Firma Microsoft przedstawiła na swoich stronach internetowych oficjalne wyjaśnienia dotyczące ostatnich kłopotów z dostępnością do ich serwerów.
Okazuje się, że wczorajsze kłopoty związane były z atakiem DoS na router, który był odpowiedzialny za połączenia z serwerami WWW. MS nie łączy tego wydarzenia, z tym które miało miejsce dzień wcześniej, a które było spowodowane błedem w konfiguracji routera. Atak DoS nie był przeprowadzony na produkt Microsoft, a w czasie jego atku serwery MS pozostawały nienaruszone. Sprawę zgłoszono do FBI. Znamy już wyjaśnienia. Pozostaje pytanie jaki produkt został skutecznie zaatakowany?. Być może niedługo ukaże się tzw. advisory, omawiające sposoby zabezpieczenia się przed atakiem DoS na router. Tylko na jaki router? Zakładamy oczywiście, że słabość systemowa został zgłoszona odpowiedniemu producentowi. Próbując wyciągnąć lekcję a nie krytykując, warto zwrócić uwagę na nieodpowiednią procedurę zarządzania zmianami w ważnym miejscu sieci jakim jest styk z siecią rozległą, która to procedura (albo jej brak) doprowadziła do błędnej konfiguracji routera.

http://www.microsoft.com/info/siteaccess.htm

Dosyć tajemnicze, a w każdym bądź razie nie do końca wyjaśnione kłopoty, przeżywała ostatnio firma Microsoft. Problemy były związane z dostępnością do głównych serwisów firmy.
Najpierw dokonano włamania i podmiany strony na serwerach MS w Australii i Nowej Zelandii. MS określiło te włamania jako dokonane za pośrednictwem mało używanego, i nie przechowywującego istotnych informacji, serwera. Następnego dnia, główne serwery firmy (Microsoft, MSN, MSNBC, WindowsMedia, Encarta, Carpoint) były dosyć trudno dostępne dla użytkowników. Objawy wskazywały na atak typu Denial of Service. MS z początku w ogóle nie zgadzał się z opiniami, że był to atak, następnie ich nie wykluczał. Ciekawe jednak, że dostęp do serwerów z pominięciem serwisu DNS, czyli wpisaniem na wprost adresu IP, pozwalało na swobodny, nieopóźniony dostęp do wskazanych wcześniej stron. Wskazywałoby to, że nie było żadnego ataku DoS, a tylko wewnętrzne problemy MS, z ich sewerami wewnętrznymi DNS. Obserwatorzy jak na razie wymieniają się opiniami na ten temat i nie ma jednoznacznej interpretacji całego przypadku. Stwierdzenie jednego z nich, że włamanie na nowozelandzki serwer odbyło się z wykorzystaniem znanej już słabości, która powinna być załatana, jest z pewnością mocno sugestywne, ale niestety nie poparte żadnymi znaczącymi dowodami.

http://www.wired.com/news/print/0,1294,41387,00.html

Według wielu obserwatorów i specjalistów brak umieszczania odpowiednich patchy na obsługiwanych serwerach jest główną przyczyną włamań do systemów komputerowych. W szczególności zasada ta dotyczy serwerów WWW.
Informacje tego typu są niestety często ignorowane przez użytkowników sieci, co w rezultacie prowadzi do mniejszej lub większej tragedii. Co gorsza wielu nawet nie ma świadomości, że tak jest. Specjalista d/s bezpieczeństwa z Honeynet Project, stwierdza jednoznacznie: “Wymieniłbym bym łatanie pośród dwóch najważniejszych rzeczy jakie administratorzy mogą zrobić aby zabezpieczyć swoje serwery”. Dane zebrane przez Honeynet Project wskazują, że niezabezpieczony komputer dołączony do sieci “czeka” średnio trzy tygodnie na włamanie. William Fithen z CERT Coordination Center podsumowuje dywagacje na ten temat: “Jeżeli nie inwestujesz w utrzymanie bezpieczeńśtwa twoich maszyn, marnujesz swoje pieniądze”. Niektóre ze słabości systemowych od miesięcy i lat posiadają swoje “łaty”, a mimo to nadal są jednymi z najczęstrzych przyczyn włamań. Na zeszłorocznej konferencji SECURE 2000, organizowanej przez CERT Polska (dawniej CERT NASK) szczegółowo poruszany był powyższy temat i spotkał się on ze sporym zainteresowaniem. Jeszcze raz odsyłamy do publikacji będącej inspiracją konferencyjnej tematyki, która przybliża ten temat i pozwala na zorganizowanie dobrego systemu dbającego o proces aktualizacji “łat systemowych”.

http://www.cert.pl/index2.html?action=show_news_more&nid=8
http://news.cnet.com/news/0-1007-201-4578373-0.html?tag=st.ne.1002.unknURLtag=unkn