حمله گسترده ویروسی روز شنبه 5 بهمن ماه
مطلب ذیل توسط یکی از بینندگان سایت تبیان در اختیار ما قرار گرفته است . ضمن تشکر از این بیننده گرامی که نام خود را در ذیل مطلب خود ذکر نکرده بودند ، مطلب ارسالی ایشان را جهت اطلاع سایر کاربران محترم سایت تبیان ارائه می نماییم .
صبح روز شنبه 5 بهمن ماه ، وقتی کاربران ایرانی وارد اینترنت شدند تا به سایت های متعدد دسترسی پیدا کنند متوجه بروز نقصی در این سایت ها شدند. بسیاری از آن ها این نقص را به حساب مشکلات تقریباهمیشگی سرورهای ایرانی گذاشتند. این نقص که دسترسی به آن سایت ها را دشوار و در زمانهایی نیز غیر ممکن کرده بود حتی بعضی ها را به این فکر انداخت که شاید یک حمله گسترده علیه سایت های ایرانی انجام گرفته است ، اما تماسهای متعدد با طرف های خارجی بلافاصله مشخص کرد که این بار امن ترین سرورهای خارجی هم در امان نبوده اند. همچنین عدم دسترسی به بسیاری از سایت های ایرانی از جمله خبرگزاری دانشجویان و آی تی ایران و همچنین بروز مشکلاتی برای ISP های ایرانی و سرورهایی حتی در مراکز دولتی و دانشگاهی گزارش شده بود اما تا بعدازظهر سایت های خبری از بروز نقص در اینترنت سخنی به میان نیاورده بودند.این نقص که در نوع خود بسیار عجیب و بی سابقه به نظر می رسید آنچنان فضای اینترنتی کشور را تحت تاثیر قرار داده بود که حتی در ساعاتی تماس از طریق نرم افزارهای پیغام بر نیز ممکن نبود. پس از چند ساعت بررسی مسئولان برخی از ISP ها و سرورهای داخلی متوجه شدند که پهنای باند اغلب آن ها به شکلی غیر منتظره اشغال شده است. این اشغالی پهنای باند در نگاه اول آنچنان پیچیده و غیر معمول به نظر می آمد که بسیاری از ISP ها ترجیح دادند که دستگاه های خود را خاموش کنند تا از خطرات احتمالی و همچنین هزینه اشغال پهنای باند اضافی در امان باشند. شریفی یکی از مسئولان شرکت تینا اینترنت می گوید: هر قدر جست و جو می کردیم متوجه نمی شدیم. در حالی که به شدت پهنای باند ما اشغال شده بود. با مخابرات تماس گرفتیم آن ها گفتند که یکی از مشتریان شما packet های ناخواسته و غیر مهم را ارسال می کند وقتی گفتیم حداقل IP آن را بگویید تا آن را مسدود کنیم گفتند آنقدر IP دیده می شود که معلوم نیست IP حقیقی کدام است. مجبور شدیم سرورمان را خاموش کنیم و با دقت به دنبال نقص بگردیم. با این حال مسئولان شرکت تینا اینترنت تنها نبودند ، در بسیاری از ISP های تهران شنبه روز سختی بود و این موضوع حتی به نهادهای دولتی و سازمان های بزرگ نیز سرایت کرده بود.
اخبار ضد و نقیض نیز از هر طرف به گوش می رسید هر قدر برخی اطمینان می دادند که یکی از ISP های آمریکایی مشغول تعویض تجهیزات خود است و این موضوع از قبل به اطلاع همه رسیده است اما برخی نیز به اطلاعات داخلی متکی نبودند و به دنبال اخبارموثق تری در این باره می گشتند. با این حال تا بعدازظهر که برخی از متخصصان متوجه وجود نقص در نرم افزار sql شرکت مایکروسافت شدند این سردرگمی ها ادامه داشت و تازه در این زمان بود که همه به سمت نصب آخرین نسخه اصلاحیه مایکروسافت service pack 3 که بیش از 50 مگابایت حجم دارد، روی آوردند و این حلال مشکلات بود.
شریفی در این باره می گوید: تحقیقات ما نشان داد که این یک حمله اینترنتی با استفاده از نقص SQLاست مایکروسافت این نقص را 6 ماه قبل اطلاع داده بود اما نسخه سرویس پک 3 را دو روز قبل روی سایت خود قرار داده بود به همین دلیل بسیاری از سرورها این نرم افزار را نصب نکرده بودند. همین نقص باعث بروز این مشکل شد. او می گوید: تا قبل از این نقص های زیادی روی نرم افزارهای مختلف موجب چنین حملاتی (البته نه در این وسعت درکشور ما) شده بود اما این بار گویا نوبت SQL بود که دستاویز قرارگیرد. با این وجود تا بعدازظهر که سرانجام سایت CNN و یاهو اخباری را به نقل از سیمانتک و رویتر در باره این حمله بزرگ اینترنتی منتشر کردند،صحبت کردن از این موضوع کمی عجیب و غریب می رسید. رویتر در گزارش خود نوشته است: روز شنبه یک ویروس کامپیوتری با آلوده کردن سرورهای متعددی باعث کند شدن ترافیک اینترنتی درتمام جهان شده است. بیشترین مشکل در کشور کره جنوبی گزارش شده و حدس زده می شود که منشا این خرابکاری این کشور باشد.
