Steve Gibson sotto attacco DDoS

Il guru della sicurezza ha subito in due diverse occasioni attacchi distribuiti contro il proprio sito. Chi può essere stato? E perché? Lui non si scompone e preannuncia una nuova sezione del sito dedicata proprio ai DDoS

Web - Chi può voler attaccare Steve Gibson e la sua presenza Web? Per quale ragione due diversi attacchi DDoS (Distributed Denial of Service) sono stati sferrati negli ultimi giorni contro il sito di Gibson, punto di riferimento sulla sicurezza per l'intera rete?

A queste domande Gibson stesso sta lavorando e risponde con una serie di posting nell'area del sito in cui offre le news. A quanto pare la prima aggressione DDoS risale al 4 maggio e si è ripetuta nella notte tra il 12 e il 13.

In occasione del primo attacco, il 4, Gibson posta una nota in cui spiega i dettagli tecnici dell'attacco sottolineando che l'aggressione non aveva buttato giù il sito ma che, perdurando alcune ore, aveva finito per occupare una parte consistente della banda entrante, rendendo così difficile raggiungere il sito.
Nelle note successive Gibson sembra prendere con il suo arcinoto "fairplay" quanto sta accadendo e il 12 maggio spiega: "forse gli hacker non vogliono che io vada a cercare e smanettare nelle loro macchine zombizzate". Con il termine "zombie", come noto, si intendono quei server Internet che sono stati penetrati da troiani e tools capaci di trasformarli, all'occorrenza, in basi di partenza per aggressioni di tipo DDoS attivate da remoto. Si tratta di aggressioni nelle quali un certo numero di server invia contemporaneamente richieste al server-vittima, cercando di mandarlo "in tilt". Gli zombie servono a chi li controlla per creare una "massa critica" di computer da cui inviare i pacchetti attaccanti. Più sono gli zombie più imponente è l'attacco.

Il giorno successivo, il 13, Gibson pubblica un commento in cui spiega come Verio, il provider dalla cui rete arrivano gli attacchi e che ospita il sito dell'esperto, "non sa che pesci prendere". E afferma: "Queste macchine zombie sono qualcosa con cui è inevitabile fare i conti".

Lo stesso giorno Gibson afferma vittorioso di essere riuscito a raccogliere tutti i dati dell'attacco (11,5 gigabyte di dati) e il giorno dopo conferma che non pubblicherà gli IP delle macchine attaccanti, IP che gli potrebbero consentire di risalire agli autori dell'aggressione, autori che Gibson considera "script-kiddies" (dilettanti) e che per questo potrebbe decidere di non denunciare.

Per ora Gibson si è limitato ad annunciare che molto presto nascerà una nuova area del già voluminoso sito, un'area naturalmente dedicata a tutto quello che riguarda i DDoS, quel genere di attacchi divenuto famoso quando, nel febbraio 2000, con questa tecnica furono buttati giù i siti di Yahoo!, Amazon.com e altri siti ultra-conosciuti.
14 Commenti alla Notizia Steve Gibson sotto attacco DDoS
Ordina
  • Non ho capito bene...

    Se anche c'ha tutti gli IP dei mittenti del''attacco, e non credo visto che anche il piu' dilettante (come me) avrebbe modificato il protocollo e mandato pacchetti spoofati (con IP di ritorno modificato a mano), sono gli IP dei server Zombie, non di chi ne tira le fila.
    Le traccie dei gestori degli Zombie negli Zombi stessi (tipo file di log) saranno sicuramente state cancellate subito dopo l'attacco.

    A meno che tutte queste mie conoscenzia siano false, potrebbe essere onesto e dire che non denuncia nessuno perche' non ha la piu' pallida idea di chi denunciare.

