Nærtagende 13-åring "bombet" sikkerhetsekspert

Sikkerhetsekspert Steve Gibson ble utsatt for en svært nærtagende 13-åring. Flere hundre zombie-PC-er bombet Gibsons nettsted i flere dager. Historien om hvordan han nøstet opp trådene, infiltrerte snokerne og ble skremt av sine konklusjoner, er fascinerende lesning.

Steve Gibson står bak sikkerhets- og personvernrettet programvare som brannmurtesteren Leaktest, sikkerhetstesteren Patchwork, reklamedreperen OptOut og den nettbaserte sikkerhetssjekken ShieldsUp.

Han driver også firmaet Gibson Research Corporation, hvor det blant annet finnes et diskusjonsforum. En 13-årig, selvutnevnt h4X0r som kaller seg Wicked ble fortalt at Gibson hadde kalt ham script kiddie i en meningsutveksling, og dette var nok til å provosere Wicked så mye at han satte igang et massivt tjenestenekt-angrep mot Gibsons nettsted GRC.com.

At Gibson aldri hadde kalt ham noe slikt gjorde ingen forskjell. Fra fjerde til 20. mai ble GRC oversvømt med trafikk fra 474 zombie-maskiner rundt omkring på nettet, og Gibson anslår, ut fra loggene på filtre som han fikk satt opp, at de fikk tilsendt rundt 2,4 milliarder ondsinnede pakker i det tidsrommet.
Historien som er lagt ut på Gibsons nettsted, forteller videre om hvordan han slet for å få Internett-tilbyderen Earthlink til å innse alvoret i situasjonen, hvordan kommunikasjonen med FBI forløp (bra kommunikasjon, lite action), og hvordan han fikk Wicked i tale via e-post og nyhetsgrupper.


Gibson nektet å gi seg, og fikk etter hvert satt opp filtre på ISP-nivå, samtidig som han skaffet seg en kopi av ett av zombie-programmene som hadde oversvømt ruterne og fylt nettlinjene hans.

Zombien het "rundIl.exe", tilsynelatende det samme som en svært vanlig Windows-fil.
"Tilsynelatende", fordi fonten som brukes i Windows´ register ikke klarer å avsløre at den nest siste bokstaven faktisk er en stor "i", ikke en liten "l". Dermed er det svært vanskelig å avsløre filen om man ikke spesifikt vet om den.

Gibson satte opp en testmaskin, installerte rundIl.exe, satte opp en pakkesniffer og ventet. Det tok ikke lang tid før zombien aktiviserte seg selv. Den koblet seg umiddelbart opp til en hemmelig, passordbeskyttet pratekanal på en IRC-server, og ventet på instruksjoner.

Deretter kunne Gibson sitte og se på at hundrevis av andre zombier på hundrevis av andre infiserte maskiner på nettet logget seg inn og ut av "zombienes møteplass" og gjorde seg tilgjengelige for enhver som ville sette igang massive DoS-angrep.

Like etter ble Gibsons maskin ufrivillig deltager i et DoS-angrep på en server i Finland. Gibson gikk inn og "kastrerte" zombien til å bli ikke-angripende, og ventet videre. Snart ankom den fryktede trojaneren Sub7, som kan gi en datasnok full kontroll over en infisert datamaskin. Sub7 installerer seg selv, for så å sende all informasjon om den infiserte maskinen ut på en pratekanal på nettet - igjen mulig for enhver å utnytte.

For å gjøre en lang historie kort: Gibson, som aldri hadde vært i nærheten av pratesystemet IRC (Internet Relay Chat), lastet ned IRC-protokollens spesifikasjoner, og lærte seg det fra bunnen av. Deretter programmerte han sine egne spion-bots som kunne gå inn i de hemmelige kanalene og hente all kommunikasjon, alle kommandoer og alle zombie-programmer som ble postet der. Ikke bare det: De kunne kartlegge hvem som snakket med hvem, hvilke operatører som hadde respekt i miljøet og en rekke andre avanserte detaljer.

Ved hjelp av informasjon fra disse spion-botene oppnådde han kontakt med en av Wickeds venner, en zombie-mekker som kaller seg ^b0ss^. Ut fra transkripsjonen av samtalen kan man se at ^b0ss^ er mildt sagt imponert og skremt av at Gibson har sneket seg inn i hjertet av hans business.

Samtalen avsluttes med at Gibson understreker at han ikke på noe tidspunkt har ment å "disse" Wicked, men at han vil sette pris på om ^b0ss^ videreformidler at han i fremtiden vil vite å forsvare nettverket sitt.

Det synes, ikke overraskende, å være nok til å stoppe angrepene. Hele historien, med alle tekniske detaljer, alle samtaleutskrifter og alle Gibsons betraktninger om zombie-frikenes bisarre verden, finner du her (åpner i nytt vindu).

Les den.

Les også Gibsons advarsel: Windows XP vil gjøre Internett ustabilt

Til toppen