Názory k článku
Web Alza.cz může být nedostupný. Podle firmy někdo zkouší dát jeho IP adresu na blacklisty

Vtipne je, ze RPKI u Alza vubec neresi, takze asi az tak se hijacku sveho prefixu asi az tak neboji, nebo minimalne doted vubec nebali... a neresili to ;-) Clovek by cekal, ze u eshopu budou ponekud paranoidnejsi.

Zajímá mě jak to udělali. Podle mě, je velmi pravděpodobně, že web / host Alzy byl hacknut hackery a Alza to nyní zjistila a nechce to přiznat.

Padělat IP adresu zvenku (bez přístupu k síťové infrastruktuře) je sice teoreticky možné, ale v praxi, podlě mě, je docela vzácná věc.

A to se zrovna velmi pletete, protože je to jednoduché.
https://cs.wikipedia.org/wiki/IP_spoofing

Jednoduche to je, ale na TCP ne prilis funkcni, pokud ten prefix soucasne neni unesen na urovni BGP a propagovan z routeru utocnika :-) (a toho pak lze prozmenu zpetne identifikovat - minimalne na urovni site, ktera ten utok umoznila) Takze se pouziti spoofingu pomerne zasadne limituje na tupe cinnosti, typicky (nejen UDP) floody, kde odpoved vlastne nikoho nezajima... A nezridkakdy ukazuje ta spoofnuta (zdrojova) IP spise na obet utoku - nikoliv na skutecny zdroj a pocita se s odrazem od jine sluzby, takze davat ji na nejaky black-list spoofnute IP taky moc smysl nedava...

Ono cely to oficialni vyjadreni v duchu "vystupuje IP adresou webu Alza.cz" je proste takovy.... divny... je spise zdrojem dalsich otazek :-)

Kdyby si raději zametli před vlastním prahem. Antivir zablokoval adresy i.alz.cz, m.m.alza.de a co já vím. Všechny patří pod Alza a mají delší dobu propadlý certifikát.

Nebyl bych s tim soudem tak prisny. CSIRT by to asi nesdilel na svem webu, kdyby to nebyla uplne pravda (https://csirt.cz/cs/kyberbezpecnost/aktualne-z-bezpecnosti/alza-cz-upozornuje-zakazniky-na-potencialni-problem/), neverim, ze by si to tam dali bez provereni. Web Alzy ma koukam IP 185.181.176.19. Na nejakych blacklistech ta IP je. Tady vidime, ze slo zrejme o TCP SYN scan na porty telnetu/ssh: https://www.abuseipdb.com/check/185.181.176.19

Na to nepotrebujete sestavene spojeni, staci vysilat jen SYN packety se spooflou IP, s tim vam ani RPKI nepomuze. A tady dokonce upozornujou, ze scan muze byt spoofnuty: https://viz.greynoise.io/ip/185.181.176.19

Navic, jako utocnik, ktery se dostal na hlavni web, bych delal urcite jine veci, nez scanoval externi sit, abych o sobe dal vedet...

Ze spoof scan neni ojedinely pripad, muzeme videt i u vetsich hracu https://www.cyberscoop.com/spoofed-bank-ip-address-greynoise-andrew-morris-bank-of-america/

Mimochodem, to je dost zakerny skodeni....

Říkám si, komu tak může Alza se svým zeleným šmejdem ležet v žaludku? :-) I když poslední dobou je docela zticha. Já ale vlastně TV nesleduju, tak nevím.

Kdepak, břéská dal.
Asi se jim někdo pomstil za ty necertifikované PPF2 respirátory. ;-)

Zato si zkus zavolat na zakaznickou linku ceske "dvojky". Takovou odpornost neudelala nikdy ani alza...

Dovolal jsem se tam před chvílí za 12 vteřin.
Což u Alzy nehrozí ani omylem, tam by byl úspěch 12 minut.

o tom jsem nemluvil, mluvil jsem o tom zpusobu namluveni IVR ve stylu "jecheche, juchuchu"

Jedine, ceho jde dosahnout je pokus o odrazeny utok, nic vic. Utocnik spoofne zdrojovou adresu, posle SYN s tim, ze ty "scanovane" cilove IP odpovi - at uz RST, nebo SYN/ACK, kdy se ocekava, ze obet musi nasledne ten paket nejak zpracovat... takovych utoku jsou v praxi mraky kazdy den - a rozhodne se neomezuji jen na proflakle UDP-based sluzby typu DNS, NTP atd. Na realny/funkcni scan je te technika spoofingu kazdopadne nepouzitelna.

Ano, z pohledu obeti s tim nic moc udelat nelze. To, ze se v ramci "uspor" na BCP38 / RFC2827 v mnoha sitich kasle a vstup od zakazniku se nefiltruje je jiny problem. Tim spis je ale hloupost stavet blacklisty zrovna na zaklade spoofnuteho provozu a prohlasovat je za "mozny scan". Ulohou narodnich autorit typu CSIRT.CZ by melo byt toto v ramci komunity (a treba i smerem k provozovatelum tech ne zcela inteligentne fungujicich blacklistu) vysvetlovat. Ono jedna vec je mit "surovou" informaci z nejakeho IDS/IPS/honeypotu, ale i spravne vyhodnoceni takto ziskane informace je v tomto pripade nemene dulezite. A meli by si to uvedomit i ti, kteri ty informace z blacklistu (tupe) prebiraji do svych "bezpecnostnich" reseni ovlivnujici chovani koncovych prohlizecu...

Tedy ne, že by to vzhledem k naprostému rozvratu spolehlivosti Alzy byla výrazná škoda (např. dodání zboží "skladem" trvající přes týden, zcela nevyřízené objednávky, příšerné fronty na prodejnách, nefunkčnost systémů - zaplatíte objednávku, systém spadne a zboží vám nikdo nevydá a další a další.)

12. 11. 2020, 11:36 editováno autorem komentáře