הניגרים באים, ועדר בוטים מאחוריהם

זו לא הפעם הראשונה שהאינטרנט הופך לשדה קרב בין כוחות השחור לכוחות האור.
בתקופה האחרונה נראה שהתקפות בפרופיל גבוה הופכות להיות יותר ויותר נפוצות, מי זוכר היום את בלו-סקוריטי ז"ל שניסתה לפתח צפרדע כחולה ומבוזרת שתלחם בספאמרים?
לא תמיד המתקפות קוצרות כזו הצלחה, EveryDNS למשל עדיין מתפקדים היטב למרות ההתקפה האחרונה (למעשה אני משתמש בשרותים של EveryDNS, ואפילו תרמתי 15$).

הפעם הקורבנות הם מספר אתרים שנלחמים בסקאמרים, שהם האחים הגדולים של הספאמרים.
מכירים את האתרים שמתחזים לאתרים אחרים בנסיון לקצור סיסמאות של בנקים, Paypal Ebay וכו'?
אלו אתרים שמופעלים על ידי סקאמרים – Scammers או Scumbags כמו שהם מכונים בחוגים מסויימים.
סקאמרים אחרים לא מפחדים ללכלך את הידיים כדי לנסות להוציא כסף מהקורבנות, וממש לדבר איתם ולהשקיע בהם זמן ומאמץ – אלו כמובן הסקאמרים שמפעלים את העוקץ הניגרי, הידוע גם בשם תרמית ה419 (על שם מספר הקטע בחוק הניגרי שמתייחס לעברה).
הפעם האתרים שהותקפו הם אתרים שנלחמים ישירות בעוקצים הניגרים, כמו 419eaters, scamwarners וaa419.
האתרים לא זמינים כרגע עקב ההתקפה.

קל למי ששולט על רשת של עשרות או מאות אלפי בוטים להפיל שרת במתקפת שלילת שרות; כל מה שהוא צריך לעשות זה זה להורות לכל הבוטים לבקש דפים בו זמנית מאותו השרת.
התקפה כזו תספיק כדי להפיל כמעט כל שרת באינטרנט.
למעשה, היחידים שיכולים לעמוד במתקפה כזו הם חברות גדולות בעלות מודעות לאפשרות שלה, שגם השקיעו הרבה כדי להתגונן בפניה מראש.
חברות כאלו (גוגל, מייקרוסופט, יאהו, אמאזון וכו') יוכלו לעמוד במתקפה כי מערכת השרתים שלהם עצמה מבוזרת, ככה שעוצמת ההתקפה מתפזרת על פני כמות גדולה של שרתים, מה שהופך את ההתקפה להרבה פחות יעילה.

טיעונים בנוסח "זה סימן שאנחנו מכאיבים להם" ממש לא עושים עלי רושם, אנלוגיה דומה תהיה שהנמלים יצהלו כשיבוא המרסס כי "אנחנו מכאיבים להם".
למעשה, הרעים מנצחים פה. זה שאותם אתרים הכאיבו מספיק לסקאמרים כדי לפעול לא אומר שהם ממש פגעו להם בכיס (זה שמעכתם עכביש זה לא אומר שהוא הכניס אתכם למינוס בבנק).

