وضعیت اینترنت در سه‌ماهه دوم 2014

شرکت  Akamai Technologiesهر سه ماه یک بار گزارشی را با عنوان «وضعیت اینترنت» منتشر می کند. در این مطالعه، داده‌هایی از سراسر دنیا جمع‌آوری و تحلیل شده و در نهایت گزارشی شامل اطلاعاتی آماری درباره ترافیک حمله‌ها، سرعت اینترنت و غیره منتشر می شود. این شرکت به تازگی گزارش خود را درباره سه‌ماهه دوم سال 2014 منتشر کرده است. در ادامه، خلاصه‌ای از مهم ترین بخش های امنیتی این گزارش را مطالعه می کنید.

 

ترافیک حمله، کشورهای برتر مبدأ حملات

در طول سه‌ماهه دوم سال 2014، آکامایی مشاهده کرده است که ترافیک حمله از 161 کشور/ منطقه یکتا نشأت گرفته است که این تعداد در سه‌ماهه پیش از آن، 194 مورد بوده است. همان‌طور که در شکل 1 مشاهده می‌کنید، چین همچنان در مکان اول جدول قرار دارد و مسئول 43% از حملات مشاهده شده بوده است و ترافیک حمله تولید شده توسط آن،نزدیک به سه برابر کشور بعدی یعنی اندونزی است که ترافیک حمله آن نسبت به سه‌ماهه اول حدود دو برابر شده است. ایالات متحده تنها کشور دیگر این فهرست است که بیش از 10% ترافیک حملات را به خود اختصاص داده است و با اندکی افزایش نسبت به سه‌ماهه قبل، به 13% رسیده است. در میان سایر کشورهای این فهرست، تنها تایوان است که شاهد افزایش ترافیک حملات در این سه‌ماهه بوده است و سایر کشورها با کاهش درصد حملات مواجه بوده‌اند. ترکیب کشورهای این فهرست در سه‌ماهه اول و دوم ثابت بوده است. تمرکز کلی ترافیک حمله مشاهده شده در سه‌ماهه دوم افزایش یافته است و 10 کشور برتر، مسئول 84% از ترافیک حمله تولید شده بوده‌اند که این میزان در سه‌ماهه اول 75% بود.

شکل 1: کشورهای برتر مبدأ ترافیک حمله در سه‌ماهه‌های اولو دوم 2014

 

به دلیل افزایش درصد مشارکت چین و اندونزی در تولید ترافیک حمله، تمرکز ترافیک حمله مشاهده شده از منطقه آسیا – اقیانوسیه در دومین سه‌ماهه سال 2014 رشد داشته و به 75% رسیده است. این میزان پنج برابر تمرکز مشاهده شده در آمریکای شمالی است که مبداء 14% از ترافیک حملات بوده است. اروپا شاهد تمرکز حمله 11% بوده و کمترین حجم حملات متعلق به آمریکای جنوبی و آفریقا بوده است که به ترتیب 4.3% و 0.3% ثبت شده است.

 

ترافیک حمله، پورت‌های برتر هدف حملات

همان‌طور که در شکل 2 مشاهده می‌کنید، ترافیک حمله‌ای که پورت 80 را هدف قرار داده است نسبت به سه‌ماهه اول تقریباً دو برابر شده و به 15% رسیده است و به این ترتیب پورت 445 را به رده دوم این جدول رانده است. این سومین بار است که پورت 445 در مکان اول جدول قرار ندارد و نکته جالب این است که همین اتفاق در سه‌ماهه دوم سال 2013 نیز رخ داده بود. البته این بار بر خلاف سال قبل، درصد ترافیک حمله‌ای که پورت 445 را هدف قرار داده است نسبت به سه‌ماهه اول ثابت باقی مانده و تنها پورت در میان ده پورت برتر است که شاهد افزایش ترافیک حملات نبوده است. به این ترتیب، تمرکز ترافیک حملات در میان ده پورت برتر هدف حملات به طور چشمگیری نسبت به سه‌ماهه قبل افزایش یافته و از 55% به 71% رسیده است.