    Dico bene o dico giusto?? Sorride
    non+autenticato
  • certo che dici giusto...
    ma qui son tutti leim e non capiscono un cazzo di come si fanno queste coseSorride
    sono sempre io quello che ritiene il sito di gibson una lamerata nemmeno degna di considerazione..
    saluti a tutti i leim specialmente a quello che mi ritiene ridicoloSorride e' il + simpatico!Sorride)
    intanto l'unico che se la ride sono io
    ciao ciao

    - Scritto da: Krecker
    > Non ho capito bene...
    >
    > Se anche c'ha tutti gli IP dei mittenti
    > del''attacco, e non credo visto che anche il
    > piu' dilettante (come me) avrebbe modificato
    > il protocollo e mandato pacchetti spoofati
    > (con IP di ritorno modificato a mano), sono
    > gli IP dei server Zombie, non di chi ne tira
    > le fila.
    > Le traccie dei gestori degli Zombie negli
    > Zombi stessi (tipo file di log) saranno
    > sicuramente state cancellate subito dopo
    > l'attacco.
    >
    > A meno che tutte queste mie conoscenzia
    > siano false, potrebbe essere onesto e dire
    > che non denuncia nessuno perche' non ha la
    > piu' pallida idea di chi denunciare.
    >
    > Dico bene o dico giusto?? Sorride
    non+autenticato
  • Bravi tutti e due. Siete molto bravi a criticare. Questa è l'unica cosa che vi riesce bene purtroppo...

    > Se anche c'ha tutti gli IP dei mittenti
    > del''attacco, e non credo visto che anche il
    > piu' dilettante (come me) avrebbe modificato
    > il protocollo e mandato pacchetti spoofati
    > (con IP di ritorno modificato a mano),

    \*W*/ (*O*) \*W*/ !!!!

    Sei bravissimo! Ora che ti sei sfogato vediamo di tornare con i piedi per terra e prova magari a leggerti gli articoli di BFI (o sono troppo complicati per te?) o gli archivi di securityfocus.com (o nn conosci l'inglese?).
    Leggendo (soprattutto questi ultimi) ti renderai conto che risalire a degli IP spooffati nn è impossibile. Non te lo spigeo io perchè verrebbe una reply di 50Kb, e sinceramente nn ho ne il tempo ne la voglia di scriverti una zine come reply (dai un okkiata al sito che ti ho detto prima).

    > A meno che tutte queste mie conoscenzia
    > siano false, potrebbe essere onesto e dire
    > che non denuncia nessuno perche' non ha la
    > piu' pallida idea di chi denunciare.

    Credo che la pallida idea ce l'abbia di chi siano...non si chiama ne Nemesis ne tanto meno Krecker, dico bene?

    > Dico bene o dico giusto?? Sorride

    Nessuno dei due, riprova sarai più fortunato.

    >ma qui son tutti leim e non capiscono un cazzo >di come si fanno queste coseSorride

    Meno male che ci sei tu, il nostro Virglio!

    >sono sempre io quello che ritiene il sito di >gibson una lamerata nemmeno degna di >considerazione..

    Vedo che te ne intendi. E magari alexmessolamer ha un gran bel sito giusto?
    E dimmi, quali siti frequenti tu (nn dirmi una cazzata tipo rootshell, securityfocus o sicurezza.org, perchè tanto non ci credo)?

    >saluti a tutti i leim specialmente a quello che >mi ritiene ridicoloSorride e' il + simpatico!Sorride)

    Hai ragione, sei davvero simpatico...

    >intanto l'unico che se la ride sono io

    Ecco un'altra cosa che sai fare molto bene. Peccato che poi nn ti rimangano più energie mentali per studiare seriamente e per essere un pò più umile nei confronti di persone che si sono fatte un culo quanto una portaerei per imparare qualcosa (un es? Steve Gibson!).
    Lo stesso vale per il tuo amico che ha postato per primo.
    non+autenticato
  • MA STAI ZITTO NEMESIS CHE SEI UN LAMER DI PRIMA CATEGORIA LO SANNO TUTTI
    CHE CAZZO NE SAI DI COSA SO IO?
    NE SO + DI TE E TUTTI STI IDIOTI COMPRESO GIBSON MESSI INSIEME
    CIAO LAMER
    LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER LAMER

