هجوم Dyn DNS: لما بوت نت Mirai من كاميرات متهكرة عطّل نص الإنترنت

لساعات قليلة في يوم جمعة من أكتوبر 2016، الإنترنت نسي إزاي يلاقي نفسه.

Twitter فتح صفحة فاضية. Netflix دوّر وبعدين استسلم. Reddit وSpotify وGitHub وAirbnb وPayPal — كلهم موجودين، كلهم أونلاين، كلهم شغالين تمام على سيرفراتهم، وكلهم مش متاحين خالص. مفيش حاجة اتهكرت. مفيش داتا اتسرقت. المواقع كانت في نفس مكانها زي ما هي دايمًا. اللي انكسر هو الجزء من الإنترنت اللي بيقولك فين الأشياء.

الهجوم ماضربش Twitter أو Netflix. ضرب شركة معظم المستخدمين ماسمعوش عنها قبل كده: Dyn، شركة في New Hampshire بتشغّل DNS — دليل عناوين الإنترنت — لجزء كبير من الويب الحديث. والسلاح مكانش مزرعة سيرفرات أو ترسانة دولة. كان سرب من مراقبات الأطفال المتهكرة والكاميرات والراوترات المنزلية: أجهزة عادية في البيت، اتجنّدت بهدوء في جيش اسمه Mirai.

ده Domain Mayday EP08 — اليوم اللي فيه الكاميرات الذكية غير الآمنة أوقعت دليل تليفونات الإنترنت.

DNS: دليل تليفونات الإنترنت، ومكانة Dyn فيه

كل مرة بتكتب فيها اسم نطاق، الكمبيوتر بتاعك محتاج يترجمه لعنوان IP رقمي قبل ما يتصل بأي حاجة. الترجمة دي هي شغل DNS، نظام أسماء النطاقات. هو طبقة البحث بين الاسم اللي بني آدم يفهمه والماكينة اللي الاسم بيشير إليها.

Dyn كانت واحدة من أكبر مزودي خدمة البحث المُدارة دي. لما موقع كان بيسوّب DNS بتاعه لـ Dyn، سيرفرات الأسماء بتاعة Dyn بقت المصدر الرسمي لـ "الدومين ده فين؟" The Register وضّح الاعتماد ده بصراحة أثناء الهجوم: بضرب Dyn أوفلاين، محللات DNS العامة اللي شغالة عند Google والمزودين مقدرتش تتصل بـ Dyn عشان تعمل lookup للهوستنيم للمستخدمين، وحالت دون وصول الناس للمواقع اللي بتستخدم Dyn لـ DNS.

ده هو الهشاشة الهادية في قلب الحكاية دي. موقع ممكن يكون مثالي — سيرفرات متكررة، أبتايم كامل، مهندسين من الطراز الأول — ومع كده يختفي من الإنترنت لو المزود الواحد اللي بيجاوب على "فين هو؟" اتعطّل. زي ما CyLab في Carnegie Mellon لخّصت بعدين، النطاقات المتأثرة كانت معتمدة اعتمادًا كليًا على Dyn، مزود DNS خارجي. بمعنى تاني، اعتمدت عليه بشكل حصري، فلما Dyn وقع، وقعوا معاه.

21 أكتوبر 2016: الهجوم جه في موجات

فن مفاهيمي ملون وحي لموجة مد من حركة مرور مضيئة تتحطم فوق لوحة توصيل تليفونات مضيئة عملاقة، مع انطفاء أضواء الدليل فوق خريطة مظلمة

الهجوم بدأ صباح الجمعة 21 أكتوبر 2016، ومجاش ضربة واحدة. جه في موجات واضحة على مدار اليوم.

سجل Wikipedia للحادثة بيذكر ثلاث هجمات حجب خدمة موزعة متتالية ضد Dyn، ابتدت حوالي الساعة 11:10 UTC. الآلية كانت حجب خدمة موزع كلاسيكي: تم تنفيذ هجوم DDoS من خلال طلبات بحث DNS عديدة من عشرات الملايين من عناوين IP، بتغرق سيرفرات Dyn في قدر كبير من حركة المرور غير المجدية لدرجة إن البحث الحقيقي ماكانش بيعدي.

