حمله بزرگ به اينترنت و نقص در SQL
نام نویسنده: شهرام شريف
بخش خبر ITiran – ديروز صبح(شنبه) وقتى کاربران ايرانى وارد اينترنت شدند تا به سايت هاى متعدد دسترسى پيدا کنند متوجه بروز نقصى در اين سايت ها شدند. بسيارى از آن ها اين نقص را به حساب مشکلات تقريباهميشگى سرورهاى ايرانى گذاشتند. اين نقص که دسترسى به آن سايت ها را دشوار و در زمانهايى نيز غير ممکن کرده بود حتى بعضى ها را به اين فکر انداخت که شايد يک حمله گسترده عليه سايت هاى ايرانى انجام گرفته است ، اما تماسهاى متعدد با طرف هاى خارجى بلافاصله مشخص کرد که اين بار امن ترين سرورهاى خارجى هم در امان نبوده اند.
به گزارش خبرنگار ITiran از صبح امروز نبود دسترسى به بسيارى از سايت هاى ايرانى از جمله خبرگزارى دانشجويان و آى تى ايران و همچنين بروز مشکلاتى براى ISP هاى ايرانى و سرورهايى حتى در مراکز دولتى و دانشگاهى گزارش شده بود اما تا بعداظهر سايت هاى خبرى از بروز نقص در اينترنت سخنى به ميان نياورده بودند. اين نقص که در نوع خود بسيار عجيب و بى سابقه به نظر مى رسيد آنچنان فضاى اينترنتى کشور را تحت تاثير قرار داده بود که حتى در ساعاتى تماس از طريق نرم افزارهاى پيغام بر نيز ممکن نبود.
پس از چند ساعت بررسى مسئولان برخى از ISP ها و سرورهاى داخلى متوجه شدند که پهناى باند اغلب آن ها به شکلى غير منتظره اشغال شده است. اين اشغالى پهناى باند در نگاه اول آنچنان پيچيده و غير معمول به نظر مى آمد که بسيارى از ISP ها ترجيح دادند که دستگاه هاى خود را خاموش کنند تا از خطرات احتمالى و همچنين هزينه اشغال پهناى باند اافى در امان باشند.
شريفى يکى از مسئولان شرکت تينا اينترنت مى گويد: هر قدر جست و جو مى کرديم متوجه نمى شديم. در حالى که به شدت پهناى باند ما اشغال شده بود. با مخابرات تماس گرفتيم آن ها گفتند که يکى از مشتريان شما packet هاى ناخواسته و غير مهم را ارسال مى کند وقتى گفتيم حداقل IP آن را بگوييد تا آن را مسدود کنيم گفتند آنقدر IP ديده مى شود که معلوم نيست IP حقيقى کدام است. مجبور شديم سرورمان را خاموش کنيم و با دقت به دنبال نقص بگرديم.
با اين حال مسئولان شرکت تينا اينترنت تنها نبودند ، در بسيارى از ISP هاى تهران شنبه روز سختى بود و اين موضوع حتى به نهادهاى دولتى و سازمان هاى بزرگ نيز سرايت کرده بود.
اخبار ضد و نقيض نيز از هر طرف به گوش مى رسيد هر قدر برخى اطمينان مى دادند که يکى از ISP هاى آمريکايى مشغول تعويض تجهيزات خود است و اين موضوع از قبل به اطلاع همه رسيده است اما برخى نيز به اطلاعات داخلى متکى نبودند و به دنبال اخبارموثق ترى در اين باره مى گشتند.
اميد حسينى يکى از متخصصان فناورى اطلاعات ظهر امروز در اين باره براى ما نوشت:
امروز صبح (شنبه)حدود ساعت 10:00 متوجه شدم که بعضى سايتهاى ايرانى از جمله www.itiran.com و جندين سايت ديگر اصلا جواب نميدهند . ابتدا فکر کردم شايد مشکل از Host باشه که پس از مدتى ديدم اين مشکل بدتر ز چيزى است که فکر ميکردم . بلافاصله شروع به مسير يابى کردم و ديدم که Link Bakbon از Holand که يکى از اصلى ترين Backbon هاى اينترنت است مشکل داره و دايم Loop ميکند .جالبتر اينکه در مسيريابى نام روترى را ديدم که تا به حال به چشم نخورده بود:oct.nac.net فکر کنم مشکلى در روى Backbon باشه به هر حال اميدوارم به زودى مشکل برطرف بشه !
با اين حال تا بعداظهر که برخى از متخصصان متوجه وجود نقص در نرم افزار sql شرکت مايکروسافت شدند اين سردرگمى ها ادامه داشت و تازه در اين زمان بود که همه به سمت نصب آخرين نسخه اصلاحيه مايکروسافت service path 3 که بيش از 50 مگابايت حجم دارد، روى آوردند و اين حلال مشکلات بود.
شريفى در اين باره مى گويد: تحقيقات ما نشان داد که اين يک حمله اينترنتى با استفاده از نقص SQLاست مايکروسافت اين نقص را 6 ماه قبل اطلاع داده بود اما نسخه سرويس پک 3 را دو روز قبل روى سايت خود قرار داده بود به همين دليل بسيارى از سرورها اين نرم افزار را نصب نکرده بودند. همين نقص باعث بروز اين مشکل شد. او مى گويد: تا قبل از اين نقص هاى زيادى روى نرم افزارهاى مختلف موجب چنين حملاتى (البته نه در اين وسعت درکشور ما) شده بود اما اين بار گويا نوبت SQL بود که دستاويز قرارگيرد.