    - Scritto da: Nemesis
    > Bravi tutti e due. Siete molto bravi a
    > criticare. Questa è l'unica cosa che vi
    > riesce bene purtroppo...
    >
    > > Se anche c'ha tutti gli IP dei mittenti
    > > del''attacco, e non credo visto che anche
    > il
    > > piu' dilettante (come me) avrebbe
    > modificato
    > > il protocollo e mandato pacchetti spoofati
    > > (con IP di ritorno modificato a mano),
    >
    > \*W*/ (*O*) \*W*/ !!!!
    >
    > Sei bravissimo! Ora che ti sei sfogato
    > vediamo di tornare con i piedi per terra e
    > prova magari a leggerti gli articoli di BFI
    > (o sono troppo complicati per te?) o gli
    > archivi di securityfocus.com (o nn conosci
    > l'inglese?).
    > Leggendo (soprattutto questi ultimi) ti
    > renderai conto che risalire a degli IP
    > spooffati nn è impossibile. Non te lo spigeo
    > io perchè verrebbe una reply di 50Kb, e
    > sinceramente nn ho ne il tempo ne la voglia
    > di scriverti una zine come reply (dai un
    > okkiata al sito che ti ho detto prima).
    >
    > > A meno che tutte queste mie conoscenzia
    > > siano false, potrebbe essere onesto e dire
    > > che non denuncia nessuno perche' non ha la
    > > piu' pallida idea di chi denunciare.
    >
    > Credo che la pallida idea ce l'abbia di chi
    > siano...non si chiama ne Nemesis ne tanto
    > meno Krecker, dico bene?
    >
    > > Dico bene o dico giusto?? Sorride
    >
    > Nessuno dei due, riprova sarai più fortunato.
    >
    > >ma qui son tutti leim e non capiscono un
    > cazzo >di come si fanno queste coseSorride
    >
    > Meno male che ci sei tu, il nostro Virglio!
    >
    > >sono sempre io quello che ritiene il sito
    > di >gibson una lamerata nemmeno degna di
    > >considerazione..
    >
    > Vedo che te ne intendi. E magari
    > alexmessolamer ha un gran bel sito giusto?
    > E dimmi, quali siti frequenti tu (nn dirmi
    > una cazzata tipo rootshell, securityfocus o
    > sicurezza.org, perchè tanto non ci credo)?
    >
    > >saluti a tutti i leim specialmente a quello
    > che >mi ritiene ridicoloSorride e' il +
    > simpatico!Sorride)
    >
    > Hai ragione, sei davvero simpatico...
    >
    > >intanto l'unico che se la ride sono io
    >
    > Ecco un'altra cosa che sai fare molto bene.
    > Peccato che poi nn ti rimangano più energie
    > mentali per studiare seriamente e per essere
    > un pò più umile nei confronti di persone che
    > si sono fatte un culo quanto una portaerei
    > per imparare qualcosa (un es? Steve
    > Gibson!).
    > Lo stesso vale per il tuo amico che ha
    > postato per primo.
    non+autenticato


  • - Scritto da: Nemesis
    > Bravi tutti e due. Siete molto bravi a
    > criticare. Questa è l'unica cosa che vi
    > riesce bene purtroppo...
    >
    > > Se anche c'ha tutti gli IP dei mittenti
    > > del''attacco, e non credo visto che anche
    > il
    > > piu' dilettante (come me) avrebbe
    > modificato
    > > il protocollo e mandato pacchetti spoofati
    > > (con IP di ritorno modificato a mano),
    >
    > \*W*/ (*O*) \*W*/ !!!!
    >
    > Sei bravissimo! Ora che ti sei sfogato
    > vediamo di tornare con i piedi per terra e
    > prova magari a leggerti gli articoli di BFI
    > (o sono troppo complicati per te?) o gli
    > archivi di securityfocus.com (o nn conosci
    > l'inglese?).
    > Leggendo (soprattutto questi ultimi) ti
    > renderai conto che risalire a degli IP
    > spooffati nn è impossibile. Non te lo spigeo
    > io perchè verrebbe una reply di 50Kb, e
    > sinceramente nn ho ne il tempo ne la voglia
    > di scriverti una zine come reply (dai un
    > okkiata al sito che ti ho detto prima).

    Visto che c'eri potevi anche studiarti un po' di educazione.
    Non c'e' mica scritto da qualche parte che si deve infamere o deridere per rispondere.
    Io ho solo espresso un parere. Che c'è non sei in grado di controbattere senza sfottere??

