machine en des adresses IP ont été la cible d’attaques en déni de service distribué (DDoS).

Cet assaut numérique a eu pour conséquence visible de rendre difficile, voire même impossible, l’accès à de grands sites de commerce online comme Amazon et Walmart.

Effectivement, on peut voir que les noms de domaine amazon.com et walmart.com sont gérés par les serveurs d’UltraDNS : Si ces derniers sont inacessibles, il sera impossible pour votre navigateur préféré de trouver l’adresse IP correspondante…

Le problème aurait duré environ 1h dans la journée du 24 décembre. La conséquence pour Amazon/Walmart ? Une perte directe de chiffre d’affaire.

Ce problème aurait aussi impacté indirectement des sites hébergés sur le Cloud d’Amazon.
Attaquer les serveurs DNS c’est un peu comme mettre un coup dans les genoux de votre adversaire : Sans résolution DNS, plus rien (ou presque) ne fonctionne.

Que faire pour se protéger de ce type d’attaques ?
– Répartir sa résolution DNS auprès de différents fournisseurs et non pas un seul.
– Utiliser plus de 2 serveurs DNS distribués géographiquement derrière des accès distincts.
– Protéger ses serveurs DNS contre les attaques en déni de service, c’est qu’UltraDNS aurait fait.
– Consulter son fournisseur/prestataire de connectivité Internet pour savoir ce qu’il peut proposer comme services de protection contre les attaques en déni de service.
– Vérifier le niveau de redondance des serveurs DNS de votre fournisseur. Il n’est jamais trop tard pour demander quelles précautions sont prises mais c’est mieux de se poser les questions avant l’attaque.
– Faites comme les cybercriminels : Utilisez des techniques de type Fast-Flux ou de double Fast-Flux… Certains pourront penser que cela peut sembler un peu « fou-furieux » mais pas tant que cela.

Auteur : Jean-François Audenard
source Orange-Business.com

La loterie nationale danoise victime d’une attaque

Les sites web suivants sont sous le feu d’une attaque provenant d’un botnet :

L’attaque a débuté le 15 août dernier, et a brièvement stoppé le 16 dans la matinée, pour reprendre de plus belle un peu plus tard dans la journée. Aujourd’hui, soit trois jours après le début de l’attaque, les sites de jeu en ligne sont toujours indisponibles, à l’exception de wsex.com.

Cette attaque pourrait n’être « qu’une attaque de plus parmi tant d’autres » ; mais voilà, parmi les sites ciblés, le site danskespil.dk n’est pas celui de n’importe quelle entreprise puisqu’il s’agit de la société d’Etat Danske Spil, la loterie nationale danoise, actuellement en position de monopole sur son marché (mais plus pour très longtemps). On aurait imaginé que ses infrastructures informatiques étaient dimensionnées pour résister à une telle attaque.

Il semblerait que cette attaque s’appuie sur une saturation du serveur web par rejeu de requêtes consommatrices de ressources (en l’occurrence : tentatives d’authentification). Donc pas un déni de service réseau classique mais une véritable attaque applicative, beaucoup plus efficace. Le communiqué de presse officiel mentionne en effet 10 millions de tentatives d’ouvertures de session pour le samedi 15 août.

Le serveur de Command & Control (C&C) du botnet à l’origine de cette attaque (dont nous ne révélerons pas l’adresse pour d’évidentes raisons de sécurité) est opéré, sans grande surprise, sur un nom de domaine russe, lui-même hébergé sur un serveur localisé à Taiwan. Le domaine est connu depuis près de six mois pour collecter des données bancaires volées par le malware ZeuS (a.k.a PRG / Ntos / Wsnpoem / …).

Selon certains observateurs, le gang à l’origine de l’attaque serait habitué à pratiquer des dénis de service massifs ciblant pendant plusieurs jours des sites d’un même secteur d’activité. Le gang serait également lié à des noms de domaine de vente de contrefaçon de produits de luxe. Ce groupe est actif depuis plusieurs années ; en 2007, il s’était fait remarquer pour ses tentatives de recrutement de mules ; la même année, le même serveur était déjà utilisé dans des campagnes de drive-by-download à grande échelle.

Cette attaque groupée n’est pas un cas isolé : en avril dernier, nous avions travaillé sur un cas de déni de service également orienté vers de nombreux sites de l’industrie du jeu d’argent en ligne. Cette attaque était perpétrée par un botnet d’environs 100.000 machines, et ne portait pas uniquement sur la saturation des serveurs ciblés, mais sur la recherche active de vulnérabilités d’injection SQL — le déni de service lui-même servant probablement à dissimuler les tentatives d’intrusion sous une pluie de requêtes inutiles.

Contrefaçon, blanchiment, vol de données bancaires, extorsion de fonds par déni de service… Un bel exemple de petite entreprise qui ne connaît pas la crise. Les cybercriminels peuvent ainsi espérer une belle longévité, pour peu qu’ils restent du bon côté de la frontière.

auteur : Pierre Caron – Cert-Lexsi
source
ZDNet.fr