neprihlásený Streda, 13. decembra 2017, dnes má meniny Lucia   DonaskaKvetov.sk - donáška kvetov v SR a zahraničí Pošli kvety
Orange bol terčom hackerského útoku, tvrdia zdroje

Problémy telekomunikačného operátora Orange, ktoré odštartovali včera a prejavovali sa vážnym preťažením jeho DNS serverov vyúsťujúcim do nepoužiteľného pripojenia, mali byť spôsobené hackerským útokom. Serveru DSL.sk to tvrdia dva zrejme na sebe nezávislé zdroje. Podľa jedného bol príčinou DoS útok, podľa druhého mala spoločnosť informovať minimálne jedného firemného zákazníka podľa informácií jeho IT oddelenia pre zamestnancov o útoku na dátovú sieť. Operátor sa k príčinám problémov a otázkam na útok nevyjadril.

Značky: Orangebezpečnosťútoky

DSL.sk, 29.11.2017


Problémy telekomunikačného operátora Orange, ktoré odštartovali včera a prejavovali sa vážnym preťažením jeho DNS serverov vyúsťujúcim do nepoužiteľného pripojenia, mali byť spôsobené hackerským útokom.

Serveru DSL.sk to tvrdia dva zrejme na sebe nezávislé zdroje.

O problémoch operátora sme informovali včera v tomto článku, začali sa prejavovať podľa dostupných informácií minimálne podvečer a trvali až do dnešného dopoludnia.

Problémy sa prejavovali veľmi až extrémne dlhými odozvami DNS serverov prekladajúcich doménové mená na IP adresy, ktoré sa pohybovali od výrazne viac ako 300 ms pre evidentne nacacheované domény až po viacero sekúnd pre nenacacheované. Navyše domény zrejme veľmi rýchlo vypadávali z cache. V niektorých časoch boli problémy ešte vážnejšie a servery reálne neodpovedali. V dôsledku problémov bolo napríklad browsovanie takmer až úplne nemožné.

DNS servery čelili evidentne preťaženiu, čo operátor potvrdil dnes doobeda. O odstránení problému informoval pred obedom, na otázky o príčine napriek opakovaným dotazom neodpovedal.

Či boli v službách aj iné nezávislé problémy nie je jasné.

V každom prípade podľa dvoch zdrojov servera DSL.sk mal byť za týmto preťažením útok.

Útoky preťažujúce infraštruktúru, tzv. DoS útoky, najmä posielaním množstva paketov nie sú nič nezvyčajné. Čo je ale zvláštne na tomto útoku je, že DNS servery Orange by mali byť a podobne ako u iných operátorov zrejme sú prístupné len zo sietí Orange a nie z Internetu a priamy útok na ne tak nie je možný.

Podľa informácií jedného zdroja evidentne blízkeho Orange bol za problémy zodpovedný DoS útok. Údajne sa to útočníkom malo podariť tak, že posielali pakety zrejme cez mobilný NAT operátora. Informáciu nebolo možné nezávisle overiť.

Podvečer sme zároveň dostali anonymný email, podľa ktorého malo IT oddelenie bližšie nešpecifikovanej firmy informovať svojich zamestnancov, že Orange ich dnes podľa emailu "informoval o rozsiahlom hackerskom útoku na ich dátovu sieť". Bolo to zrejme ešte v čase problémov, keď zároveň mal avizovať práce na odstránení problému.

Orange sme s otázkami na útok oslovili už doobeda. Reálne na tieto informácie nezareagoval a nevyjadril sa k nim napriek opakovaným žiadostiam.

Podozrenie na útok, v tomto prípade jasne na koncové routery DSL zákazníkov Orange, sa objavilo aj pri problémoch s WiFi routerom TP-Link TD-W8951NB na konci augusta a v nasledujúcom období. Orange sa rovnako v tomto prípade jasne nevyjadril, útok nepriznal ani nepoprel. O tomto prípade prinesieme v krátkom čase zaujímavé nové informácie.


