هنوز جزییات دقیقی دباره حمله بزرگ اینترنتی روز جمعه که تعدادی از سایتهای بزرگ مانند توییتر، نتفلیکس و Airbnb را از کار انداخت در دست نیست و گمانهزنیها ادامه دارد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، روز جمعه یک حمله اینترنتی به شرکتی نهچندان نامآشنا در آمریکا باعث شد که بخش قابلتوجهی از سرویسهای اینترنتی از کار بیفتد. هنوز جزییات کامل این رویداد مشخص نیست و هر رسانه جست و گریخته بخشهایی از تاثیرات و واکنشهای این حمله بزرگ اینترنتی را منتشر کردهاست و اطلاعات دقیق درباره این رخداد کمکم درحال انتشار است.
حمله به شرکت DYN
این حمله اختصاصا شرکت DYN را هدف گرفتهبود. این شرکت واقع در نیوهمشایر آمریکا و ارائهدهنده خدماتی در زمینه سیستم دامنههای اینترنتی به تعداد قابلتوجهی از مشهورترین شرکتهای اینترنتی است. سیستم دامنههای اینترنتی که به اختصار DNS نامیده میشود، یک بخش کلیدی از ساختار اینترنت است و به آن دفترچه تلفن یا GPS اینترنت هم میگویند، چراکه مرورگرهای اینترنتی از طریق DNS آدرس وبسایتها را روی اینترنت پیدا میکنند. وقتی یک دامنه اینترنتی مانند twitter.com را در مرورگر خود تایپ میکنید، میدانید که میخواهید وارد این وبسایت شوید، اما کامپیوتر شما زمانی میتواند این آدرس را برای شما فراخوانی کند که این آدرس به یک مجموعه عدد تبدیل شود که به آن آدرسهای آیپی میگویند. در واقع DNS، تکنولوژی ترجمه آدرسهای اینترنتی به آدرسهای آیپی است.
یک سرویس مشخص مانند توییتر تنها روی یک سرور خاص میزبانی یا هاست نمیشود. در واقع دیتا و اطلاعات این سرویس روی سرورهای مختلف در نقاط مختلف جهان قرار میگیرد. به همین دلیل مثلا کاربرانی در نیویورک در هنگام دیدن توییتر به نزدیکترین سروری که اطلاعات توییتر در آن میزبانی شده هدایت میشوند و کاربرانی در چین یا ژاپن هم به همین ترتیب به سروری در داخل کشور خود یا در نزدیکترین کشوری که توییتر در آن هاست شدهاست. شرکتهایی مثل DYN اطلاعات میزبانی همه سایتها را دارند و به همین دلیل وقتی درخواستی از سمت کامپیوتر کاربر دریافت میکنند، نزدیکترین سروری را که اطلاعات موردنظر کاربر در آن قرار دارد به او معرفی میکنند. همه این فرآیند در کمتر از یک ثانیه صورت میگیرد به همین دلیل اساسا کاربران عادی متوجه این چنین ساختاری در پشت قضیه تایپ کردن آدرس اینترنتی نمیشوند.
حمله به شرکتی مثل DYN باعث میشود که این شرکت نتواند به تقاضای کاربران عادی برای یافتن سرور شرکت مورد درخواست پاسخ دهد چراکه درحال سروکله زدن با میلیونها و حتی میلیاردها درخواست نامربوط و غیرواقعی است که جلوی فعالیت درست آن را گرفته است. طی سالهای اخیر این مدل از حملات اینترنتی مرسومترین بوده، چون بدون اینکه هکرها به شرکت اصلی حمله کنند (که احتمالا از ضریب امنیتی بالایی برخوردار است و برای مقابله با حملات مرسوم آمادهاست) به شرکتی که خدمات DNS میدهد، حمله میکنند. نتیجه هر دو تقریبا یکی است: دسترسی به سایت شرکت مزبور غیرممکن میشود. استیو گروبمن، مدیر بخش تکنولوژی اینتل، این نوع حمله را به گمکردن آدرس GPS تشبیه میکند: «وقتی سیستم GPS که مشتری را به شما میرساند خراب شود و راهی برای مسیریابی وجود نداشتهباشد دیگر مهم نیست که فروشگاهتان در جایی باز باشد یا بسته چون بههرحال کسی آن را پیدا نخواهدکرد.»
این حمله چه کرد؟
در این موضوع که جمعه اتفاق افتاد هم حملهکنندگان از تکنیکی به نام DDos علیه شرکت DYN استفادهکردند. این تکنیک مشابه آنچه گفته شد شرکت ارائهدهنده خدمات DNS را از کار انداخت و همین باعث شد که توییتر و شرکتهای دیگر از دسترس خارج شوند. حمله DDos که حالا به شکل وسیعی در حملات اینترنتی مورد استفاده قرار میگیرد ارسال نرمافزارهای مخرب (که باتنت نامیده میشود) در حجم بسیار وسیع به یک سرور مانند سرور DNS است. یکی از تکنیکهای اجرای این حمله ارسال باتنتها از سراسر جهان است. به همین دلیل امکان فیلتر کردن آنها را در مدتزمان کوتاه بسیار دشوار میکند. شرکت DYN هماکنون درحال امنتر کردن سرویسهایش بهدنبال این حمله است اما متخصصان امنیتی در شرکت Flashpoint میگویند که نشانههای مشترکی بین این حمله و حملات بزرگ قبلی دیده شدهاست. این موضوع زنگخطر را بهخصوص برای توسعه اینترنت اشیا بهصدا درآوردهاست، چراکه با چنین حملاتی هر نوع دستگاهی میتواند از طریق باتنتها مورد حمله قرار گیرد.