با اين وجود تا امروز بعداظهر که سرانجام سايت CNN و ياهو اخبارى را به نقل از سيمانتک و رويتر در باره اين حمله بزرگ اينترنتى منتشر کردند،صحبت کردن از اين موضوع کمى عجيب و غريب مى رسيد.
رويتر در گزارش خود نوشته است: روز شنبه يک ويروس کامپيوترى با آلوده کردن سرورهاى متعددى باعث کند شدن ترافيک اينترنتى درتمام جهان شده است. بيشترين مشکل در کشور کره جنوبى گزارش شده و حدس زده مى شود که منشا اين خرابکارى اين کشور باشد.
به نوشته رويتر نام ويروس sapphire يا sql slammer و قابليت اين را دارد که خود به خود زياد شده در طول وب منتشر شود.
ميزان ترافيک اينترنتى در 24 ساعت گذشته (به نقل از www.internettrafficreport.com )
مدير بخش تحقيقات شرکت کامپيوترى Mikko Hypponen مى گويد:
اين ويروس باعث ترافيک زيادى مى شود که کل شبکه را تحت تاثير قرار دهد البته کاربرهاى نهايى چيز خاصى را نمى بينند تنها کند شدن اينترنت را درک مى کنند.
به گفته وى اين ويروس از يک نقص قديمى که 6 ماه قبل در sql server پيدا شده سود مى برد.اين ويروس خيلى شبيه codred (ويروسى که در ژولاى 2001 منتتشر شد و خرابى هاى بسياى به بار آورد) است اما خطر آن کمترگزارش شده است.
به گفته متخصصان امنيتى تمام سرويس اينترنتى در کشور کره دچار مشکل شده البته دامنه گسترش اين ويروس به ژاپن و اروپا و ايالات متحهده هم گسترش پيدا کرده است.مثلا در واشينگتن سخنگوى fbi نيز اعلام کرد که از وجود يک کرم ناشناخت در اينترنت اطلاع يافته است. اما نمى تواند فعلا نوع آن را مشخص کند.
او هم تاييد کرده بود که اين کرم مى تواند سرورهاى کامپيوترى که از نرم افزار Microsoft Windows 2000 – SQL استفاد مى کند را دچار اختلال کند.
اين کرم درخواست متعددى را براى آدرس هاى IP ديگر مى فرستد تا سرورهاى آسيب پذير ديگرى را نيز پيدا کند در نتيجه اين عمل ترافيکى روى شبکه ها ى خدمات دهنده اينترنت به وجود مى آيد که حتى مى تواند به خاموش شدن سرورها بينجامد.
به نوشته رويتر حتى ممکن است بعضى از وب سايت ها در روزهاى آينده نيز در اثر اين کرم اينترنتى متوقف شود.
با وجودى که اين کرم روى کاربران انتهايى تاثير چندانى ندارد اما بسيارى از کاربران در سراسر جهان کند شدن اينترنت را حس کردند. کاربرانى در آمريکا و انگلستان در روى message board ها پيغام هايى منتشر کردند و از کندى ترافيک اينترنتى شکايت کردند.
اما بزرگترين مشکل در کره جنوبى گزارش شد که بعد اظهرشنبه تمامى سرويس هاى اينترنتى در اين کشور به مدت چند ساعت از کار افتاد. منابع خبرى خاطرنشان مى کنند که پليس تحقيقات خود را در اين زمينه آغاز کرده است .
اين اولين بارى است که کره جنوبى با چنين مشکلى با اين وسعت روبه رو مى شود و البته در اين کشور 70 درصد خانه ها به اينترنت دسترسى دارند و هکر ها بسيار فعال هستند. به نوشته خبرگزارى yanhap هکرها مسئول اين حمله گسترده بوده اند.
در اين کشور همه سرويس هاى پرسرعت اينترنت که از سرور KT استفاده مى کنند نيز از اين مشکل در امان نبوده اند.
يک شرکت انگليسى ضد ويروس به نام sophos نيزگزارش داده که اولين گزارش هاى آلودگى از آسيا بود است البته گروهى اروپايى ها هم با اين شرکت تماس گرفتند و اين مشکل در سرعت اينترنت را متذکر شده بودند.
با اين مشکلاتى که از بابت اين سرور نصيب برخى کشورها شد در قلب اينترنت و در آمريکا انگار نه انگار که اتفاقى افتاده است. سرويس هاى ياهو امروز صبح به همان سرعت هميشگى کار مى کردند و حتى شرکت AOL بزرگترين ISP دنيا اعلام کرده که کوچکترن آسيبى از اين حمله نديده است.
همچنين cnn نيز به نقل از شرکت سيمانتک نوشته است اين کرم بيشتر کاربران تجارى را تحت تاثير قرار مى دهد تا کاربران خانگي.
bbc هم در اين باره گزارش مى دهد:در کشورهاى تايلند، ژاپن، مالزى، فيليپين و هند نيز اينترنت با کندى مواجه بود.
اين شبه ويروس به رايانه سرويس دهنده (سرور) القا مى کند که دايما با ترافيک زياد رو به روست، در حالى که چنين نيست. برعکس ويروس هاى معمولى، اين کرم رايانه اى تنها در حافظه است و به همين دليل نمى تواند توسط ويروس ياب هاى معمولى شناسايى شود.
به گفته بى بى سى در حمله روز شنبه، دست کم پنج مرکز (هاب) از 13 هاب عمده اينترنت هدف قرار گرفتند.
مشاور جرج بوش، رييس جمهور آمريکا در امور امنيت اينترنتى گفته است که اين حمله ويروسى اکنون تحت کنترل است
اینها چقدر معتبرن؟ یعنی از کجا میشه فهمید دقیقا همین چیزی که می گن صحیح هست یا نه >