2009年03月18日
これってスパマーじゃねえだろ?
どーも太平洋時間、昨晩12時要するに日本時間の今日お昼くらいでしょうか、スパムからの防衛の手段として利用しているSpamhausによる通信遮断を解除したそうですが、この影響としてIMが正常に通信できなくなったそうです。
しかし、経緯を見るからにしてこの手法、どうもタダのスパマーが仕掛けているとは思えませんね。
http://status.secondlifegrid.net/2009/03/17/post555/
要するに一定時間、通信障害を起こすようなメールを機械的に送ってんじゃないか・・つまり”踏み台”があるんじゃないかと思ったみたいですが、今日のネットワーク・ブレイカー、つまり悪い意味でのハッカーなら、恐らくそんなドジは踏まないでしょう。
愉快犯かもしれませんが、Spamhausのリストにないから解除したってのが、私的にドーモね・・。
DDOSなんて、ただの”オトリ”に過ぎず、結局そっちのほうへ関心をもっていってる恐れがありますし・・。
簡単に言えば、リンデンにIMなどの通信ができないとJIRAに報告があり、この原因が一度に機械的に送られてくるメールによる通信障害ではないか?と疑いを持って、Spamhausのサービスおよびそのリストによって遮断。影響としてインワールドの通信に影響が出た・・ということみたい。
でも、確信犯ならそいつは頭いいよね。
スパムであるかのように偽装して、大量の返信に付与されるフラグなしパケットを多量に送信して、とリア得ずスパマーの仕業に見せるのは、実は自動化したプログラムによって可能。
1台どっかに妙なプロキシ(オトリ串)をオイときゃ、あとはどのタイミングで「相手が通信を遮断するか」ってことが目的になってるはずです。
恐らく、メールに成りすましたメール(空メールとは違います。そう見えるだけ)をものすごい勢いで送りつけ、相手がスパムに困って通信を遮断するのを待っていたのかも知れません。
ネットワークというものは、相手側に通信を送ると、”送ったよ”というフラグ、つまり目印をつけて送信されます。受け取った相手側は、まどろっこしいのですが”確かにもらいました”というフラグつけて送信して、最後に相手が通信内容を送信することで成立します。
しかし、この動作を途中ごまかして、”これはすでにもらったことになっている。したがって私に送る必要はない”といった異常な送信も可能です。要するに、相手側とは、もらったという確認はしなくていいのですから、メール送り放題というか、10億くらいプログラムで一気に送りつけることは可能です。この防御もあるんですが、いかんせんそのシステムはなんとなくそうでないものも”異常”として排除しやすい・・。有名なのがSnort。最近マシだともいいますが・・。
これはサービス停止に追い込む、サーバー攻撃第1段階として、昔からよく知られていますが、その防御としての対策はすでにどこでも取っているはず。
今回のケースは、”停止”が目的ではなく、”攻撃されたように見せているだけで、目的はほかにあった”気がなんとなくします。
痕跡を残すアホなスパマーはいるわけないっしょ。少なくともマジな攻撃者ならね。
====考えられるケース。
再起動に追い込むまで攻撃すると、目的が果たせない。今回は仕掛けるのではなく、脆弱性のポイントをつかもうと考えている。→次の段階までの布石。
メールに偽装しているため、管理者は基本的に”DDOS”と勘違いしやすい。ログ解析の合間、その隙にバックグラウンドでログインできるコードを試している。再起動しないので作業は遮断するまで有効。
「今回はイロイロ各バージョンまでつかんだからOK。マヌケなシステムで笑えるぜ」で、遮断されても偽装されたログを仕込んで終わり。
タバコふかしながら、攻撃者はほくそ笑む・・「アホだな、俺をスパマーかなんかと勘違いしやがって。尻尾つかもうと思ったって明日にはNIC(ネットワークカード)変えるシナ^^。ま、暇つぶしにはもってこいだったよ。」
*わたしもよくやってましたが、LANの接続部分であるネットワーク・カードには固有の番号があるんですが、これ自体を偽装し、まったく別のネットワークカードをあたかもひとつのNICとして見せて、(相手にはつまり2つのPCが1つのように見える。)偽装したNICを使ってメールを送り、受け取る際別のネットワークカードに振り分け廃棄する方法で一種のソートを行っていたことがあります。
送信と受け取る側が違うんですが、受け取る側では送信を行わないので、スパムを振り分けることが簡単です^^。いちいち見ないでいいし。わたしは「ドブに捨ててます」とよく言ってました^^。
送ってもドンドン無駄な通信として排除できるってわけ。これを逆に利用するってわけです。
============今回はここまでだった・・。
そもそも、利益の伴わない、いわゆる”釣り”以外スパムの純粋な目的はないので、意図的に通信を遮断させたいからこそ、こうした一見無駄な段階を踏んでるんじゃないの?と私はなんとなく思ったわけです。