      Zdieľaj na Twitteri



Najnovšie články:

Používatelia Chrome začali prechádzať na nový rýchlejší Firefox, avizujú dáta Mozilly
Štát katastrofálne nezvláda schránky. Až teraz kupuje nové disky, celkovo za milión a 4.2 tisíc za 800 GB SSD
Intel uviedol novú generáciu Atomov pre lacné notebooky a desktopy
Vedci overia či objekt, ktorý v októbri tesne minul Zem, nie je vesmírnou loďou
Žiakom v školách vo Francúzsku od 2018 úplne zakážu smartfóny, aj cez prestávku
Optika od Orange dostupná v ďalšom meste
Lekári tvrdo kritizujú eHealth a žiadajú ho odložiť
Slováci najviac kartou cez Internet platia PayPalu, AliExpresu a Tiposu
Na Slovensko.sk opäť nefukčné prihlasovanie
Toshiba predbehla Seagate a WD, má 14 TB disk bez prekrývajúcich sa stôp


Diskusia:
                               
 

vie sa co bol problem s routermi TD-W8951NB v lete? nezachytil som clanok ktory by vysvetlil co sa vlastne vtedy stalo
Odpovedať Známka: 3.3 Hodnotiť:
 

tu mas clanok http://www.dsl.sk/article.php?article=20192
Odpovedať Známka: 7.5 Hodnotiť:
 

ked firmu ako orange netrapi pol roka nefixnuta chyba, tak neni problem, ne tak, ci ?
Odpovedať Hodnotiť:
 

este aj tu http://www.dsl.sk/article.php?article=20171
Odpovedať Známka: 7.5 Hodnotiť:
 

a tu http://www.dsl.sk/article.php?article=20169
Odpovedať Známka: 5.0 Hodnotiť:
 

aaaaa tu http://www.dsl.sk/article.php?article=20166 :-)
Odpovedať Známka: 5.6 Hodnotiť:
 

Ziadna firma sa nebude vyjadrovat alebo sa len tak prizna ze jej cosi hackli.
Odpovedať Známka: 0.9 Hodnotiť:
 

Do vydania* oficialneho vyjadrenia statnych bezpecnostnych zloziek trojmo aj s indigom s notarsky overenymi kopiami na CD, diernych stitkoch a gumenej kacicke/kaciciakovi** priekazne garantuje nemarenie vysetrovania.
* minimalne dve casove peciatky na kazdej strane CD
** nehodiace sa skrtnite/preciarknite**
Odpovedať Známka: -4.5 Hodnotiť:
 

jedine ze by o tom sami nevedeli a informaciu vypustil ten co ich hackol
Odpovedať Hodnotiť:
 

DoS nie je hacknutie, a ja by som dosu veril viac leda by si mal nejake konkretne informacie...
Odpovedať Hodnotiť:
 

Orange si mozeme predstavit ako pomaranc ktory dava internet ked ho prave nehekuju. Vacsinou hekuju Rusi a Severokorejcania takze sa da predpokladat ze za utokom stoji Washington alebo Soul.
Odpovedať Známka: 5.2 Hodnotiť:
 

ale no, zasa staty a hlavne mesta sa mu (este) nepletu
Odpovedať Známka: 2.7 Hodnotiť:
 

Vážený pán Macko, dovolím si oponovať.
Ako uvádzajú viaceré nezávislé médiá, Washington je náš najlepší spojenec a ochranca. Je teda vylúčené, aby niekto páchal takéto útoky z tohoto mesta, resp. krajiny.
Vo vlastnom záujme si prosím doštudujte ktorá strana je tá správna a ktorá nie.
Odporúčanými zdrojmi sú predovšetkým SME a Denník N.
Verím, že sa v budúcnosti vyvarujte takýmto krivým obvineniam voči našim spojencom, ktoré jednak vrhajú pochybné svetlo na vašu osobu a jednak mätú čitateľov, ktorí mali v týchto veciach jasno.
Odpovedať Známka: 1.1 Hodnotiť:
 

Ak si to myslel sarkasticky tak to bol ultra prísny sarkazmus ktorý som nezaregistroval. Pri hovorenom slove sa to dá všimnúť na intonácii slov.

Ak si to myslel vážne. Článok 5 zmluvy NATO SŠA a iných "spojencov" (v špatnosti) nezaväzuje k ničomu maximálne tak že začnú silno nad pomocou rozmýšľať a pošlú protestnú notu.

