Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 109 reacties
Bron: Reuters, submitter: curry684

Het Blaster-virus heeft getracht een aanval uit te voeren op Microsoft, maar door goede voorzorgsmaatregelen te nemen heeft de software-gigant grote schade weten te voorkomen. Blaster verspreidde zich razendsnel over ruim 350.000 computers in Amerika en deze zouden gezamenlijk de aanval openen op de website van Microsoft. De software-reus liet zich echter niet meteen uit het veld slaan en nam direct maatregelen. Zo werd de update-site van het bedrijf bijvoorbeeld verhuisd naar een cluster van Linux-servers. Dit om te voorkomen dat Blaster gebruik zou maken van een lek in Windows Server 2003 waar de website eerder op geserveerd werd. Overigens is er nog een andere reden die ervoor zorgde dat de Blaster-aanval mislukte. Het virus richtte de aanval op het compleet verkeerde adres.

Moderatie-faq Wijzig weergave

Reacties (109)

Jongens, we kunnen kort en lang ouwehoeren over de vraag of MS nou bewust of onbewust WU op Linux heeft gezet (of heeft laten zetten). Feit is, dat het er staat. En dat is gezichtsverlies van de grootst mogelijke magnitude.
Dit soort verhalen worden nl. altijd compleet uit hun verband gerukt (zie de titel die deze tekst eerst zou krijgen en de titel die stukken hierover op veel andere sites kregen). Het is helemaal niet interessant voor veel media dat MS naar Akamai is gegaan voor hulp. Akamai heeft in het verleden veel financiele steun van MS gekregen, dus dat is een logische stap. Wat veel media prachtig vinden, is dat Akamai (en dus WU tijdelijk) Linux gebruiken.
Dát is wat de mensen zullen onthouden, dát is wat op veel sites staat, dát is wat de aandacht trekt.

Feit is, dat MS dit gezichtsverlies op de koop toe heeft genomen en WU tóch naar Akamai heeft gebracht. Ik ben geen MS fan, maar dat getuigt op zijn minst van een enorme dosis karakter en ballen van staal.

"Die site moet in de lucht blijven".
"Maar dan moeten we op Linux draaien".
"Fuck it, beter gezichtsverlies dan verliezen van een virusmakend scriptkiddie!"

Kudos, MS.
Jongens, we kunnen kort en lang ouwehoeren over de vraag of MS nou bewust of onbewust WU op Linux heeft gezet (of heeft laten zetten). Feit is, dat het er staat. En dat is gezichtsverlies van de grootst mogelijke magnitude.
Met name omdat media zich kennelijk absoluut niet interesseren in de achtergrond en technische principes, als er maar ergens het woord linux in voorkomt is dat voor de media voldoende

MS is kennelijk niet zo kleinzielig als de rest van de wereld en gebruikt gewoon wat haar uitkomt, en als dat de diensten van een ander zijn so be it.
Een beetje jammer dat er elke keer een hoop gehuil uitbreekt als ze dat doen maar wie weet worden al die linux kiddies ook eens groot
Dat zeg ik dus. En wat kleinzielig betreft: 'linux kiddies'?
Als je de boeken van Gates hebt gelezen dan past dit verhaal er ook goed in;

Uit de analysesvan Gates komt daarin veelvuldig naar voren dat bedrijven vaak te star/halstarrig zijn in het volgen van de ingeslagen weg en daardoor te laat ingrijpen of nog kunnen ingrijpen. Die flexibiliteit om je visie desnoods 180 graden om te gooien is van levensbelang. Bekendste voorbeeld is wel het 'bijna' missen van de internet-boot door MS.

Achteraf worden dit soort akkefietjes anekdotes voor in het volgende boek (640 k is genoeg }> )
En als Akamai aandeelhouder verdient MS ook nog aan Linux ;)
het schijnt dat dat adres met opzet verkeerd was, en dat het aantal verzonden packets met opzet laag is gehouden.(de dader wilde dus misschien alleen kijken wat ie zou kunnen doen, niet het daadwerkelijk doen)
zie ook http://grc.com/default.htm
Packetgrootte wordt opzettelijk laag gehouden, zodat modem verbindingen geen last van de ingenomen bandbreedte hebben, dan zijn mensen (denk 3e wereld - 64kbps verbindingen) minder snel geneigd om te upgraden.