الموجات هي اللي خلّته يحس بالعنف المستمر. The Register وهو بيغطيه لحظة بلحظة وصف اللحظة اللي بدا فيها إن Dyn عادت — وبعدين ماعدتش: بعد ساعتين من الموجة الأولى من حركة المرور غير المجدية، Dyn أعلنت إنها تصدّت للهجوم والخدمة عم بترجع لطبيعتها. بس الراحة كانت قصيرة: بعد ساعة تقريبًا، الهجوم استأنف. اللي بدا نهاية كان مجرد فرجة بين الجولات.

من ناحية الحجم الخام، الهجوم كان ضخم لوقته — من أكبر أحداث DDoS اللي شوفت لحد النقطة دي، مع تعريف The Register للذروة بـ أكتر من 1 تيرابت في الثانية. (Dyn نفسها حذّرت إن "عاصفة المحاولة" من حركة المرور الحقيقية ورّمت بعض التقديرات الأولية، نقطة هنرجع ليها.)

الأماكن اللي اتعطّلت — وإزاي الحدوتة اتحسّت

لما سيرفرات Dyn مجبتش، الفشل تموّج للخارج لكل اللي بيعتمد عليها. مش كان ده ركن غامض من الويب. كان صفحة أولى للإنترنت الاستهلاكي.

تقرير The Register الحي سمّى بعض الضحايا بالاسم: هجوم مركّز استثنائي على Dyn استمر في تعطيل خدمات الإنترنت لمئات الشركات، بما فيهم عمالقة الإنترنت Twitter وAmazon وAirBnB وSpotify وغيرهم. قايمة Wikipedia للخدمات المتأثرة بتتلقى زي قايمة من هم الأبطال في وقتها: Airbnb وAmazon.com وCNN وGitHub وNetflix وPayPal وReddit وSpotify وTwitter، وعشرات غيرهم.

Brian Krebs، اللي موقعه نفسه اتضرب بنفس البرنامج الخبيث أسابيع قبل كده، وصف تجربة المستخدم العادي بإن الهجوم بدأ يخلق مشاكل لمستخدمي الإنترنت في الوصول لمجموعة مواقع، بما فيهم Twitter وAmazon وTumblr وReddit وSpotify وNetflix. للمستخدمين العاديين، ماكنش في رسالة خطأ مفهومة. المواقع ببساطة مكانتش بتتحمّل — أول ما بدأ على الساحل الشرقي الأمريكي، وبعدين اتوسّع مع الموجات الأحدث لتوصل لمستخدمين في الولايات المتحدة كلها وفي أوروبا.

إزاي حصل: جيش من الأجهزة الذكية غير الآمنة

فن مفاهيمي ملون وحي لآلاف الكاميرات الذكية المتهكرة المبتسمة والتوسترات ومراقبات الأطفال بتتسرب زي حشرات مضيئة نحو برج دليل واحد مثقل

ده هو الجزء اللي خلّى هجوم Dyn نقطة تحوّل: القوة النارية مجيتش من كمبيوترات. جت من أشياء.

Mirai برنامج خبيث بيصطاد أجهزة إنترنت الأشياء — كاميرات وراوترات وـDVR — وبيخطفها. بيشتغل عن طريق استغلال أضعف نقطة في العتاد الاستهلاكي: الباسورد اللي جاي منها الجهاز. زي ما The Register وصفه، Mirai بينتشر عبر الويب ويكبّر صفوف الزومبيز الطائعين بتاعه عن طريق تسجيل الدخول للأجهزة باستخدام كلمات المرور الافتراضية اللي جاءت بيها من المصنع عبر Telnet وSSH. Krebs وصف الآلية بنفس الصراحة: Mirai بيمسح الويب عن أجهزة IoT محمية بأكتر من أسماء مستخدمين وكلمات مرور افتراضية من المصنع، وبعدين بيجند الأجهزة دي في الهجمات.

الأجهزة اللي كانت في قلب هجوم Dyn كانت بشكل أساسي كاميرات ويب وDVR رخيصة. Krebs تتبّع البوت نت لـ كاميرات DVR وIP متهكرة بشكل أساسي صنعتها شركة صينية للتكنولوجيا الراقية اسمها XiongMai Technologies — أجهزة بيانات الدخول الافتراضية فيها، في حالات كتير، المستخدم ما يقدرش فعليًا يغيّرها لأن الباسورد كانت مدمجة في الفيرموير.