NATO sa hodí maximálne ako odštrašovák (nie proti Rusku) a expedičný zbor kde väčší pes (rozumej SŠA) s prepáčením jebe.
Odpovedať Známka: 2.0 Hodnotiť:
 

Samozrejme, ze sarkazmus - uz kvoli tomu slizkemu tribalizmu, znizenej miere skutocnej faktickosti a zvysenej korektnosti.
Odpovedať Známka: 4.0 Hodnotiť:
 

teror daj mu školenie, je priekazne slabý
Odpovedať Známka: 8.2 Hodnotiť:
 

Hackujú aj iné krajiny, napríklad Irán, Sýria.
Odpovedať Známka: -10.0 Hodnotiť:
 

Alebo ešte svetre.
Odpovedať Známka: 10.0 Hodnotiť:
 

Neviem, ci to je nahoda, ale dnes sa mi nieco velmi podobne dialo v sieti Telekomu...
Odpovedať Známka: 10.0 Hodnotiť:
 

moj domenovy provider mal minuly rok utok. INWX sa vola, tam mam domeny a raz mi neslo otvorit maily a reku co sa deje, a neresolvovali, lebo vsetky ich DNS servery boli cielom DDoS utoku vtedy.
Odpovedať Známka: -5.0 Hodnotiť:
 

Ako od majstra Yodu tvoj slovosled je.
Odpovedať Známka: 10.0 Hodnotiť:
 

pravdu ty hovoris, znalosti ty mas.

U vas neviem ako, Dagobah snehom zakryty je
Odpovedať Známka: 10.0 Hodnotiť:
 

Tiez som mal ping cez 100 a down len 7mbit.Asi tak pred hodinou.Teraz uz vsetko ok.
Odpovedať Hodnotiť:
 

Detto dnes ráno v Swane na optike.
Odpovedať Hodnotiť:
 

Za minuly mesiac bolo u nás 8 útokov. Najsilnejší mal viac ako 10 Gbit. A to mame malú sieť. 2400 užívateľov
Odpovedať Známka: 10.0 Hodnotiť:
 

...Mobilatak...ten co ma siet postavenu na rodinnych domoch (vykrivace) :D
BOMBA ISP
Odpovedať Známka: -3.3 Hodnotiť:
 

je to pravda. DNS bol vcera komplet vypadnuty. mosel som prejst na google DNS a HE (obe cez IPv4).
Mosel som pridat:
2001:470:20::2
a
2001:4860:4860::8888
lebo orangacke:
2a01:c840:110:c000::10
a
2a01:c840:130:c000::10
boli komplet down. hlavne teda 2a01:c840:130:c000::10 neodpovedala vobec, ale potom zas naopak, cize viacmenej oba boli nepouzitelne.
Odpovedať Známka: 10.0 Hodnotiť:
 

IPv6 som chcel napisat, to IPv4 je zle. ma to sere.
Odpovedať Známka: 7.8 Hodnotiť:
 

a to ze si miesto reagovania pridal novy komentar ta nestve?
Odpovedať Známka: 10.0 Hodnotiť:
 

ipv4
8.8.8.8
8.8.4.4
ipv6
2001:4860:4860::8888
2001:4860:4860::8844
Odpovedať Hodnotiť:
 

ja by som ale nepovedal, ze by to bol hackersky utok, skor to bol DDoS, ze im niekdo odpalil DNS. Ale to ma clovek tak se seckyma ISP. Provideri su vsade inteligencne obmedzeny a to takzo sa potom s nimi nieco vyjednava, ked su to hlavy vykradnute. Orange napr dlhy cas mal iba jeden DNS server, to az nedavno zvysili na AZ dva.
mimochodom, orange routuje interne cez nieco ako fd00:dcbb:c000::/64 v ich sieti, cize uz sa naucili pouzivat sukromne adresy, to je uz ideologicky pokrok. ked by s tymto fd00:dcbb:c000::/64 prefixom davali aj DNS servery, tak by boli nedotknutelny z venka. ergo my (klienti orangu) by sme resolvovali cez ich interne adresy a tym padom by tieto DNS servery boli tazko napadnutelne z venka.
Odpovedať Známka: -7.8 Hodnotiť:
 

ty zvenke... a co myslis skade sa ten lokalny DNS server dozvie aku adresu ma pre neho neznama domena...

kukne si ju v zlatych strankach?

kazde DNS potrebuje pripojenie aj do internetu...potom by si mal akurat tak nakesovane data a stare nefukcne domeny
Odpovedať Známka: 1.7 Hodnotiť:
 

ne, on moze teoreticky rotovat viac ip adries pre lookupy.

