IRCRE201208108
تاريخ: 25/05/91
شركت Akamai Technologiesهر سه ماه يك بار گزارشي را با عنوان «وضعيت اينترنت» منتشر ميكند. در اين مطالعه، داده هايي از سراسر دنيا جمع آوري و تحليل شده و در نهايت گزارشي شامل اطلاعاتي آماري درباره ترافيك حمله ها، سرعت اينترنت و غيره منتشر ميشود. اين شركت به تازگي گزارش خود را درباره سه ماهه اول سال 2012 منتشر كرده است. در ادامه، خلاصه اي از مهمترين بخشهاي امنيتي اين گزارش را مطالعه مي كنيد.
ترافيك حمله، كشورهاي برتر مبداء حملات
در طول سه ماهه اول سال 2012، Akamai شاهد ترافيك حمله از 182 كشور/ منطقه يكتا بوده است كه اين تعداد در سه ماهه قبل، 187 كشور بود. اندونزي پس از اينكه در سه ماهه هاي گذشته در ميان سه كشور برتر مبداء حملات قرار گرفته بود، در اين سه ماهه به مكان بيستم جدول نقل مكان كرده است. با حذف اندونزي از ده كشور برتر مبداء حملات، آلمان به مكان دهم اين جدول بازگشته است و مسئول كمتر از 2 درصد از ترافيك حمله مشاهده شده بوده است. صرف نظر از آلمان، 9 كشور ديگر اين فهرست نسبت به سه ماهه چهارم 2011 ثابت باقي مانده اند. در اين سه ماهه درصد ترافيك حمله مشاهده شده از كشورهاي چين، ايالات متحده آمريكا، روسيه، تركيه، روماني و آلمان با افزايش روبرو بوده است. اين در حالي است كه تايوان، كره جنوبي و برزيل شاهد كاهش درصد ترافيك حمله بوده اند.
در بررسي توزيع منطقه اي ترافيك حمله مشاهده شده در سه ماهه اول، مشاهده ميگردد كه بيش از 42 درصد از حملات از منطقه آسيا/ اقيانوسيه، 35 درصد از اروپا، 21 درصد از آمريكاي شمالي و جنوبي و فقط كمتر از 1.5 درصد از آفريقا نشأت گرفته اند.
ترافيك حمله، پورتهاي برتر
همانطور كه در جدول زير مشاهده ميشود، تمركز ترافيك حمله در ميان ده پورت برتر اندكي در سه ماهه اول 2012 افزايش يافته است و اين پورتها مسئول 77 درصد از حملات مشاهده شده هستند، كه اين ميزان در سه ماهه آخر سال 2011 برابر با 62 درصد بود. به نظر ميرسد كه اين افزايش تا حد زيادي به رشد قابل توجه در درصد حملاتي كه پورت 445 را هدف قرار داده اند مرتبط باشد. اين پورت پيش از اين براي چندين سه ماهه متوالي شاهد كاهش حملات بود. همانطور كه در گزارشهاي پيشين نيز اشاره شده بود، پورت 445 با كرم Conficker در ارتباط است كه در اوايل سال 2009 هشدارهاي جدي را ايجاد كرده بود. علي رغم اصلاحيه هاي مايكروسافت و فعاليتهاي گروه كاري Conficker، به نظر ميرسد كه بت نت اين كرم همچنان به طور فعال به آلوده كردن سيستمهاي كاربران ادامه ميدهد. بر اساس گزارشي از مايكروسافت، Conficker تعداد 1.7 ميليون كامپيوتر ويندوز را در سه ماهه چهارم 2011 آلوده كرده بود يا اينكه براي آلوده سازي آن تلاش كرده بود كه اين ميزان صد هزار سيستم از سه ماهه پيش از آن بيشتر بود.
علاوه بر افزايش مشاهده شده در درصد ترافيك حمله مربوط به پورت 445، در مورد پورت 23 (پورت Telnet)، پورت 3389 (پورت Microsoft Terminal Services)، پورت 22 (پورت SSH)، پورت 4899 (پورت Remote Administrator)، پورت 5900 (پورت Virtual Network Computer) و پورت 3306 (پورت MySQL) نيز شاهد افزايش ترافيك حمله بوديم. افزايش مشاهده شده در ميان اغلب اين پورتها قابل توجه بوده و از 16 درصد تا 114 درصد متغير بوده است. علت افزايش ترافيك حمله پورت MySQL در سه ماهه اول ميتواند مربوط به يك آسيب پذيري باشد كه در ماه ژانويه كشف شد. اين آسيب پذيري به مهاجمان اجازه ميدهد نمونه هاي MySQL اجرا شده بر روي سرورهاي ويندوز مايكروسافت را با ارسال يك بسته خاص به پورت 3306 از كار بيندازند. در ماه مارس، مايكروسافت يك راهنمايي امنيتي در مورد يك آسيب پذيري در نرم افزار Remote Desktop خود منتشر كرد كه ميتواند با اتصال به پورت 3389 مورد سوء استفاده قرار گيرد. ممكن است تلاشها براي سوء استفاده از اين آسيب پذيري، مسئول افزايش ترافيك حمله پورت 3389 باشد.