به نوشته رویتر نام ویروس sapphire یا sql slammer و قابلیت این را دارد که خود به خود زیاد شده در طول وب منتشر شود. مدیر بخش تحقیقات شرکت کامپیوتری Mikko Hypponen می گوید: این ویروس باعث ترافیک زیادی می شود که کل شبکه را تحت تاثیر قرار دهد البته کاربرهای نهایی چیز خاصی را نمی بینند تنها کند شدن اینترنت را درک می کنند. به گفته وی این ویروس از یک نقص قدیمی که 6 ماه قبل در sql server پیدا شده سود می برد.این ویروس خیلی شبیه codred (ویروسی که در ژولای 2001 منتتشر شد و خرابی های بسیاری به بار آورد) است اما خطر آن کمترگزارش شده است. به گفته متخصصان امنیتی تمام سرویس اینترنتی در کشور کره دچار مشکل شده البته دامنه گسترش این ویروس به ژاپن و اروپا و ایالات متحده هم گسترش پیدا کرده است.مثلا در واشینگتن سخنگوی fbi نیز اعلام کرد که از وجود یک کرم ناشناخته در اینترنت اطلاع یافته است. اما نمی تواند فعلا نوع آن را مشخص کند. او هم تایید کرده بود که این کرم می تواند سرورهای کامپیوتری که از نرم افزار Microsoft Windows 2000 - SQL استفاد می کند را دچار اختلال کند. این کرم درخواست متعددی را برای آدرس های IP دیگر می فرستد تا سرورهای آسیب پذیر دیگری را نیز پیدا کند در نتیجه این عمل ترافیکی روی شبکه ها ی خدمات دهنده اینترنت به وجود می آید که حتی می تواند به خاموش شدن سرورها بینجامد. به نوشته رویتر حتی ممکن است بعضی از وب سایت ها در روزهای آینده نیز در اثر این کرم اینترنتی متوقف شود.
با وجودی که این کرم روی کاربران انتهایی تاثیر چندانی ندارد اما بسیاری از کاربران در سراسر جهان کند شدن اینترنت را حس کردند. کاربرانی در آمریکا و انگلستان در روی message board ها پیغام هایی منتشر کردند و از کندی ترافیک اینترنتی شکایت کردند. اما بزرگترین مشکل در کره جنوبی گزارش شد که بعد اظهرشنبه تمامی سرویس های اینترنتی در این کشور به مدت چند ساعت از کار افتاد. منابع خبری خاطرنشان می کنند که پلیس تحقیقات خود را در این زمینه آغاز کرده است . این اولین باری است که کره جنوبی با چنین مشکلی با این وسعت روبه رو می شود و البته در این کشور 70 درصد خانه ها به اینترنت دسترسی دارند و هکر ها بسیار فعال هستند. به نوشته خبرگزاری yanhap هکرها مسئول این حمله گسترده بوده اند. در این کشور همه سرویس های پرسرعت اینترنت که از سرور KT استفاده می کنند نیز از این مشکل در امان نبوده اند. یک شرکت انگلیسی ضد ویروس به نام sophos نیزگزارش داده که اولین گزارش های آلودگی از آسیا بود است البته گروهی اروپایی ها هم با این شرکت تماس گرفتند و این مشکل در سرعت اینترنت را متذکر شده بودند. با این مشکلاتی که از بابت این سرور نصیب برخی کشورها شد در قلب اینترنت و در آمریکا انگار نه انگار که اتفاقی افتاده است. سرویس های صبح شنبه به همان سرعت همیشگی کار می کردند و حتی شرکت AOL بزرگترین ISP دنیا اعلام کرده که کوچکترین آسیبی از این حمله ندیده است. همچنین cnn نیز به نقل از شرکت سیمانتک نوشته است این کرم بیشتر کاربران تجاری را تحت تاثیر قرار می دهد تا کاربران خانگی. bbc هم در این باره گزارش می دهد:در کشورهای تایلند، ژاپن، مالزی، فیلیپین و هند نیز اینترنت با کندی مواجه بود. این شبه ویروس به رایانه سرویس دهنده (سرور) القا می کند که دایما با ترافیک زیاد رو به روست، در حالی که چنین نیست. برعکس ویروس های معمولی، این کرم رایانه ای تنها در حافظه است و به همین دلیل نمی تواند توسط ویروس یاب های معمولی شناسایی شود.
به گفته بی بی سی در حمله روز شنبه، دست کم پنج مرکز (هاب) از 13 هاب عمده اینترنت هدف قرار گرفتند. مشاور جرج بوش، رییس جمهور آمریکا در امور امنیت اینترنتی گفته است که این حمله ویروسی اکنون تحت کنترل است . برگرفته از سایت Itiran
برای کسب اطلاعات بیشتر می توانید به آدرس ذیل رجوع فرمایید:
http://www.cnn.com/2003/TECH/internet/01/25/internet.attack.ap/index.html