ale o to vobec nejde. DNS DDoS je na principe toho, ze teda zavali server velkym poctom requestov. Ak by listen bol nastaveny na privatnej adrese (ergo fd00::...) tak by odpovedal iba tam. Ak by vola aj jeho verejna IPv6 adresa znama, cez kere by robil lookupy, tak to furt neotvara dvere pre takyto utok, kedze tam by a.) nic neodpovedalo b.) mohol by to filtrovat priamo stateful firewall, kery by vsetky requesty na verejnu adresu na destination port 53 droppoval.
Odpovedať Známka: 2.0 Hodnotiť:
 

ak by aj unbound alebo DNS server/resolver kery clovek pouzival nepodporoval rotovanie viac IP adries pre lookupy, clovek to porat moze realizovat cez NAT. NAT ma moznost round robinovat na viac IP adries. NAT (firewall) si potom pamata, ze kery state patri ke kerej verejnej IP adrese. Tak funguju aj load-balanceri. Ono to nie je vysoka technologia.
Podobne aj IPv6, preto potrebuju NAT66.
Odpovedať Známka: -2.0 Hodnotiť:
 

nerozumiem reči tvojho kmeňa
Odpovedať Známka: 10.0 Hodnotiť:
 

nehovoriac o tom, ze default konfiguracia napr unboundu je, ze pocuva len na localhost, to neznamena ale, ze nema pripojenie do internetu, kedze lookupy robi cez verejnu adresu. pointa je ale v tom, ze teda z venka lookupy nikdo robit nemoze, ked to explicitne nepovolis.

telekom toto ma nastavene tak tiez. t-com dns servery nemoze pouzivat hocido, len ten, do ma t-com internetz. kedze vsetky requesty z neznamych ip adries su droppnute. ja som kedysik, ked som mal t-com dsl tod ale mohol napr pouzivat madarske t-com DNS servery, lebo evidentne to funguje skrz t-com durch, fuk de si. tym ale telekom zabezpeci, ze ak ich niekdo DDoSuje, tak len volado znutra a ne z venka. A tym predchadzaju 99,97% DDoS utokoF
Odpovedať Známka: -10.0 Hodnotiť:
 

s casti mas pravdu, potrebuje pripojenie von, ale staci mu len na nadradeny DNS, cize firewall a ides bracho
Odpovedať Hodnotiť:
 

nie nadradeny. To tak nefunguje. DNS resolver ma interne zname root servery, tie adresy si nosi aplikacia ze sebu a potom ide dole od root, cez TLD az po domain DNS.
o com som ja hovoril je, ze ked resolvujes, tak nemosis na tej adrese aj ponukat DNS, kedze resolvovanie ide z vysokeho portu (nad 1024 cize neprivilegovaneho). tym padom ani nemosi byt ten resolver trtnuty venku na internete, ale moze byt aj za firewallom, resp dokonca NATom, ked mas nieco ako ten orange AFTR relay, kery ma kapacitu 40 GBit/s tak to zavesis za neho a staci.
Odpovedať Hodnotiť:
 

Aj v ipv4 sa medzi *.dynamic.orange.sk a *.static.orange.sk mihne 192.168.100.*
Odpovedať Hodnotiť:
 

ano, ale tam sa tazko pripojis.
pri IPv6 je take velke rozmedzie, ze ked tam daju fd00...volaco, este ci hu mozu advertisnut cez SLAAC aby router mal orange-lokalnu adresu s keru sa napaja potom k DNS. alebo/aj to tam hnet trepnut do RDNSS. cize IPv6 tam dava moznosti.
Odpovedať Hodnotiť:
 

S tymi Huaweimi co Orange ma, by to aj islo. Uz teraz to ma dva aliasy na jednom fyzickom interface, dali by treti.

Odpovedať Hodnotiť:
 

Podla specifikacie musia byt dva. LinkLocal a Globalny. Bez toho by to neslo. Globalny ziskava cez LinkLocal a LinkLocal si vytvori sam z fe80:: a MAC adresy.
Odpovedať Hodnotiť:
 

Alebo myslis 2 globalne aliasy? Potom to je Privacy extensions, ergo 1 adresa je /64 prefix + MAC a 2 adresa je /64 prefix + random bullshit, kery sa porat meni, aby sa tazsie dalo predpovedat, ze odkal veter fuka.
Odpovedať Hodnotiť:
 

Hovorim o IPv4, tie huawei co maju, mavaju dve wan ip adresy, jednu verejnu a druhu z 10.x.x.x rozsahu (tadial streamuje IPTV).