 

شکل 2: پورت‌های برتر هدف حملات در سه‌ماهه‌های اول و دوم 2014

 

اگرچه پورت 80 بیشترین هدف حملات در سه‌ماهه دوم بوده است، اما این پورت در هیچ‌یک از ده کشور برتر تولید کننده ترافیک حمله، بیشترین هدف حملات نبوده است. البته این پورت در سه کشور این فهرست با فاصله قابل توجهی نسبت به سایر پورت‌ها، دومین پورت هدف حملات بوده است.نیمی از ده کشور برتر فهرست شاهد بیشترین حملات بر روی پورت 445 بوده‌اند، در حالیکه پورت 23 در چین، کره جنوبی و ترکیه بیشترین هدف حملات بوده است که این به معنای تلاش‌های مداوم برای شناسایی پورت‌های باز Telnet است. دو کشور دیگر این فهرست یعنی اندونزی و ایالات متحده بیشترین حملات را بر روی پورت‌های 443 و 1433 مشاهده کرده‌اند که به معنای تلاش‌های بی‌وقفه برای سوء استفاده از برنامه‌های مبتنی بر وب و پایگاه‌های داده مرتبط با آنهاست.

 

حملات انکار سرویس توزیع شده

در سه‌ماهه دوم سال 2014، تعداد حملات انکار سرویس گزارش شده به آکامایی کاهش داشته و همانطور که در شکل 3 مشاهده می‌کنید، از 346 حمله در سه‌ماهه آخر 2013 و 283 حمله در سه‌ماهه اول 2014، به 270 حمله رسیده است. این میزان نشان دهنده کاهش 5 درصدی این حملات نسبت به سه‌ماهه قبل و کاهش 15 درصدی نسبت به سه‌ماهه مشابه سال قبل است.

شکل 3: تعداد حملات انکار سرویس در سه‌ماهه‌های مختلف

 

شکل 4 نشان می‌دهد که در حالیکه تعداد کلی حملات گزارش شده به آکامایی توسط مشتریان در دومین سه‌ماهه کاهش یافته است، اما حملات در قاره آمریکا افزایش داشته و با افزایش 11 درصدی، از 139 حمله به 154 حمله رسیده است و 57% از کل حملات گزارش شده را تشکیل داده است. منطقه آسیا – اقیانوسیه شاهد بیشترین کاهش (23%) در حملات بوده و از 87 حمله در سه‌ماهه اول به 67 حمله در سه‌ماهه دوم رسیده است. این منطقه 25% از حملات سراسر جهان را به خود اختصاص داده است. منطقه اروپا / خاور میانه / آفریقا نیز کاهش متوسط 14 درصدی را در این سه‌ماهه تجربه کرده است و از 57 حمله در سه‌ماهه اول به 49 حمله در سه‌ماهه دوم رسیده است و در مجموع 18 % از کل حملات گزارش شده متعلق به این منطقه بوده است.

شکل 4: توزیع منطقه‌ای حملات انکار سرویس توزیع شده در سه‌ماهه دوم 2014

 

مطابق شکل 5 توزیع حملات بر اساس صنعت نشان می‌دهد که کاهش حملات بین نخستین و دومین سه‌ماهه بیشتر در بخش عمومی اتفاق افتاده است. در حالیکه بخش‌های تحاری و شرکتی نسبت به سه‌ماهه قبل تقریباً تغییری نداشته‌اند. حملات علیه بخش High Tech 60% رشد داشته است که به نظر می‌رسد بیشتر یک روند کلی مربوط به صنعت باشد و نه تعداد زیادی حمله علیه هر نهاد منفرد صنعتی. در حالیکه حملات علیه بخش رسانه و سرگرمی با کاهش 11 درصدی مواجه بوده است، بخش عمومی با بیشترین کاهش در حملات روبرو شده و بیش از نیمی (54%) از تعداد حملات گزارش شده آن در سه‌ماهه اول کاسته شده است.