    Ora secondo te quelloli sta con le mani in mano, non denuncia nessuno e perdona tutti dopo che gli danno lo smacci di rendergli il sito non utilizzabile per ora??

    Bho, pole anche esse.

    Ciao
    non+autenticato
  • >MA STAI ZITTO NEMESIS CHE SEI UN LAMER DI PRIMA >CATEGORIA LO SANNO TUTTI
    >CHE CAZZO NE SAI DI COSA SO IO?
    >NE SO + DI TE E TUTTI STI IDIOTI COMPRESO GIBSON >MESSI INSIEME
    >CIAO LAMER
    >LAMER LAMER LAMER LAMER LAMER LAMER LAMER

    Se godi così tanto nel chiamarmi lamer, allora fai pure. Tanto a me non mi tange minimamente.
    Sappiamo tutti e due qual'è la realtà dei fatti...
    Per il resto non ho nulla da dire, non sei degno nemmeno di critiche...

    >Visto che c'eri potevi anche studiarti un po' di >educazione.
    >Non c'e' mica scritto da qualche parte che si >deve infamere o deridere per rispondere.
    >Io ho solo espresso un parere. Che c'è non sei >in grado di controbattere senza sfottere??

    Ti chiedo scusa. Non sono solito insultare le persone o deriderle, e puoi anche dare un'occhiata ai forum e alle mailing list che frequento io per vedere se è vero. Ti chedo di nuovo scusa.


    > A meno che tutte queste mie conoscenzia
    > siano false, potrebbe essere onesto e dire
    > che non denuncia nessuno perche' non ha la
    > piu' pallida idea di chi denunciare.

    Mi sembra però che anche tu hai insultato Steve Gibson.

    >Ora secondo te quelloli sta con le mani in mano, >non denuncia nessuno e perdona tutti dopo che >gli danno lo smacci di rendergli il sito non >utilizzabile per ora??

    Evidentemente non riesco a farmi capire. Lasciamo perdere.


    non+autenticato


  • - Scritto da: Nemesis
    > >MA STAI ZITTO NEMESIS CHE SEI UN LAMER DI
    > PRIMA >CATEGORIA LO SANNO TUTTI
    > >CHE CAZZO NE SAI DI COSA SO IO?
    > >NE SO + DI TE E TUTTI STI IDIOTI COMPRESO
    > GIBSON >MESSI INSIEME
    > >CIAO LAMER
    > >LAMER LAMER LAMER LAMER LAMER LAMER LAMER
    >
    > Se godi così tanto nel chiamarmi lamer,
    > allora fai pure. Tanto a me non mi tange
    > minimamente.
    > Sappiamo tutti e due qual'è la realtà dei
    > fatti...
    > Per il resto non ho nulla da dire, non sei
    > degno nemmeno di critiche...
    >
    > >Visto che c'eri potevi anche studiarti un
    > po' di >educazione.
    > >Non c'e' mica scritto da qualche parte che
    > si >deve infamere o deridere per rispondere.
    > >Io ho solo espresso un parere. Che c'è non
    > sei >in grado di controbattere senza
    > sfottere??
    >
    > Ti chiedo scusa. Non sono solito insultare
    > le persone o deriderle, e puoi anche dare
    > un'occhiata ai forum e alle mailing list che
    > frequento io per vedere se è vero. Ti chedo
    > di nuovo scusa.
    >
    >
    > > A meno che tutte queste mie conoscenzia
    > > siano false, potrebbe essere onesto e dire
    > > che non denuncia nessuno perche' non ha la
    > > piu' pallida idea di chi denunciare.
    >
    > Mi sembra però che anche tu hai insultato
    > Steve Gibson.
    >
    > >Ora secondo te quelloli sta con le mani in
    > mano, >non denuncia nessuno e perdona tutti
    > dopo che >gli danno lo smacci di rendergli
    > il sito non >utilizzabile per ora??
    >
    > Evidentemente non riesco a farmi capire.
    > Lasciamo perdere.

    Non ti preoccupare, non mi offendo facilemente.

    Non mi pare di aver offeso Gibson. Ho detto che da quello che trapela dalle righe che lui stesso ha scritto mi pare di capire che non ha la certezza matematica per denunciare nessuno. Probabilemente un sospetto ce l'ha.