Perfect doelwit voor MS-blaster of elke andere ddos tool.
Microsoft update werd verhuisd naar Akamai Technologies Inc, die inderdaad een cluster van Linux servers er tegenaan gooide. Maar wat misschien wel leuk is om te weten is dat Apple een substantieel aandeel heeft in Akamai.
microsoft had dus elke concurent nodig om de update site overeind te houden.
}> }>

wijz:
http://uptime.netcraft.com/up/graph?site=www.windowsupdate.com


Hoezo dubbelpost? als je goed gekeken had, zou je gezien hebben dat ik de eerste was.
Dat Akamai is wel een goed concept .. voor iedereen een mirror dichtbij :)
Bij mijn weten bestaat Apple nog omdat MS daar flink heeft geinvesteerd.

Bovendien had Akamai netzo goed Windows machines kunnen gebruiken. Het OS is bij een DDOS nauwelijks boeiend. Ook linux en unix sites kan je onbereikbaar maken met een DDOS
MS investeerde in Apple ten tijde van de eerste grote rechtszaken tegen MS, om zo te kunnen "bewijzen" dat ze geen monopolie hadden.

Apple is heden ten dage een gezond bedrijf dat geen financiele injecties van MS nodig heeft om het hoofd boven water te houden. Sterker nog, een van de weinigen in de sector samen met datzelfde MS die met winst draaien...

En het blijft schrijnend en typerend om te zien dat MS blijkbaar geen hostprovider van het kaliber Akamai kon vinden die MS besturingssystemen gebruikt...

Overigens is de inzet van Akamai niet iets wat ze deze week plotseling bedacht hebben, ze doen al enkele jaren zaken met Akamai voor dit soort diensten. Ook als er geen calamiteiten zijn. En Akamai draait Linux.

Dus MS verdient helemaal geen pluim, Akamai verdient die, omdat zij de expertise en de technologie in huis blijken te hebben om (met behulp van Linux :) ) hun vaste klant MS te beschermen tegen zo'n DDoS aanval.
Deze redenering (maar toegegeven tot nu toe altijd de linux-variant) heb ik nu al zeker 50 keer gezien in de afgelopen dagen. Dit is -sorry- toch echt een enorm broodje aap.

- Akamai is (zoals hier al eerder genoemd) een distributed server systeem voor high bandwidth content
- Microsoft is al langer klant bij Akamai
- Het gaat er niet om wat voor machines Akamai draait of wie er aandeelhouder in is, maar om het feit dat het een reverse proxy systeem is. Het is een goed idee om dat te gebruiken als je een DDOS attack verwacht omdat de aangevallen partij dan ook distributed is (je denkt dat je naar steeds dezelfde machine gaat, maar in feite kom je uit op een van vele mirrors bij jou in de buurt).
Ach... hotmail heeft ook een tijd op FreeBSD gedraaid. En het financiele systeem van Microsoft in verschillende landen draaide ook op een niet-windows systeem.

Je komt pas arrogant over als je denkt dat alles met jouw produkt (windows) het beste kan, je komt reeel over als je erkent dat in sommige gevallen produkten van anderen (bv. linux) net even een tactischere keuze is.