حاجتين حوّلوا Mirai من مشكلة صغيرة لكارثة. أول حاجة، مؤلف البرنامج الخبيث كان في آخر سبتمبر 2016 نزّل الكود المصدري بتاعه، وبالعملي خلّى أي حد يقدر يبني جيش هجوم خاص بيه. تاني حاجة، عدد الأجهزة القابلة للاستغلال كان ضخم. Dyn أكدت بصمة الهجوم: الشركة قدرت تأكد إن حجمًا كبيرًا من حركة مرور الهجوم جت من بوت نت مبنية على Mirai، وWikipedia بتصف البوت نت بإنه سرب من أجهزة متصلة بالإنترنت — زي طابعات وكاميرات IP وبوابات منزلية ومراقبات أطفال — اتأثرت ببرنامج Mirai الخبيث.

التداعيات: عدّ السرب — والمنفذين

لما الغبار اتفشّ، حتى السؤال الأساسي كان كبير قد إيه اتضح إنه صعب. تحليل Dyn بعد الحادثة، عن طريق نائب الرئيس التنفيذي Scott Hilton، قدّر البوت نت بـ لحد 100,000 نقطة نهاية ضارة — كبيرة، بس أصغر من "عشرات الملايين من عناوين IP" اللي بعض الأرقام الأولية كانت بتوحي بيها. الفرق جا من حلقة ردود فعل: الهجمات الضارة جت من بوت نت واحدة على الأقل، وعاصفة المحاولة قدّمت مؤشرًا زائفًا على مجموعة أكبر بكتير من نقاط النهاية مما اتضح بعدين. بمعنى تاني، سلوك "حاول تاني" الأوتوماتيكي للإنترنت كبّر الفوضى.

التداعيات القانونية أضافت لف. التلاتة شباب صغيرين وراء Mirai — Paras Jha وJosiah White وDalton Norman — في النهاية اعترفوا بالذنب عن دورهم في إنشاء وتشغيل وبيع الوصول لـ "بوت نت Mirai". بس بحلول وقت هجوم Dyn، Jha كان سبق ونزّل الكود المصدري للعموم — والمدعين العامين والصحفيين كانوا حريصين في الإشارة إن منفذي هجوم Dyn مش بالضرورة كانوا الثلاثي الأصلي. زي ما CyberScoop أفادت، لسه مش واضح، مثلًا، مين كان وراء الهجوم الأعلى صدى المرتبط بـ Mirai ضد شركة إدارة أداء الإنترنت Dyn. لما السلاح بقى مفتوح المصدر، أي حد قدر يضغط على الزناد.

بالنسبة لـ Dyn، الضرر التجاري كان حقيقي: في الشهور اللي اتلت، آلاف النطاقات نقلت DNS بتاعها لمكان تاني، درس مكلف في ثقة العملاء بعد يوم واحد سيء.

إيه اللي الحادثة دي بتعلّمنا عن تركيز مزود DNS

هجوم Dyn متذكّر كحكاية أمان إنترنت الأشياء، وهو كده فعلًا. بس درسه الأعمق هو عن البنية: خطر توجيه قدر كبير من الإنترنت عبر نقطة اختناق واحدة.

كل موقع اتعطّل في 21 أكتوبر كان اتخذ نفس القرار اللي بيبدو معقول — سوّب DNS لمزود واحد ممتاز. بشكل فردي، ذكي. بشكل جماعي، معناه إن إسقاط شركة واحدة يقدر يمحي جزء مهم من الويب دفعة واحدة. حكم CyLab كان إن دروس الهجوم اتطبّقت بس من قِبل عدد قليل من المواقع اللي اتأثرت بشكل مباشر، حتى بعد سنين.