IPv6 adries moze mat kolko chce, je na devajsi, akym mechanizmom ich ziska (SLAAC, DHCPv6, vypisovanim dopisov na pergamene, atd).
Odpovedať Hodnotiť:
 

fb page orange slovensko zobrazi orange egypt..tiez z orange polska ale este na obed niekto z pl postol ze otvori sk..
Odpovedať Hodnotiť:
 

moj predchadzajuci komentar je irelevantny :)
Odpovedať Hodnotiť:
 

Keby len.
Odpovedať Známka: 4.5 Hodnotiť:
 

Hehe, ten co Vam poslal ten email asi robi v rovnakom korporate ako ja. Komplet cela firma dnes dostala ten email ;)
Odpovedať Známka: 5.0 Hodnotiť:
 

Mam od pomaranču internet a toto som našiel v logoch
wifi routeru
"possible DNS-rebind attack detected: 0gyenb54-830b1249ae60b688d3 71489b9b1568a5810e6cee-mob.d.aa.online-metrix.net"
čo to môže byť?

Odpovedať Známka: 10.0 Hodnotiť:
 

pri hentakych domenach moze byt skor, ze je zle podpisana.
ja napr DNSSec nepouzivam, cize to mam na salame. ked niekdo sce strhnut senzitivne data, mosi otvorit nejaky webserver, a proci tomu ti DNSSec nepomoze. Samozrejme, zlomyselny DNS server by si ten svoj record aj sam vedel hnet podpisat, zejo?
ja tu vidim ale iny problem. V ramci toho, ze furt scu ten internetz cenzurovat, napr facebook a podobne, tak je len otazka casu, kedy v tom brlohu zlodejov napadne niekomu, ze v ramci "internetovej bezpecnosti" by bolo dobre limitovat pristup na slovenske DNS servery, ergo aby neboli napadnutelne z venka, ze kazdy ISP bude divertovat spojenia na hociaky server (napr 8.8.8.8) na svoj lokalny (pod privantu adresu) a potom uz alternativne DNSka nepomozu. Potom zeberu konspiratori_sk blacklist a traffic infovojny pojde k nule.
Odpovedať Známka: 2.0 Hodnotiť:
 

Ondrej Macko ma dnes meniny posielam kvety.
Odpovedať Známka: 10.0 Hodnotiť:
 

ale najprv treba p. Mackovi vysvetlit, co su to tie kvety, a ako sa pouzivaju :D
Odpovedať Známka: 10.0 Hodnotiť:
 

Kvety si môžeme predstaviť ako rastliny, ktoré majú pekný vzhľad a používajú sa na gratulácie
Odpovedať Známka: 10.0 Hodnotiť:
 

koľko núl a jedničiek potrebuje pán Macko na to, aby mal pekný vzhľad?
Odpovedať Hodnotiť:
 

Treba použiť DNS server 1.4.8.8.
Odpovedať Známka: -6.0 Hodnotiť:
 

Orange má takisto aj iné problémy akurát sa o nich nehovorí. Napríklad eviduje problém pri volaní z Rakúska kde sa občas stane že pred SK číslom je predvoľba +43(Rakúsko) a taktiež je problém s automatickým prihlasovaním do AT siete kde to častokrát trvá aj 15 minút respektíve sa automaticky nedokáže pripojiť vôbec. Keď som ohľadom tohoto problému volal na infolinku tak si moc ťažkú hlavu z toho nerobili pretože tento problém evidujú u viacerých ľudí. Máte niekto podobné problémy?
Odpovedať Hodnotiť:
 

Na takýto problém ti infolinka nikdy nebude vedieť odpovedať nie to ešte ho vyriešiť. To že by ho mali oznámiť technickemu oddeleniu je už vec druhá.

Ako to funguje na infolinke by ti to vedel lepšie vysvetliť p. Macko
Odpovedať Hodnotiť:
 

Pod infolinkou si môžeme predstaviť niečo podobné, ako keď potrebujeme na niečo spýtať 4 ročného dieťaťa alebo starej babky ktorá práve vyšla z kostola. Dozvieme sa kopec vecí, ale odpoveď na našu otázku nikdy nedostaneme. Rozdiel je len v tom, že sa pýtame cez mobilný telefón alebo pevnú linku.

Ondrej Macko
šéfredaktor
Odpovedať Známka: 8.6 Hodnotiť:
 

nevyhoda takejto infolinky je najma v tom, ze pocas hovoru zmeskame minimalne 2 bloky reklam na markize.
Odpovedať Známka: 10.0 Hodnotiť:
 

"V dôsledku problémov bolo napríklad browsovanie takmer až úplne nemožné"
Dsl zaseraz nesklamalo
Odpovedať Známka: 3.3 Hodnotiť:

Pridať komentár