DynDNS
Det är främst företaget DynDNS, även känd som Dyn.com, som attackerats med mycket kraftiga attacker. Detta kan påverka alla som använder deras DNS-tjänst vilket är väldigt många som gör.
De som påverkats
De stora tjänster och hemsidor som påverkats och som besökare inte kommit in på flera timmar är följande:
- Paypal
- Netflix
- Wordcamp
- Github
- Esty
- Soundcloud
- Spotify
- Amazon
- Heroku
- Shopify
- PagerDuty
- Zendesk
- Braintree
- Fastly
- CloudFlare
- USA Today
- Time Magazine
Användare i Europa, som Tyskland, Storbritannien och Frankrike har drabbats men också Asien har drabbas av problem, om än i mindre omfattning
Indirekt påverkan
Utöver dessa är det flera andra mindre tjänster och hemsidor som påverkats, bla sf.se, krisinformation.se i Sverige och flera privata hemsidor som inte direkt själva använder DynDNS. Det går till så att flera hemsidor, ofta utan att veta om det, använder olika externa tillägg för bla design, betalning mm enligt följande:
- Externa komponenter som teckensnitt, stil-ark, JavaScript (som jQuery), bilder eller liknande hämtas ofta från extern server. Dessa kan bli otillgängliga om leverantören använder DynDNS. Lösningen ligger i att inte använda sådana externa tjänster.
- Integration med sociala medier som exempelvis Twitter kan påverka hemsidan om hemsidan har någon form av koppling dit. Speciellt om Twitter API blir otillgänglig, kan attacken belasta hemsidan och det kan påverka användarens förmåga att dela inlägg.
- Om dina säkerhetskopior förvaras på en extern domän finns möjligheten att du inte kommer åt kopian eller att det inte går att ta en backup på hemsidan. Det finns också en risk för att din backup blir förstörd om den skrivs över av en ny backup och plötsligt avbryts av attacken.
- Flera sidor med betaltjänst går det inte att betala under attacken även om det ser ut som det går. Risken är överhängande att man tror sig ha betalt men att betalningen inte gått fram.
Man löser sådana här attacker genom att tillfälligt använda en annan DNS-leverantör. Problemet är att ett sådant byte kan ta upp till 48 timmar eller ibland så mycket som 5-6 dagar.
Vi avslöjar nu varifrån attackerna kommer
Vem är det då som är skyldiga till dessa attacker? Jo, det är något som kallas för Mirai Botnet som smittat nätapparater. Dessa apparater står uppkopplade mot nätet och är dåligt skyddade. Det kan vara routrar, IP-kameror, och andra liknande uppkopplade apparater men det kan också vara oskyddade datorer och servrar. Det går till så att dessa oskyddade apparater och datorer smittas medvetet av “Mirai malware”. Malwarekoden har dessutom nyligen släppts fri för alla att använda. Så vi har en framtid av mycket attacker att se fram(!) emot för vi vet alldeles för väl hur rymliga tangentbordsnördars samveten är och den minst sagt ringa förståelsen för konsekvenser. Redan, bara någon vecka efter att källkoden släpptes har antalet infekterade enheter fördubblats. Flera kännare på området säger att vi har en dyster framtid på nätet att se fram emot.
Vilka eller vilken som styrde dessa Miraibotar råder det delade meningar om, det kan vara en grupp på nätet som “leker” och det kan vara staters underrättelsetjänster, även egna sådan, som testar beredskapen eller vill tvinga fram lösningar för att snabbt förhindra liknande attacker i krislägen.
Men Flashback då?
Det är i skuggan av detta vi skall se det som hänt Flashback. De har antagligen använt DynDNS eller någon del av forumet använder tjänster som i sin tur använder DynDNS. Detta gjorde att Flashback var nere i en vecka innan ändringen av DNS-tjänsten gick igenom. Förmodligen gick detta via Holland där två nätrelaterade företag troligtvis också var angripna av Mirai Botnet. Det är alltså ingen som riktade in sig på Flashback, det är de för små för, de råkade bara stå i vägen.
Se också Flashback – Nere