まー、イロイロ冷たい対応と批判され、かついまだに他人任せのビュワー開発の数々。恨みをもたれても仕方ないようなというか、からかわれる土壌は今のSLには多分にあるのかも・・。
しかし、経緯を見るからにしてこの手法、どうもタダのスパマーが仕掛けているとは思えませんね。
http://status.secondlifegrid.net/2009/03/17/post555/
要するに一定時間、通信障害を起こすようなメールを機械的に送ってんじゃないか・・つまり”踏み台”があるんじゃないかと思ったみたいですが、今日のネットワーク・ブレイカー、つまり悪い意味でのハッカーなら、恐らくそんなドジは踏まないでしょう。
愉快犯かもしれませんが、Spamhausのリストにないから解除したってのが、私的にドーモね・・。
DDOSなんて、ただの”オトリ”に過ぎず、結局そっちのほうへ関心をもっていってる恐れがありますし・・。
簡単に言えば、リンデンにIMなどの通信ができないとJIRAに報告があり、この原因が一度に機械的に送られてくるメールによる通信障害ではないか?と疑いを持って、Spamhausのサービスおよびそのリストによって遮断。影響としてインワールドの通信に影響が出た・・ということみたい。
でも、確信犯ならそいつは頭いいよね。
スパムであるかのように偽装して、大量の返信に付与されるフラグなしパケットを多量に送信して、とリア得ずスパマーの仕業に見せるのは、実は自動化したプログラムによって可能。
1台どっかに妙なプロキシ(オトリ串)をオイときゃ、あとはどのタイミングで「相手が通信を遮断するか」ってことが目的になってるはずです。
恐らく、メールに成りすましたメール(空メールとは違います。そう見えるだけ)をものすごい勢いで送りつけ、相手がスパムに困って通信を遮断するのを待っていたのかも知れません。
ネットワークというものは、相手側に通信を送ると、”送ったよ”というフラグ、つまり目印をつけて送信されます。受け取った相手側は、まどろっこしいのですが”確かにもらいました”というフラグつけて送信して、最後に相手が通信内容を送信することで成立します。
しかし、この動作を途中ごまかして、”これはすでにもらったことになっている。したがって私に送る必要はない”といった異常な送信も可能です。要するに、相手側とは、もらったという確認はしなくていいのですから、メール送り放題というか、10億くらいプログラムで一気に送りつけることは可能です。この防御もあるんですが、いかんせんそのシステムはなんとなくそうでないものも”異常”として排除しやすい・・。有名なのがSnort。最近マシだともいいますが・・。
これはサービス停止に追い込む、サーバー攻撃第1段階として、昔からよく知られていますが、その防御としての対策はすでにどこでも取っているはず。
今回のケースは、”停止”が目的ではなく、”攻撃されたように見せているだけで、目的はほかにあった”気がなんとなくします。
痕跡を残すアホなスパマーはいるわけないっしょ。少なくともマジな攻撃者ならね。
====考えられるケース。
再起動に追い込むまで攻撃すると、目的が果たせない。今回は仕掛けるのではなく、脆弱性のポイントをつかもうと考えている。→次の段階までの布石。
メールに偽装しているため、管理者は基本的に”DDOS”と勘違いしやすい。ログ解析の合間、その隙にバックグラウンドでログインできるコードを試している。再起動しないので作業は遮断するまで有効。
「今回はイロイロ各バージョンまでつかんだからOK。マヌケなシステムで笑えるぜ」で、遮断されても偽装されたログを仕込んで終わり。
タバコふかしながら、攻撃者はほくそ笑む・・「アホだな、俺をスパマーかなんかと勘違いしやがって。尻尾つかもうと思ったって明日にはNIC(ネットワークカード)変えるシナ^^。ま、暇つぶしにはもってこいだったよ。」
*わたしもよくやってましたが、LANの接続部分であるネットワーク・カードには固有の番号があるんですが、これ自体を偽装し、まったく別のネットワークカードをあたかもひとつのNICとして見せて、(相手にはつまり2つのPCが1つのように見える。)偽装したNICを使ってメールを送り、受け取る際別のネットワークカードに振り分け廃棄する方法で一種のソートを行っていたことがあります。
送信と受け取る側が違うんですが、受け取る側では送信を行わないので、スパムを振り分けることが簡単です^^。いちいち見ないでいいし。わたしは「ドブに捨ててます」とよく言ってました^^。
送ってもドンドン無駄な通信として排除できるってわけ。これを逆に利用するってわけです。
============今回はここまでだった・・。
そもそも、利益の伴わない、いわゆる”釣り”以外スパムの純粋な目的はないので、意図的に通信を遮断させたいからこそ、こうした一見無駄な段階を踏んでるんじゃないの?と私はなんとなく思ったわけです。
まー、イロイロ冷たい対応と批判され、かついまだに他人任せのビュワー開発の数々。恨みをもたれても仕方ないようなというか、からかわれる土壌は今のSLには多分にあるのかも・・。
Posted by arado at 23:53│Comments(0)
│リンデンラボ