شکل 5: توزیع حملات انکار سرویس توزیع شده بر اساس انواع شرکت‌های هدف در سه ماهه دوم 2014

 

یکی از جالبترین جنبه‌های سه‌ماهه دوم 2014 این واقعیت است که مطابق شکل 6، آکامایی شاهد کاهش تعداد تکرارهای حملات علیه اهداف هر حمله بود. در سه‌ماهه دوم حملات توسط 184 هدف مختلف گزارش شده‌اند که بیشترین تعداد اهداف از زمان آغاز رصد این نوع حمله‎‌ها است. درصد مشتریانی که شاهد حملات متوالی بوده‌اند از یک چهارم (26%) به حدود یک ششم (18%) رسیده است. تنها دو مشتری بیش از پنج بار توسط حملات انکار سرویس توزیع شده هدف قرار گرفته‌اند و بیشترین تکرار حملات بر روی یک هدف، هفت حمله بوده است که این عدد در سه‌ماهه پیش 17 حمله بود. توضیح روشنی برای علت کاهش تعداد تکرار حملات وجود ندارد، ولی به هر حال این موضوع برای قربانیان این حملات خوشایند است.

شکل 6: فرکانس تکرار حملات انکار سرویس توزیع شده

 

Heartbleed

در سه‌ماهه دوم 2014، دنیا از یک آسیب‌پذیری جدی که کاربران OpenSSL را تحت تأثیر قرار می‌داد آگاه شد. این آسیب‌پذیری Heartbleed نام گرفت. Heartbleed یک نقص امنیتی در پیاده‌سازی TLS است که در آن یک مهاجم درخواستی ارسال می‌کند که باید اکو شود و طول پاسخی را که باید اکو شود مشخص می‌کند. از آنجا که طول پاسخ در مقابل طول درخواست ورودی چک نمی‌شود، یک سرور می‌تواند با اطلاعاتی که اتفاقی در حافظه وجود دارد پاسخ دهد: تا 64 کیلوبایت به ازای هر درخواست.

دو راه متفاوت برای افشای محتویات حافظه وجود دارد. نخستین روش محتویات بافرهای OpenSSL را افشا می‌کند. OpenSSL فضای حافظه خود را برای درخواست‌ها و پاسخ‌ها مدیریت می‌کند و بدون پاک کردن مجدداً از آنها استفاده می‌کند. این به خودی خود نقص امنیتی نیست، اما تأثیر Heartbleed را شدت می‌بخشد. هنگامی که کاربری به یک برنامه تحت وب لاگین می‌کند، نام کاربری و کلمه عبور در درون یک بخش (حداقل 16 کیلوبایت) از حافظه بافر OpenSSL ذخیره می‌شود. سپس یک حمله Heartbleed انجام شده و درخواست نیز همان بخش از حافظه را به خود اختصاص می‌دهد. از آنجاییکه مهاجم صرفاً یک حجم کوچک داده ارسال می‌کند، فقط چند بایت اول آن بخش از حافظه را بازنویسی می‌کند و بقیه حافظه در دسترس مهاجم قرار می‌گیرد.

روش دوم افشای محتویات حافظه زمانی اتفاق می‌افتد که OpenSSL، آن حافظه 16 کیلوبایتی را به 48 کیلوبایت حافظه که پس از آن قرار دارد ملحق می‌کند. این بخش 48 کیلوبایتی لزوماً متعلق به OpenSSL نیست، بلکه ممکن است متعلق به کد دیگری که در همان پردازه اجرا می‌شود باشد. در نتیجه OpenSSL ابتدا بخش 16 کیلوبایتی حافظه را کپی می‌کند و سپس هرچیز دیگری را که در 48 کیلوبایت بعدی وجود دارد کپی می‌نماید.

Heartbleed کلیه افرادی را که از OpenSSL نسخه‌های بین 1.0.1 و 1.0.1f استفاده می‌کنند تحت تأثیر قرار می‌دهد.