ÚToky na webové stránky USA a Koreje Nechte navíjecí trasu

Šetření útoků proti vysoce profilovaným webovým stránkám v Jižní Koreji a USA je vloupavý, zkroucený elektronický husí chase, který nemusí vést k definitivnímu závěru o totožnosti Útočníci.

Odborníci v oblasti počítačové bezpečnosti nesouhlasí s úrovní dovedností útoků DDOS (distribuované odmítnutí služby), které v průběhu několika dnů na začátku července způsobily problémy pro některé z cílených webů, včetně Jihokorejské banky, americké vládní agentury a mediální prodejny.

Útok DDOS byl proveden botnetem nebo skupinou počítačů infikovaných škodlivým softwarem ovládaným hackerem. Ten malware byl naprogramován tak, aby zaútočil na webové stránky tím, že je bombardoval se žádostmi o stránky, které daleko překračují běžnou návštěvnost. Výsledkem je, že některé slabší servery se vzpamatovaly.

[Další informace: Jak odstranit malware z vašeho počítače se systémem Windows]

Zatímco existují stovky útoků DDOS, které se vyskytují každý den,. Za prvé to bylo provedeno pomocí botnet až do odhadovaných 180 000 počítačů, které byly téměř zcela umístěny v Jižní Koreji. "" Je velmi vzácné vidět botnet této velikosti tak lokalizovaný, "řekl Steven Adair z The Shadowserver Foundation, skupina pro sledování počítačové kriminality. "Velkoformátové botnety obvykle vyžadují čas na to, aby se zranili a útočníci vynakládali velké množství úsilí."

A základní otázky se zdají být nezodpovězené, jako například to, jak útočníci byli schopni infikovat tak velký počet počítačů v Jižní Koreji se specifickým kódem, který přiměl počítače k ​​útoku na seznam webových stránek.

Šetření má geopolitické důsledky. Národní zpravodajská služba Jižní Koreje údajně řekl minulý měsíc zákonodárcům země, že podezřívá, že se Severní Korea účastní. Navzdory žádným definitivním veřejným důkazům, které by spojily Severní Koreu s útoky DDOS, je to tvrdé jednání země, které je obviňováno z dobrých vztahů s USA a Jižní Koreou.

Zdá se, že botnet, který je nyní neaktivní, - postavil se na útoky. Mnohokrát lidé, kteří chtějí klepat na webový server offline, si půjčí čas na botnetu od svého administrátora, známého jako botnetka, a platí malý poplatek za jeden stroj, například $.20. Botnety mohou být také použity pro internetovou aktivitu, jako je odesílání spamu.

Analytici vědí, že počítače obsahující botnet byly nakaženy variantou MyDoom, což je část škodlivého softwaru, která se po opakovaném odeslání do jiných počítačů napadl počítač. MyDoom debutoval s ničivými důsledky v roce 2004 a stal se nejrychleji se šířícím e-mailovým červem v historii. Nyní je běžně čistí z počítačů, ve kterých je spuštěn antivirový software, ačkoli mnoho počítačů nemá takový ochranný software nainstalovaný.

Kód MyDoom byl nazván amatérským, ale nicméně byl účinný. Struktura příkazů a řízení pro doručování pokynů počítačům nakaženým MyDoom použila osm hlavních serverů, které byly rozptýleny po celém světě. Ale tam byla také labyrinthická skupina podřízených velitelských a řídících serverů, které snižovaly trasování.

"Je těžké najít skutečného útočníka," řekl Sang-keun Jang, virusový analytik a bezpečnostní inženýr s bezpečnostním společnost Hauri, se sídlem v Soulu.

Adresy IP (Internet Protocol) - které mohou nejvíce identifikovat přibližně to, kde je počítač připojen k síti, ale nikoliv jeho přesné umístění nebo kdo provozuje počítač - pouze vyšetřovatelům mnoho informací pokračovat. Otevřené hotspoty Wi-Fi mohou dovolit útočníkovi často měnit IP adresy, říká Scott Borg, ředitel a hlavní ekonom z US Cyber ​​Consequences Unit, neziskového výzkumného ústavu.

"Anonymní útoky budou skutečnou skutečností," řekl Borg. "Pokud to nedokážete rychle a důvěrně přičíst, pak většina strategií založených na zastrašování již není životaschopná. Je tu velká revoluce, která již probíhá a musí být provedena v našem obranném myšlení."

Pro Jižní Koreu - USA Útoky DDOS, jedna bezpečnostní společnost přistupuje ke sledování těchto peněz. Mnoho útoků DDOS je skutečně placenými transakcemi a tam, kde jsou peníze, existuje nějaká stopa.

"Chystáte-li se po IP adresách, není to opravdu užitečné," řekl Max Becker, ředitel společnosti Ultrascan Knowledge Process Outsourcing, Ultrascan. "To, co se snažíme udělat, je jít za lidmi, kteří si zřídili a platili za tyto útoky."

Ultrascan má síť informátorů, kteří jsou v Asii uzavřeni organizovanými zločineckými gangy, z nichž mnohé jsou zapojeny do počítačové kriminality, uvedl Frank Engelsman, výzkumný pracovník společnosti Ultrascan se sídlem v Nizozemsku. Jednou otázkou je, zda by se dalo prokázat, že Severokorejská armáda zaplatila zločineckou skupinu, aby provedla útoky, řekl Engelsman.

To by mohlo vyžadovat hodně vyšetřovací práce.

Cyber-criminálové se chystají, jako například v loňském roce, když vědci odkryli globální špionážní síť nazvanou "GhostNet", která infikovala počítače patřící tibetským nevládním organizacím, soukromou kancelář dalajlamy a velvyslanectví více než tucet zemí. Vyhledávání Google provedené výzkumným pracovníkem Nart Villeneuve ukázalo některé z nejzneužitelnějších důkazů - nešifrovaný server indexovaný vyhledávačem.

Od pravopisných chyb, přes e-mailové adresy až po chyby v kódování, útočníci mohou nechat stopy, které by mohly změnit "Víte, kde jsou pravděpodobné chyby," řekl Steve Santorelli, ředitel globálního informačního týmu společnosti Cymru, neziskové výzkumné společnosti pro bezpečnost internetu. "Můžete rychle otočit pravé skály."

A Santorelli dodal: "Google nic nezapomene."