الإجابة الدفاعية هي التكرار: توزيع DNS الموثوق على أكتر من مزود واحد عشان لا يكون أي انقطاع منفرد قاتل. بعد سنتين من Dyn، The Register لقت إن ده لسه نادر ولسه مؤلم — Cricket Liu من Infoblox لاحظ إنه لسه ما بقاش أسهل استخدام أكتر من مزود DNS موثوق، مثلًا (زي Dyn بالإضافة لـ Verisign أو Neustar). القدرة على استخدام مزودين متعددين هتحدث فرقًا كبيرًا. الدروس المستفادة لأي حد بيعتمد على نطاق:

النطاق له نقاط فشل أكتر من المسجِّل بتاعه. المزود اللي بيجاوب على "الاسم ده بيشير فين؟" بنفس قدر أهمية السيرفرات اللي وراه.
DNS من مزود واحد هو نقطة فشل واحدة. أبتايم ممتاز في الظروف الاعتيادية مش بيقول حاجة عن السلوك تحت فيضان من 1 تيرابت.
التركيز مريح وهش. نفس الكفاءة اللي بتخلّي مزود واحد جذاب بتخلّي انقطاعه محسوس على نطاق واسع.
المرونة صفة خاصة بالملكية، مش بس الاستضافة. لما حاجة تتكسر، محتاج تتحكم في تهيئة النطاق بتاعك بشكل كافٍ عشان تعيد التوجيه بسرعة.

الزاوية بتاعة Namefi

رسم توضيحي ملون لملكية نطاق قابلة للتحقق ومرنة — بطاقة نطاق مؤمنة بدرع خضراء وتوكن Namefi أخضر واستمرارية DNS

هجوم Dyn ماسرقش نطاق واحد. ماعملش حوالة مزيفة وماخطفش حساب مسجِّل. ومع كده، لساعات قليلة، الناس اللي امتلكوا النطاقات دي فقدوا فعليًا السيطرة على فين أسماؤهم بتشير — مش لأن ملكيتهم كانت موضع شك، لكن لأن الطبقة التشغيلية تحت نطاقاتهم فشلت دفعة واحدة.

الفجوة دي — بين امتلاك اسم والتحكم الموثوق في فين بيتحلّ — هي بالضبط الفتق اللي الهجمات زي دي بتستغله. النطاقات من بين أقيم الأصول اللي بيمتلكها أي عمل، مع كده تحكمها غالبًا بيكون وراء بنية تحتية مبهمة ومركزية المالك مش قادر يتحقق منها ولا يعيد تهيئتها بسرعة تحت الضغط.

Namefi مبني على فكرة إن النطاقات المفروض تتصرف زي أصول أصيلة على الإنترنت: ملكية قابلة للتحقق الكريبتوجرافي وقابلة للنقل، مع بقاءها متوافقة تمامًا مع DNS. ملكية نطاق موثوقة ومتحكم فيها من المالك ما بتوقفش بوت نت — بس بتدفع العالم نحو إنترنت فيه التحكم في الاسم قابل للإثبات والمراجعة، وغير معتمد بشكل صامت على أسوأ يوم في حياة مزود واحد. هجوم Mirai-Dyn تذكير إن النطاق اللي "بتمتلكه" مرون بقدر الطبقة اللي بتجاوب عنه. المرونة بتبدأ بجعل الملكية والتحكم حاجة تقدر فعلًا تتحقق منها.

المصادر وقراءة إضافية

Krebs on Security — كاميرات وDVR متهكرة دعمت انقطاع الإنترنت الضخم اليوم
Wikipedia — هجمات DDoS على Dyn
The Register — دمار DNS: مواقع كبيرة اتأثرت وDyn وقعت تاني
The Register — النهارده الويب اتكسر بسبب أجهزة متهكرة لا تعد: ملخص 60 ثانية
The Register — Mirai، Mirai، اهكرهم كلهم: مين أعظم بوت نت؟
The Register — في السنتين اللي فاتوا من بعد ما Dyn اتوقفت، إيه اللي اتعلمناه؟ مش كتير على ما يبدو
BankInfoSecurity — جيش بوت نت من "لحد 100,000" جهاز IoT عطّل Dyn
Carnegie Mellon CyLab — أربع سنين من بعد هجوم Mirai-Dyn… الإنترنت بقت أأمن؟
CyberScoop — ثلاثة رجالة اعترفوا بالذنب في أدوارهم في إمبراطورية بوت نت Mirai