אז מה עושים?
זו מלחמה, וכמו בכל מלחמה צריך לפעול בכמה חזיתות.
1. צריך גיבוי טכנולוגי וכלכלי לאתרים שנלחמים בטינופות, אולי על ידי מדינות ואולי על ידי חברות גדולות שרוצות לעשות משהו טוב כדי להצטייר טוב.
2. צריך להלחם ברשתות הבוטים, זו בעיה אמיתית וקשה שצריכה התייחסות של רשויות החוק בעולם. למרות השיפור הטכנולוגי המרשים בבוטים (היום הבוטים מתקשרים בערוצים מוצפנים, והם מתוכננים עם יתירות (Redeundancy) בערוצי השליטה שלהם – עדיין אפשר לגלות הרבה מאוד פשוט על ידי הדבקה של מחשב בבוט כזה וסקירה של פעילות הרשת שלו.
אני חושב שהגיע הזמן שהאיום הזה יתחיל לקבל התייחסות רצינית, הרי באותה קלות שמפעילי רשתות הבוטים יכולים להפיל אתר אחד, הם יכולים להפיל אתר אחר. מישהו רוצה להמר כמה עמיד יהיו האתרים של הבית הלבן, הפנטגון או האתר של ממשלת ישראל בפני התקפה כזו?
3. צריך לבזר את המנגנונים שנלחמים בסקאמרים ובספאמרים: מה שעובד בשביל הרעים יכול לעבוד גם בשביל הטובים. זה אומנם הרבה יותר קשה הנדסית, אבל בהחלט אפשרי בהרבה מקרים.

דרך סלאשדוט.

יום מחורבן

אזהרה: פוסט מתבכיין.
יום מחורבן למדי עבר על כוחותינו, הוא התחיל בזה שהיו לי 230 תגובות ספאם חדשות לטיקטים בפיירסטטס – מסתבר שהספאמרים מצאו דרך לרמות את הספאם פילטר של trac, והפציצו הרבה אתרי trac בזבל.
בין האתרים האחרים שנפגעו (ואלו הם רק אלו ששמעתי עליהם בערוץ הIRC של trac ברבע שעה שביליתי שם בבוקר) נמנים trac-hacks וpidgin. אני מחקתי את מאות התגובות פשוט על ידי שחזור של בסיס הנתונים מגיבוי מאתמול, אבל זה עיצבן אותי מספיק כדי שאני אכנס לאתר של הספאמר, אמצא ליקוי בפרטי הwhois שלו (אין כתובת), ואלשין עליו לICANN.
בתקווה הם יעיפו אותו מהרשת לתמיד.

אחרי יום די מתיש בעבודה, שכלל הדרכה על רשתות דור שלישי סלולריות (מעניין, אבל מדובר במצגת של 170 עמודים שהעבירו לנו – אז זה לא היה קל), זזתי הביתה, רק כדי להכנס לפקק ממש בתחילת איילון (ישר אחרי הירידה לאיילון דרום ממחלף גלילות החדש). הפקק המחורבן בעצם היה כל איילון, ולמרות שברחתי ממנו ברוקח (כדי לחתוך דרך רמת-גן במקביל לאיילון) כל הסיפור לקח לי שעה ועשרים דקות.
שעה ועשרים!
כבר הייתי עושה את זה בזחילה.

זומב-נט

הוט מונעים מהמשתמשים שלהם לפתוח חיבורים החוצה בפורט 5000.
למה?
פורט 5000 משחק תפקיד במערכת הפלאג-אנד-פליי בחלונות, ויש ווירוסים שמנצלים חולשת אבטחה במערכת הזו ומדביקים מערכות אחרות דרך פורט 5000.
מסתבר שהמשתמשים של הוט נגועים נגועים בחלונות, אה.. סליחה, בווירוסים – ומנסים להדביק אחרים דרך אותו פורט.
והפתרון של הוט? למה להסתבך ולספר למשתמש שהוא נגוע – הוא עוד עלול לקנות אנטי ווירוס! עדיף פשוט לחסום את הפורט.
מה, יש שימושים אחרים לפורט? לא נורא. זה לרווחת ציבור הזומבים.

אני חושב שהם עושים למשתמשים האלו שרות דב.
הנה כמה סלוגנים אפשריים שיעזרו להוט להצדיק את פתיחת הפורט:
* הצטרף לצבא של זומבים ממש כמוך!
* בכל איש גדול יש זומבי קטן, או שניים.
* זומב-נט, לאנשים שאוהבים חברה.