Ik ben zelf helemaal over op Linux maar dat betekent niet dat ik m'n w2k laptopje afzweer, sterker, die is wel zo handig voor allerlei dingen ook al zou het vast ook kunnen onder linux.
Toch een redelijk slecht virus, had een stuk efficienter gekund, ik weet niet precies hoe dit virus zich verspreid heeft, maar het is mogelijk om met permutation scanning (worm weet of een doelwit al besmet is) - "self coordination", hit-list scanning, topological scanning etc.... de worm een stuk efficienter te maken, deze zou zich dan in een erg korte tijd (half uurtje) kunnen verspreiden in plaats van een halve week.... De eigenaar van het virus zou (als hij echt goed was) een worm geschreven hebben waarover hij nog controle had (elke worm moet dan van een paar anderen weten waar ze zitten, dan kan je op een paar een commando/update loslaten zodat de payload gedistrubueerd wordt over alle worm instanties)

Maar, even terug toe the point, bij een test van meerdere wormen, in een kunstmatige omgeving van 300.000 kwetsbare machines en overal 10 scans per seconde mogelijk, dan doet een conventionele worm (zoals deze) er ongeveer 7 uur over om van 0 naar bijna 300.000 te komen.... een warhol worm (stuk efficienter etc) doet over eenzelfde hoeveelheid besmettingen ongeveer 15 minuten....

kortom, als je in 15 minuten 300.000 computers kan pakken, dan heb je die windowsupdate site een stuk eerder plat dan als je rustig gaat verspreiden, in het nieuws komt met "ik ga windowsupdate aanvallen" en iedereen de mogelijkheid geeft om nog even te patchen......

(bron: how to 0wn the internet in your spare time, onderzoek naar viruswerking, verspreiding en controle)
Het nieuwsbericht staat hier nog enigszins zakelijk weergegeven, maar op NOS-TT staat het anders:

http://teletekst.nos.nl/gif/121-01.html
***************************************
Microsoft slaat virusaanval af

***************************************
UTRECHT Software-gigant Microsoft lijkt
de aanval via besmette computers op de
eigen site te hebben afgeslagen.Het
bedrijf had tegenmaatregelen genomen en
ook had de virusmaker een fout gemaakt.

Het MSBlast-virus heeft sinds begin
deze week honderdduizenden computers
besmet.Die hadden gisteren om 12.00 uur
lokale tijd de aanval moeten openen op
de Microsoft-site,gebruik makend van
een lek in de software van Microsoft.

Het virus richtte de aanval echter op
het verkeerde adres.Uit voorzorg had
Microsoft bovendien de link naar het
goede adres verwijderd en de capaciteit
van de server vergroot.
***************************************
Zo lijkt het net of ze te maken hadden met Skynet, of een alien-invasie... :)
Maar goed, als het allemaal waar is, het is toch wel weer typerend hoor, DDOS op MS. Erg flauw. Microsoft is een groot bedrijf met veel macht, maar is dat dan per se erg, ofzo? Als het je niet bevalt, zijn er meer Linux distro's dan haren op je hoofd, met allemaal freeware software.

Talk to the hand! 8-)
Dit om te voorkomen dat Blaster gebruik zou maken van een lek in Windows Server 2003 waar de website eerder op geserveerd werd
Ik neem aan dat ome Bill zelf wel eens controleert of er nog updates zijn (geinstalleerd). Dat gaat allemaal automatich met winxp en win2ksp4 trouwens.

De reakties op de actie van MS zijn ook weer lekker voorspelbaar: De anti-MSers en de media zijn ook nooit tevreden he; is de attack mislukt, dan valt er nog wel weer wat te zeiken over de manier waarop.
Als de attack de bandbreedte van de oude update site helemaal had dichtgetrokken dan had het Windows systeem de schuld gekregen; dat die windows server nog gewoon draait is niet belangrijk, als de journalist maar een story kan schrijven dat het volk slikt, dan is het goed.
Het lijkt meer op een reclame-stunt c.q. hoax dan een echte aanval.
Maar het blijft leuk om te zien dat als gegevens veilig moeten zijn, deze op Linux servers moeten worden ondergebracht.
In het artikel van Reuters staat alleen niks (meer?) over het gebruik van linux. Ik ben benieuwd waar die wijsheid dan vandaan komt.

