Február 9. - Az Amazon és a CNN is elesik
A Yahoo és a Buy.com elleni hétfői támadások után kedden az Amazon, az eBay és a CNN szervereit is denial of service támadással tették órákon át elérhetetlenné a hackerek. A szerverek túlterhelésével járó támadásért egyelőre senki nem vállalt felelősséget, azt sem tudni, vajon ugyanazok az emberek állnak-e az egyes támadások mögött. Az FBI nemzeti infrastruktúra-védQ. központja nyomozást indít az ügyben. A Buy.com áruháza és az eBay egyes aukciói kedden délután órákon át elérhetetlenek voltak, a CNN Interactive hírszolgáltatása és az Amazon áruháza pedig rendkívül lassan tudta csak megválaszolni a lekéréseket.
A hétfőn támadott Yahoo e-mail-rendszerének helyreállítása közben egyes levelek elvesztek, illetve szöveg nélkül, üresen érkeztek meg a címzettekhez. A cég szakemberei jelenleg is dolgoznak a problémán, és azt tanácsolják a felhasználóknak, ne töröljék le az üres leveleket, mivel akkor végleg törlődnek a rendszerből.
Valószínűleg külön e célra kifejlesztett programokkal tették néhány órára elérhetetlenné a hét elején a Yahoo, a Buy.com, az Amazon, az eBay és a CNN szervereit az ismeretlen támadók.
A támadás fegyverei
|
A Tribe Flood Network, Trinoo és Stacheldraht (szögesdrót) nevű programokkal egyszerre többszáz számítógépről lehet összehangolt támadást indítani az áldozatul kiszemelt szerver ellen. A hackerek saját számítógépükről adnak utasítást a támadás megindítására azoknak a gépeknek, melyekre előzőleg felinstallálták a programot. A több tucat, vagy akár több száz számítógép így egyszerre bombázza a célpontot kéréseivel. A Yahoo elleni támadás során például legalább 50 számítógép vett részt a támadásban, melynek csúcspontjában másodpercenként 1 gigabyte adattal sorozták meg a portál szervereit. |
A denial of service támadások ellen léteznek ugyan védelmi módszerek, a szakértők szerint azonban a Yahoo elleni támadáshoz hasonló méretű akciókat lehetetlenség kivédeni. A hackerprogramok ráadásul bárki számára elérhetőek az ismertebb underground szoftvergyűjteményekből. Az FBI és a CERT számítógépbiztonsági tanácsadó szervezet az elmúlt hónapok során többször is felhívta a figyelmet a programok létére és a támadások lehetőségére. A hackerek által titokban installált Stacheldrahtot főleg Solaris és Linux operációs rendszerq. gépeken fedezték fel, a CERT oldalán részletesen leírja, hogyan lehet felfedezni és eltávolítani a programot. Az FBI nemzeti infrastruktúra-védQ. központja a Tribe Flood Network és Trinoo programokról bocsátott ki részletes ismertetőt és figyelmeztetést, továbbá a hivatal oldaláról letölthető a hackerprogramokat felismerő és eltávolító szoftver.
Február 8. - Az első támadások
Magyar idő szerint hétfő este 19:20-kor egyszerre több irányból érte denial of service támadás a Yahoo portálját, az internet második leglátogatottabb oldalát. A Yahoo elleni támadás az eddigi legnagyobb, kereskedelmi oldal ellen pedig az első volt. A cég központi adatbázisait kiszolgáló szervereinek túlterhelése miatt megbénult a Yahoo belső hálózata, elérhetetlen volt a yahoo.com, a broadcast.com és a my.yahoo.com oldal. A megbénított oldalak tartalma változatlan maradt. A hálózatfigyelő Keynote Systems mérései szerint a három órás kimaradás elsősorban az amerikai internetezQ.ket érintette, Amerikán kívül a világ több mint fele folyamatosan látta a Yahoo oldalait.
A Yahoo szerint összehangolt, több helyről érkező hackertámadás okozta a cég San Francisco-i szervereinek leállását. A szolgáltató egyik ügyfele szerint azonban a routerek félrekonfigurálása okozta a problémákat, melyek az ő cégénél is jelentkeztek. A Global Center tagadja a globális hálózatkimaradást, ők is hackereket okolnak a leállásért. A szolgáltató többi ügyfele, ilyen a Ziff Davis, az MP3.com, vagy az eToys, nem észlelt hasonló problémákat.
Támadás módja: "Denial Of Service"
|
A támadás lényege, hogy a hacker hamís címekről folyamatosan adatcsomagokkal bombázza a szervert (például a "ping" paranccsal), és amikor az válaszol egyre, a támadó még több csomagot küld rá. Ettől fokozatosan belassul a rendszer működése, rosszabb esetben pedig teljes összeomláshoz vezet. Az FBI tavaly decemberben figyelt fel először olyan szoftverekre, amiket számos szerverre titokban telepítettek. Ezekből a szerverekből a tulajdonosok tudta vagy hozzájárulása nélkül áll össze az összehangolt globális DoS-támadásra alkalmas hálózat. Szakértők szerint jelenleg egy ilyen támadás kivédhetetlen. |
A Yahoo rendszeresen észlel hasonló támadásokat, de ez volt az első eset, hogy a forgalom átirányításával nem sikerült kiküszöbölni a szerverhalált. Hétfő estére a portál szűrőkkel blokkolta a támadást, de ekkor még nem derült ki, ki és meddig támadta a szervereket. A Gobal Center teljes hálózata átlagosan 4,5 gigabyte adatforgalmat bonyolít le egy másodperc alatt. A Yahoo-t megbénító forgalom csúcsidejében másodpercenként 1 gigabyte volt. Hétfő délutánra a Yahoo központi internetes címeit átirányították a keleti parton lévő háttérszerverekre. Valószínüleg ennek köszönhető, hogy újra elérhető lett a portál Amerikában.
Sem a Yahoo, sem a Global Center nem tette közzé a támadás további technikai részleteit, de szakértők szerint mégis szerepelhetett egy router a történetben. Jeff Schiller, a MIT hálózati mérnöke úgy véli, a denial of service támadás elsőre routerhibának is tűnhetett. Szerinte a szolgáltatónál valószínűleg megpróbáltak kicserélni egy rossznak hitt kártyát a routerben, és csak azután ismerték fel a támadást, hogy az új kártya után is jelentkezett a "hiba".
A Yahoo oldalait tavaly év végén havonta 42 millió internetező kereste fel, decemberben naponta 465 millió oldalát töltötték le. A tény, hogy az egyik legnagyobb portál egy ilyen egyszerű hackertámadás áldozatául eshet, aggoldalmat keltett a konkurenciában, akik azonban elismerték, hogy profitáltak a Yahoo leállásából. Az AltaVista aznap délelőtt átlagon felüli forgalmat mért, bár képviselőjük szerint ez a normál értékingadozáson belül maradt. A Lycosnál délutánra gyűrűzött be a forgalomnövekedés, amit a portál képviselői átlagon felülinek ítéltek.
A hálózatkimaradás ellenére jól tartja magát az érintett cégek részvényeinek árfolyama: a Global Crossing és a Yahoo papírok árfolyama is emelkedett. A cég nem nyilatkozott az okozott kár nagyságáról, de elemzők szerint ez több millió dollárra rúghat.