CIA, PayPal bị tấn công SSL một cách kỳ lạ

CIA,PayPal under bizarre SSL assault

Dan Goodin, The Register2010-02-01

Theo:http://www.securityfocus.com/news/11572

Bài được đưa lênInternet ngày: 01/02/2010

Lờingười dịch: Những cuộc tấn công giống như DDoS đượcthực hiện gần đây vào một loạt các site của Mỹ màcác chuyên gia an ninh còn chưa rõ nguyên nhân có thể bắtnguồn từ một botnet có tên là Pushdo.

Cơ quan Tình báo Trungương Mỹ (CIA), PayPal, và hàng trăm các cơ quan khác chịumột cuộc tấn công không giải thích được mà nó đangdội bom các website của họ với hàng triệu yêu cầu tăngcường tính toán.

Cơn lũ “khổng lồ”các yêu cầu này được thực hiện thông qua SSL của cácwebsite, hoặc tầng khe cắm an ninh (secure socket layer), cổng,làm cho chúng phải tiêu thụ nhiều tài nguyên hơn các kếtnối bình thường, theo các nhà nghiên cứu tại QuỹShadowserver, một tổ hợp an ninh tự nguyện. Cơn lũ nàyđã bắt đầu khoảng 1 tuần trước và dường như là sẽđược gây ra bởi những thay đổi gần đây được thựchiện đối với một botnet có tên là Pushdo.

“Ý tôi muốn nóichữ Khổng lồ có nghĩa gì nhỉ? Tôi ám chỉ bạn hìnhnhư đang thấy một sự gia tăng không mong đợi trong giaothông của vài triệu yêu cầu lan truyền khắp vài trămngàn địa chỉ IP”, Steven Adair của Shadowserver đã viết.“Điều này có thể sẽ là một vụ lớn nếu bạn chỉquen có một vài trăm hoặc vài ngàn yêu cầu mỗi ngàyhoặc bạn không có băng thông vô hạn định”.

Shadowserver đã xácđịnh 315 website mà là những người nhận được cuộctấn công SSL này. Để bổ sung vào với cia.gov vàpaypal.com, các site khác bao gồm yahoo.com, americanexpress.com,và sans.org.

Còn chưa rõ vì saoPushdo đã phát lộ dòng nước siết này. Các máy tính bịlây nhiễm dường như khởi tạo các kết nối SSL, cùngvới một chút thuốc mê, bỏ kết nối và sau đó tiếptục chu kỳ này. Chúng không yêu cầu bất kỳ tài nguyênnào từ website hoặc làm bất kỳ thứ gì khác.

“Chúng tôi thấy nókhó tin hoạt động này lại có thể được sử dụngnhiều để làm cho các bot trộn với giao thông thôngthường, nhưng cùng một lúc nó hoàn toàn không giống mộtcuộc tấn công từ chối dịch vụ DdoS”, Adair đã viết.

Các chuyên gia về anninh còn chưa chắc được những site mục tiêu nào có thểthực hiện các cuộc tấn công phá hoại này. Việc thayđổi các địa chỉ IP có thể đưa ra một sự đình trệtạm thời. Adair yêu cầu những người với những kỹthuật làm giảm nhẹ tốt hơn để liên hệ với ông. Tưvấn của Shadowserver ởđây.

TheCentral Intelligence Agency, PayPal, and hundreds of otherorganizations are under an unexplained assault that's bombardingtheir websites with millions of compute-intensive requests.

The"massive" flood of requests is made over the websites' SSL,or secure-sockets layer, port, causing them to consume more resourcesthan normal connections, according to researchers at ShadowserverFoundation, a volunteer security collective. The torrent startedabout a week ago and appears to be caused by recent changes made to abotnet knownas Pushdo.

"Whatdo I mean by massive? I mean you are likely seeing an unexpectedincrease in traffic by several million hits spread out across severalhundred thousand IP addresses," Shadowserver' Steven Adairwrote. "This might be a big deal if you're used to only gettinga few hundred or thousands of hits a day or you don't have unlimitedbandwidth."

Shadowserverhas identified 315 websites that are the recipients of the SSLassault. In addition to cia.gov and paypal.com, other sites includeyahoo.com, americanexpress.com, and sans.org.

It'snot clear why Pushdo has unleashed the torrent. Infected PCs appearto initiate the SSL connections, along with a bit of junk, disconnectand then repeat the cycle. They don't request any resources f-rom thewebsite or do anything else.

"Wefind it hard to believe this much activity would be used to make thebots blend in with normal traffic, but at the same time it doesn'tquite look like a DDoS either," Adair wrote.

Securitymavens aren't sure what targeted sites can do to thwart the attacks.Changing IP addresses may provide a temporary reprieve. Adair asksthose with better mitigation techniques to contacthim. The Shadowserver advisory is here.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com