    Già forse non ci siamo capiti.
    Prova a spiegaremi meglio, ci tengo a non sembrare un ottusone!! (anche so in fondo lo sono)

    Ciao
    non+autenticato
  • Perchè , come al solito , non si comincia a veder di risolvere il problemi di anonimita' in modo piu' semplice e sicuro ? Avete idea di quanto ci vuole al giorno d'oggi bucare un IIS 4/5 ?
    Bene e se una volta bucato il server ci cancelliamo anche i log ? E se cancellati i log perchè non ci installiamo sopra un bel BNC che non logga ?
    Insomma questo non per insegnarvi queste cazzate , ma per dire che Gibson questa volta puo' aver sparato una cacata pazzesca ! Se gli attacker avessero utilizzato degli IIS bucati come server zombie nel modo che suggerisco sopra ... chi andrebbe a pigliare ? I log non ci sono quindi ?!
    ciao !

    - Scritto da: Krecker
    > Non ho capito bene...
    >
    > Se anche c'ha tutti gli IP dei mittenti
    > del''attacco, e non credo visto che anche il
    > piu' dilettante (come me) avrebbe modificato
    > il protocollo e mandato pacchetti spoofati
    > (con IP di ritorno modificato a mano), sono
    > gli IP dei server Zombie, non di chi ne tira
    > le fila.
    > Le traccie dei gestori degli Zombie negli
    > Zombi stessi (tipo file di log) saranno
    > sicuramente state cancellate subito dopo
    > l'attacco.
    >
    > A meno che tutte queste mie conoscenzia
    > siano false, potrebbe essere onesto e dire
    > che non denuncia nessuno perche' non ha la
    > piu' pallida idea di chi denunciare.
    >
    > Dico bene o dico giusto?? Sorride
    non+autenticato
  • Sono d'accordo con te, quante volte ho usato grc per far vedere ai clienti le loro macchine aperte!!

    - Scritto da: mark_0ne
    > un uomo da stimare
    non+autenticato
  • Anche il PC di un mio amico smanettone è sempre aperto. Ha sempre qualcosa che non va.


    - Scritto da: Alessandro
    > Sono d'accordo con te, quante volte ho usato
    > grc per far vedere ai clienti le loro
    > macchine aperte!!
    >
    > - Scritto da: mark_0ne
    > > un uomo da stimare
    non+autenticato
  • Sara' ma io ho testato sul mio Linux PERFETTAMENTE CONFIGURATO e m'ha fatto una pippa quel coso... molto lamer come servizio
    ma che lo considerate a fare mi chiedo
    ah gia' siete lamersSorride

    - Scritto da: Gianfranco
    > Anche il PC di un mio amico smanettone è
    > sempre aperto. Ha sempre qualcosa che non
    > va.
    >
    >
    > - Scritto da: Alessandro
    > > Sono d'accordo con te, quante volte ho
    > usato
    > > grc per far vedere ai clienti le loro
    > > macchine aperte!!
    > >
    > > - Scritto da: mark_0ne
    > > > un uomo da stimare
    non+autenticato


  • - Scritto da: sietedeileim
    > Sara' ma io ho testato sul mio Linux
    > PERFETTAMENTE CONFIGURATO e m'ha fatto una
    > pippa quel coso... molto lamer come servizio
    > ma che lo considerate a fare mi chiedo
    > ah gia' siete lamersSorride
    >
    scusa, ma sei un po' ridicolo...ciao.
    non+autenticato


  • - Scritto da: mi fai sorridere
    >
    >
    > - Scritto da: sietedeileim
    > > Sara' ma io ho testato sul mio Linux
    > > PERFETTAMENTE CONFIGURATO e m'ha fatto una
    > > pippa quel coso... molto lamer come
    > servizio
    > > ma che lo considerate a fare mi chiedo
    > > ah gia' siete lamersSorride
    > >
    > scusa, ma sei un po' ridicolo...ciao.

    Sara' redicolo, ma devo ammettere che ha abbastanza ragione.
    Un utente Win* fa bene a preoccuparsi e guardare cos ha aperto (tutto). Un utente UNIX, anche se inesperto, è gia' barricato di suo.

    Ciao
    non+autenticato