איך לא סוגרים חור אבטחה

מייקרוסופט מסננת הודעות מסנג'ר שכוללת מילים זדוניות כמו foo.scr או gallery.php.
למה?
הניחוש שלי הוא שכמה ווירוסים מפיצים את עצמם דרך המסנג'ר, ומפנים את משתמשי חלונות מלאי האמונה אל אתרים שמדביקים אותם בקדחת התחת.
במקום לשחרר גרסא מתוקנת של מסנג'ר ואולי גם של אקספלורר, מייקרוסופט בחרו לצנזר הודעות מסויימות, מתוך הבנה שכותבי הווירוסים מטומטמים ולא יחשבו לקודד את ההודעות שלהם, לשים redirect בשרת, או סתם להשתמש בכתובות אקראיות להפצת הווירוסים.
יש כל כך הרבה דרכים לעקוף את הפתרון הזה שזה פשוט עצוב לחשוב שמישהו במייקרוסופט חושב שזה פתרון.

דרך סלאשדוט.

הספאמר התורן

כרגע קיבלתי ספאם ישראלי שטוען שכסף גדל על עצים וכו'.
הוא מפרסם את השרות של הספאמר עצמו (במילים אחרות, שלמו לנו ותהיו ספאמרים כמונו!).

מה שנחמד, זה שהספאמר עוזר לנו על ידי פרסום של רשימת הלקוחות הספאמרים שלו.
אז אם בטעות בא לכם לקנות משהו מאחת החברות ברשימה, אל.

הפתרון לספאם?

הפתרון האולטימטיבי לספאם?
דמיינו את הדבר הבא:
תוסף לדפדפן שיגיד לכם אם האתר שבו אתם גולשים כרגע פרסם בספאם בשנה האחרונה.
הייתם קונים מאתר כזה?
מה לדעתכם קיום של תוסף כזה יעשה לספאם בעולם?

סרב ישראל

לפני כשבוע בוט ספאם פרסם באתר של FireStats פרסומות לסרב ישראל, בעקבות זאת האשמתי את בעלי האתר בפרסום בספאם.
טל זלצברג, מנהל סרב ישראל – מתנער מהספאם וטוען שמישהו מתחזה אליו ומפרסם בשמו הודעות ספאם (למה?).
אני לא בטוח שאני מאמין לזה, אבל מחמת הספק אני מושך את ההאשמה שלי שסרב ישראל מפרסמים בספאם.
במקביל, אני מעביר את כתובת הIP לטל, שיתלונן במשטרה על התחזות.

זה לא ספאם!

בפעם השמינית שקיבלתי את האימייל הזה החלטתי לחזור לסורי ולהתנקם.

Visit our site, we have advises about Psoriasis,
Forum for russianspeaking patients with commynity.
http://psor.cod.ee/

This is not a Spam. We take your email adress from open source!

אז שלחתי את זה 50 פעם, נקווה שזה יעביר את הנקודה:

I keep getting spam from your site (cod.ee) that claim not to be spam at all
because it was taken from "open source":

"Visit our site, we have advises about Psoriasis,
Forum for russianspeaking patients with commynity.
http://psor.cod.ee/

This is not a Spam. We take your email adress from open source!"

Now, this is complete bulshit, what you are doing is sending me spam, and I
don't like it.
for this reason, I am sending you this message 50 times.
if I will continue getting spam from your site I will send you this message
10000 times, and I am NOT kidding.

btw:
This is not spam, I took your email from whois database!

הבוטים פשטו עם שחר

עוד מישהו שם לב שכבר שבוע יש מתקפה של בוטים אוויליים שמכניסים בתור מפנה (Referrer) כתובת מזוייפת של גוגל-תמונות?
נראה כאילו מדובר ברשת בוטים גדולה מאוד, כי כמעט ואין חזרה של כתובות IP.
מסריח ברמות.
החארות מזהמים לי את הטבלאות של FireStats.