این حمله چطور رخ داد؟
در ماه سپتامبر وبسایت امنیتی KrebsOnSecurity بهدنبال یکی از حملات گسترده DDos از کار افتاد. باتنتی که در پشت این حمله مورد استفاده قرار گرفتهبود یکی از شناختهشدهترین انواع باتنت به نام Mirai بود. این باتنت، اینترنت را برای یافتن دستگاههای که در IoT با تنظیمات پیشفرض مورد استفاده قرار میدهند، جستوجو میکند. در واقع صاحبان این دستگاهها که احتمالا پسوردهای اولیه را بعد از استفاده تغییر ندادهاند بهطور ناخواسته در چنین حملهای مشارکت داشتهاند. در واقع تعداد قابل توجهی از این دستگاهها ترافیک عظیمی را ایجاد میکنند که برای هر سایت و سروری خطرناک است. Mirai به همراه یکی دیگر از باتنتهای مشابه حالا در کنار هم قدرتی شامل ارتشی از باتنتها ایجاد کردهاند و به گفته برایان کربس از شرکت امنیتی KrebsOnSecurity در جریان حمله اخیر به DYN هم شاهد استفاده از همین باتنت هستیم. یک ماه قبل از این حمله هکرهایی که به شرکت KrebsOnSecurity حمله کردهبودند کد منبع مورد استفاده خود در آن حمله را در فروم عمومی Hackforums قرار دادند که احتمالا همان باعث شد هکرهایی که روز جمعه به DYN حمله کردند از این تکنیک بهره بگیرند.
شرکت امنیتی Flashpoint هم تایید کرد که در حمله علیه DYN از همین زیرساخت Mirai استفاده کرده و این شرکت گفته که تعداد زیادی از دوربینهای ضبط ویدئویی متصل به اینترنت در میان دیگر دستگاههای مورد استفاده در این حمله قرار داشتهاند. به بیان سادهتر باتنتها در این دستگاهها نفوذ کرده و از آنجا به سرور شرکت DYN حمله کردهاند به این ترتیب در عمل بسیاری از مردم و صاحبان این دستگاهها بدون آنکه بدانند در این حمله دخالت داشتهاند. با انتشار این کد منبع حالا انتظار میرود بسیاری از گروههای دیگر هم در سازماندهی حملات اینترنتی اینچنینی تجربه دارند بتوانند حملات مشابهی را بهکارگیرند.
حالا اینترنت اشیا که از آن بهعنوان دریچهای به آینده اینترنت یاد میشود به یکی از بزرگترین خطرهای اینترنت هم تبدیل شده است. انبوهی از دستگاههای متصل به اینترنت به شکلی زامبیگونه میتوانند در حملات عظیمی شرکت کنند که زیرساختهای اینترنت را تحتتاثیر قرار میدهد.
نکته قابلتوجه اینکه بهدلیل ماهیت این حمله بهسختی بتوان این حمله را به یک نقطه مشخص در جهان نسبت داد. تبهکاران اینترنتی که پشت این حملات قرار دارند میتوانند در هر نقطهای باشند و موضوع خطرناک این است که این اسلحه خطرناک اکنون در اختیار همه قرار گرفتهاست. بسیاری از کاربران عادی باید بدانند دستگاههایی را که خریداری میکنند به فرض استفاده از رمزهای عبور پیشفرض در اختیار هکرها قرار گیرد. هکرها چندی قبل اطلاعات صدهاهزار وبکم و دوربین ویدئویی را در سراسر جهان منتشر کردهبودند که تصاویر صاحبان آنها بدون اینکه بدانند و بهدلیل استفاده از رمزهای عبور پیشفرض روی اینترنت پخش شد. موضوع این است که بسیاری از این دستگاهها که امروزه در خانه همه ما وجود دارد تنها یکبار تنظیم شده و صاحبان آنها اساسا فراموششان کردهاند. بسیاری از این دستگاهها اساسا آنتیویروس ندارند و به همین دلیل نمیتوان متوجه شد که روی آنها اصلا باتنتی وجود دارد یا نه.
نکته ترسناکتر اینکه این تازه نقطه آغازی بر این نوع حملات است حالا هرقدر تعداد دستگاههای بیشتری به اینترنت متصل شوند تعداد دستگاههای زامبیشده (آلوده به بدافزار و باتنت) بیشتری نیز در اختیار هکرها قرار دارد. دستگاههای بیشتر حملات مخربتری را به بار میآورند.