További Biztonság cikkek
Május közepe óta biztonsági szakértők és hálózati rendszergazdák próbálják meg visszanyomozni egy furcsa hálózati adatforgalom forrását. Az adatok gyakran nem létező szerverek, vagy létező gépeken nem elérhető szolgáltatások után kerestek.
A biztonsági szoftvereket fejlesztő Internet Security Systems (ISS) múlt heti diadalmas bejelentése szerint a hálózati útvonalakat letapogató új hackereszköz volna felelős a zavarokért. Más szakértők, például a kódot elsőként azonosító Intrusec munkatársai viszont úgy vélik, hogy korai az ISS öröme.
Valami terjed
A valódi tettes még valószínűleg nincs meg, jelentette ki a CNet kérdésére David J. Meltzer, az Intrusec alapítója és vezető szakértője. Könnyen lehetséges, hogy a hackereszköz okozza a forgalom egy részét, ám a szakértők által elfogott adatok és a hackereszköz által gerjesztett forgalom összevetése alapján nem ez az egyetlen felelős, mondta Meltzer. Az eddigiek alapján arra kell gondolniuk, hogy a trójai behatolón kívül van még kint valami más is.
A szakértő mindenesetre igyekezett hozzátenni, hogy a hálózati rendszergazdák által megfigyelt különös forgalom nem ölt fenyegető mértéket. Viszont ahhoz elég volt, hogy magára vonja néhány nyugtatatlan kutató figyelmét. A jelenség nem tűnik veszélyesnek, mert nem sokszorosítja önmagát, és a hálózat működésében sem vezetett sehol komolyabb zavarokhoz, mondta Meltzer.
Egyforma nagyok
A különös csomagok egyetlen közös jellemzője az volt, hogy az adatcsomag mérete 55 808 bájt volt, és sokszor nem létező IP cím szerepelt feladóként. A TCP/IP hálózatokon az adatcsomag mérete az egyik fontos paraméter. Azt írja le, hogy hány bájtnyi adatot küld ki egy szerver a fogadó fél válaszának megvárása nélkül.
A hálózat hatékonyságát javítani hivatott paramétert rendszerint az operációs rendszer állítja be. Rendszerint az első kapcsolódásnál alacsony méretet, például 1 024 bájtot adnak meg. Nincs olyan operációs rendszer, amely kérdezés nélkül 55 808 bájtos mérettel kezd, jelentette ki Joe Stewart, a LURHQ biztonsági szolgáltató cég behatolási szakértője.
Kamu a feladó
Május végén Stewart felfedezte, hogy egy idegen számítógép a vállalat hálózatán egy nem létező gépet próbál elérni. Az esettel az volt az egyetlen probléma, hogy az állítólagos feladó cím nem létezhet, mert az adott IP blokkot zárolta a címkiosztást felügyelő IANA.
Stewart szerint a hanyag szolgáltatók esetleg továbbadják a nem létező feladót használó adatcsomagokat, viszont szinte senki nem továbbítaná, ha a címzett oldal van meghamisítva.
Mialatt a szakértő végignézett 900 próbálkozást a hálózatán feltételezett szerverek elérésére, nem volt képes visszanyomozni az adatok eredetét. "Egy beragadt hálózati szkennerről vagy arról lehet szó, hogy valaki megkísérli felderíteni címkiosztást" - véli Joe Stewart. Szerinte senkinek meg kell különösebben aggódnia, hogy mi lehetett a jelenség kiváltója.
Vírus is lehet
Az ISS viszont ragaszkodik hozzá, hogy az Intrusec által elfogott, és hozzájuk eljuttatott kód felelős az incidensért. "Úgy érezzük, hogy a forgalom jelentős részéről ez a kód tehet" - jelentette ki Dan Ingevaldson, az ISS kutatócsoportjának menedzsere. Szerinte a korábban elfogott, idegennek vélt forgalmat a kód korai változata okozta.
Eközben számos elmélet létezik már, hogy mit tesz a kód. Néhányan azt állították, hogy egy olyan féregvírus szüleményéről lehet szó, amely az IRC hálózatát használta. Mások szerint az adat egy mély szintű DoS támadás része lehetett. A Network Associates mindenesetre féregvírusnak minősítette, és W32/Randex.c-nek nevezte el a kódot.
A kód boncolása után kialakult legújabb elméletek szerint azonban amit az Intrusec elfogott, az egy szkennelő és támadó eszköz kommunikációja, ahogy véletlenszerű címekkel megpróbál kapcsolatba lépni, remélve hogy egy másik fertőzött gép van a vonal túlsó végén.
Nem jól működik
A kódban azonban van néhány hiba, és emiatt nem működött megfelelően. "Igazából tele van hibával, még az adatfájlját sem képes rendesen kezelni" - jelentette ki Ingevaldson.
De még ha hibátlan volna, akkor is nehéz munkája volna a programnak. Miközben elrejti a címzettet és a feladót, gyakorlatilag céltalanul szórja szét az adatokat az interneten, ami a lehető legkevésbé hatékony megoldás.
A LURHQ szakértője szerint a talált kód egy zöldfülű hacker próbálkozása lehet. Viszont nem biztos benne, hogy más nem szabadult ki a világhálóra. "Addig nem hiszem hogy vége van, amíg valaki nem mutat be egy olyan elemzést, ami fedi az általam tapasztaltakat" - jelentette ki Joe Stewart.