پورت 445 در ميان 7 كشور از ده كشور برتر توليد كننده ترافيك حمله، در صدر پورتهاي هدف حملات قرار داشته است. در روماني اين پورت نسبت به پورت بعدي در اين فهرست، 66 برابر بيشتر هدف حملات بوده است. در تركيه و كره جنوبي همچنان پورت 23 پر ترافيكترين پورت بوده است، در حالي كه پورت 1433 در حملات نشأت گرفته از چين، هدف برتر بوده است. در ايالات متحده آمريكا، آلمان و برزيل، پورت 80 دومين پورت برتر هدف حملات بوده است. اين مسأله ميتواند بدان معنا باشد كه مهاجمان به دنبال برنامه هاي وبتني بر وب با آسيب پذيريهاي شناخته شده ميگردند تا كنترل سيستم را در دست گرفته يا بدافزار نصب نمايند. در روسيه و تايوان، پورت 23 دومين پورت برتر هدف حملات بوده است. اين مسأله ميتواند به علت تلاشها براي سوء استفاده از كلمات عبور پيش فرض يا معمول باشد كه مجوز دسترسي به يك سيستم را به مهاجمان ميدهند.
SSL، رمز كننده هاي سمت كلاينت
شكل زير نشان دهنده توزيع رمز كننده هاي SSL ارائه شده توسط كلاينتهاي وب (معمولا مرورگرها) در طول سه ماهه نخست سال 2012 است. روندهاي استفاده مشاهده شده در اين سه ماهه، كمي با سه ماهه هاي گذشته متفاوت است. AES128-SHA-1 و RC4-MD5-128 هر دو شاهد افزايش بوده اند، در حاليكه استفاده از ساير رمز كننده ها كاهش داشته است. در سه ماهه هاي گذشته، استفاده از AES256-SHA-1 افزايش يافته بود، در حاليكه استفاده از RC4-MD5-128 با كاهش مواجه شده بود. مشخص نيست كه چرا استفاده از AES256-SHA-1 در طول اين سه ماهه از 48.6 درصد به 44.8 درصد كاهش يافته است. البته اين كاهش چندان قابل توجه نيست، چراكه اين رمز كننده همچنان به طور گسترده مورد استفاده قرار ميگيرد و در مجموع به همراه AES128-SHA-1، مسئول نزديك به 85 درصد از استفاده از رمز كننده ها ميباشند. در ميان ساير رمز كننده ها، استفاده از RC4-SHA-128 از 4.7 درصد به 3.6 درصد، و استفاده از DES-CBC-SHA-168 نيز از 3.1 درصد به 1.9 درصد كاهش يافته است. افزايش مشاهده شده توسط RC4-MD5-128 نيز جزئي بوده و از 10.1 درصد به 10.5 درصد افزايش داشته است، اين در حالي است كه استفاده از AES128-SHA-1 شاهد افزايش بيشتري بوده و از 33.4 درصد به 39.1 درصد افزايش يافته است.
فعاليت حمله انكار سرويس
در ادامه گسترش حملات انكار سرويس، بسياري از مشتريان Akamai نيز در طول سه ماهه اول 2012، حملات انكار سرويس را تجربه كردند. در سه ماهه نخست سال 2012، تيمهاي پشتيباني Akamai درخواستهاي كمك براي مقابله با 89 حمله انكار سرويس را دريافت كردند. بررسي اين حملات نشان ميدهد كه ابزارهايي كه حجم ترافيك كمتري نياز دارند، مانند hashdos و slowloris بيشتر مورد استفاده قرار گرفته اند. اما معمولترين بردار، حملات تزريق SQL بوده است كه در صورت موفقيت، نه تنها به طور قابل توجهي بر روي دسترس پذيري سايتهاي هدف تأثير ميگذارد، بلكه خطري جدي نيز براي نشت داده ها محسوب ميشوند.
عمده حملات مشاهده شده (73 درصد) از شبكه هايي در آمريكا نشأت گرفته و شركتهاي آمريكايي را هدف قرار داده اند. درصد قابل توجهي از حملات (17 درصد) نيز از اروپا و خاور ميانه نشأت گرفته و شركتهاي اين مناطق و ساير مناطق را هدف قرار داده اند. درصد كمتري از حملات انكار سرويس مشاهده شده در اين مدت، از ناحيه آسيا/ اقيانوسيه نشأت گرفته اند. انتظار ميرود كه حجم و شدت حملات اين منطقه در طول زمان افزايش يابد.
بررسيها نشان ميدهد كه فروشندگان آنلاين و بخش عمومي (دولتي) هر دو به يك نسبت هدف حملات انكار سرويس قرار گرفته اند و هريك حدود 20 درصد از اين حملات را به خود اختصاص داده اند. ساير حملات انكار سرويس نيز تقريبا به طور مساوي بين رسانه هاي ديجيتال، شركتها و مشتريان High Tech توزيع شده است.
- 3