CIA, PayPal under bizarre SSL assault
Dan Goodin, The Register 2010-02-01
Theo: http://www.securityfocus.com/news/11572
Bài được đưa lên Internet ngày: 01/02/2010
Lời người dịch: Những cuộc tấn công giống như DDoS được thực hiện gần đây vào một loạt các site của Mỹ mà các chuyên gia an ninh còn chưa rõ nguyên nhân có thể bắt nguồn từ một botnet có tên là Pushdo.
Cơ quan Tình báo Trung ương Mỹ (CIA), PayPal, và hàng trăm các cơ quan khác chịu một cuộc tấn công không giải thích được mà nó đang dội bom các website của họ với hàng triệu yêu cầu tăng cường tính toán.
Cơn lũ “khổng lồ” các yêu cầu này được thực hiện thông qua SSL của các website, hoặc tầng khe cắm an ninh (secure socket layer), cổng, làm cho chúng phải tiêu thụ nhiều tài nguyên hơn các kết nối bình thường, theo các nhà nghiên cứu tại Quỹ Shadowserver, một tổ hợp an ninh tự nguyện. Cơn lũ này đã bắt đầu khoảng 1 tuần trước và dường như là sẽ được gây ra bởi những thay đổi gần đây được thực hiện đối với một botnet có tên là Pushdo.
“Ý tôi muốn nói chữ Khổng lồ có nghĩa gì nhỉ? Tôi ám chỉ bạn hình như đang thấy một sự gia tăng không mong đợi trong giao thông của vài triệu yêu cầu lan truyền khắp vài trăm ngàn địa chỉ IP”, Steven Adair của Shadowserver đã viết. “Điều này có thể sẽ là một vụ lớn nếu bạn chỉ quen có một vài trăm hoặc vài ngàn yêu cầu mỗi ngày hoặc bạn không có băng thông vô hạn định”.
Shadowserver đã xác định 315 website mà là những người nhận được cuộc tấn công SSL này. Để bổ sung vào với cia.gov và paypal.com, các site khác bao gồm yahoo.com, americanexpress.com, và sans.org.
Còn chưa rõ vì sao Pushdo đã phát lộ dòng nước siết này. Các máy tính bị lây nhiễm dường như khởi tạo các kết nối SSL, cùng với một chút thuốc mê, bỏ kết nối và sau đó tiếp tục chu kỳ này. Chúng không yêu cầu bất kỳ tài nguyên nào từ website hoặc làm bất kỳ thứ gì khác.
“Chúng tôi thấy nó khó tin hoạt động này lại có thể được sử dụng nhiều để làm cho các bot trộn với giao thông thông thường, nhưng cùng một lúc nó hoàn toàn không giống một cuộc tấn công từ chối dịch vụ DdoS”, Adair đã viết.
Các chuyên gia về an ninh còn chưa chắc được những site mục tiêu nào có thể thực hiện các cuộc tấn công phá hoại này. Việc thay đổi các địa chỉ IP có thể đưa ra một sự đình trệ tạm thời. Adair yêu cầu những người với những kỹ thuật làm giảm nhẹ tốt hơn để liên hệ với ông. Tư vấn của Shadowserver ở đây.
The Central Intelligence Agency, PayPal, and hundreds of other organizations are under an unexplained assault that's bombarding their websites with millions of compute-intensive requests.
The "massive" flood of requests is made over the websites' SSL, or secure-sockets layer, port, causing them to consume more resources than normal connections, according to researchers at Shadowserver Foundation, a volunteer security collective. The torrent started about a week ago and appears to be caused by recent changes made to a botnet known as Pushdo.
"What do I mean by massive? I mean you are likely seeing an unexpected increase in traffic by several million hits spread out across several hundred thousand IP addresses," Shadowserver' Steven Adair wrote. "This might be a big deal if you're used to only getting a few hundred or thousands of hits a day or you don't have unlimited bandwidth."
Shadowserver has identified 315 websites that are the recipients of the SSL assault. In addition to cia.gov and paypal.com, other sites include yahoo.com, americanexpress.com, and sans.org.
It's not clear why Pushdo has unleashed the torrent. Infected PCs appear to initiate the SSL connections, along with a bit of junk, disconnect and then repeat the cycle. They don't request any resources from the website or do anything else.
"We find it hard to believe this much activity would be used to make the bots blend in with normal traffic, but at the same time it doesn't quite look like a DDoS either," Adair wrote.
Security mavens aren't sure what targeted sites can do to thwart the attacks. Changing IP addresses may provide a temporary reprieve. Adair asks those with better mitigation techniques to contact him. The Shadowserver advisory is here.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.