|
Soggetto: NIPC
(National Infrastructure Protection Centre) system alert (NIPC alert 00-034):
Riproposizione del 'NIPC system alert 99-029' originariamente distribuito il
6-12-99;
1. A partire dal 7 febbraio 2000, un certo numero di DoS attack di grande impatto
hanno disabilitato temporaneamente siti Internet di significativo interesse
per il commercio elettronico. Questi attacchi elettronici (cyber attack) hanno
avuto come bersaglio siti di compagnie quali yahoo.com, amazon.com, cnn.com,
buy.com, e-bay.com, stamps.com, exodus.com, e-trade.com e zdnet.com. Le vittime
succitate hanno ripreso le loro normali attivita' entro poche ore. I rapporti
pubblici menzionano attacchi distribuiti e coordinati rivolti all'interruzione
dei servizi (DDoS Attack); In questa prospettiva il NIPC sta redistribuendo
il documento originale di allarme che descrive gli exploit DDoS. Informazioni
ulteriori posono essere rinvenute alla pagina web del NIPC
e nel sito del Carnegie Mellon Computer Emergency Rescue Team Coordination Center
(CERT/CC).
2. A partire dall'autunno del 1999, l'FBI e il NIPC erano a conoscenza di numerose
occasioni in cui alcuni incursori erano riusciti ad installare strumenti atti
a compiere DDoS su numerosi sistemi di computer per creare un grande network
di macchine (host network) capace di lanciare coordinati, significativi, DoS
attack mediante un enorme flusso di pacchetti (packet flooding DDoS). Linstallazione
veniva portata a termine grazie allo sfruttamento di vulnerabilita' conosciute
delle stazioni 'Sun RPC'. I tool necessari a questi DoS multipli includono Trinoo,
TFN, TFN2K e Stacheldrath e sono stati segnalati da sistemi civili, universitari
e governativi (U.S.). L'FBI continua le investigazioni su numerosi di questi
incidenti; essa era ed e' preoccupa dalla portata e alla magnitudine di questi
eventi per le seguenti ragioni:
a. Numerosi bersagli sono costituiti da siti universitari o altri siti dotati
di una banda molto ampia, rappresentando percio' un significativo pericolo per
il traffico Internet.
b. I casi conosciuti comportano reali e sostanziali perdite finanziarie.
c. Le attivita' si legano ad un numero considerevole di numeri e localita' domestiche
(U.S.) nonche' ad indirizzi IP d'oltreoceano.
d. Le vulnerabilita' tecniche sfruttate in per installare i tool DoS sono ormai
disseminate nel mondo, ben conosciute e facilmente reperibili in qualsiasi networked
system di Internet.
e. Gli strumenti usati sembrano subire un continuo processo di sviluppo, prova
e dispersione in Internet.
f. Le attivita' sembrano cessare qualora i gestori del sistema bersaglio comincino
a filtrare i pacchetti alla ricerca di attivita' Trinoo, TNF, etc.
Possibili motivi di queste azioni maligne (malicious activity) spaziano dalla
dimostrazione di vulnerabilita' dei sistemi, all'esplorazione, dala ricognizione
alla preparazione per ampi e distribuiti DoS attack. Il NIPC paventa la possibilita'
che questi tool possano essere stati preparati per l'uso durante il periodo
Y2K (Year 2 Thousand) e che le attivita' riscontrate in queste settimane possano
continuare a discapito di nuovi e significativi bersagli commerciali, governativi
o nazionali (U.S.)
3. Il NIPC richiede che tutti i gestori e le organizzazioni di reti di computer
(computer network) esaminino rapidamente i loro sistemi alla ricerca dei suddetti
strumenti DoS, in modo da essere in grado, rapidamente, di implementare le corrette
contromisure (istruzioni specifiche sono disponibili presso i siti di CERT/CC,
SANS, NIPS e altri). Questi controlli devono essere compiuti sia per analizzare
e ripulire i sistemi da Trinoo, TFN e altre minacce, sia per dare manforte e
per dare supporto agli sforzi investigativi contro talil exploit. I destinatari
sono chiamati a segnalare particolari o sospette attivita' criminali al locale
ufficio dell'FBI o alle unita' del NIPC
(NIPC Watch/Warning Unit), al CERT o ad altre
agenzie investigative, a seconda delle esigenze.
Originale
|