Wat wel te zien is (via netcraft) is dat microsoft de diensten van Akamai nu gebruikt voor windowsupdate. Daardoor worden requests naar geografisch verschillende locaties gestuurd, die zo dicht bij mogelijk liggen. Die Akamai machines draaien linux volgens netcraft, maar de webserver zegt IIS 6 te zijn. Grote kans dat deze info niet betrouwbaar is.
(http://uptime.netcraft.co...ndowsupdate.microsoft.com)
MS gebruikt al sinds 2001 Akamai voor DNS backup en Content caching. Ook heeft Akamai een groot aantal Windows servers voor WM streaming.
Sinds 1999 is MS een grote aandeelhouder van Akamai.

Je ziet IIS 6 omdat de pagina's vanaf een IIS 6 komen, de Akamai cache is een reverse proxy server specifiek ontworpen om zeg maar lokale mirrors van een site te hebben ipv rechtstreeks naar de site te gaan.
Nogmaals het ging om een DDOS attack die zou worden uitgevoerd op www.windowsupdate.com. Wedden dat bij een DDOS attack een linux, Unix, Mac OS X, *BSD en Windows server allemaal net zo onbereikbaar waren geweest (uitgaande van dezelfde stituatie).
Maar als gebruik gemaakt wordt van een lek in Win2003 om een procesje te draaien dat de processor zó druk bezighoudt dat er geen andere processen meer mogelijk zijn, heb je ook te maken met DOS, en wel een die niet op een linux machine gelukt zou zijn.
Je moet hier trouwens ook niet zo zeer zien dat Microsoft nu op Linux teruggrijpt voor de bescherming, maar meer dat het ene OS het andere gebruikt. Kwestie van veiligheid. Dat er een gat in het ene OS gevonden wordt is goed mogelijk. Dat er tegelijkertijd ook een exploit in het tweede OS gevonden wordt is al veel onwaarschijnlijker. In grote omgeveingen worden wel vaker firewalls gebruikt van verschillende leveranciers om de kans op een attack zo klein mogelijk te houden

@frot
Nee hoor, eerder van het type: Doe de deur op slot en installeer ook nog een alarm met pincode. Twee verschillende sloten maken het moeilijker in te breken.
Jouw bom-verhaal gaat alleen op als elke hacker zelf eerst een firewall installeert omdat de kans dat er een tweede is geinstalleerd dan wel heel erg klein is...
Ik zal maar niet zeggen wat ik van je reactie denk...

|:(
tjonge tjong, deze wijsheid is van hetzelfde kaliber als 'ik neem een bom mee in het vliegtuig, want de kans dat er 2 bommen aan boord zijn is heeeeeeeel gering......'

}>

Feit blijft dat MS blijkbaar de eigen problemen oplost door software van anderen te gebruiken.... hoe diep kun je nog zinken ! :r

F.
Het lijkt meer op een reclame-stunt c.q. hoax dan een echte aanval.
Maar het blijft leuk om te zien dat als gegevens veilig moeten zijn, deze op Linux servers moeten worden ondergebracht.
Ik denk dat het een reclamestunt is voor de patches van MS. Nadat ik het nieuws over de Blaster-worm heb gelezen, had ik die patch zeer snel gedownload en geïnstalleerd ZONDER DE EULA TE LEZEN. Je weet maar nooit wat voor adders (bugs? leaks? backdoors? drm? abuse? tcpa? ...) er onder het gras liggen.
Pssst kijk eens achter je ... ja daar die zwarte auto in de straat. .. het is vast de AIVD

Of hoe paranoide kan je zijn. :Y)
Best wel grappig om te zien, een Linux cluster bij Microsoft binnen de deur :9

Komt mij wel zeer professioneel over van Microsoft dat ze binnen zo'n korte tijd de windowsupdate site hebben kunnen porten naar Linux.

Ik kan alleen op dit moment geen updates installeren, hij is meteen klaar en geeft aan dat het mislukt is, maar dat zal hoop ik binnenkort wel opgelost zijn :)
Op een of andere manier blijven hier misverstanden over verstaan. Microsoft heeft NIET Linux servers binnen de deur (gehaald met deze actie)! Ze hebben de windowsupdate.com site verhuist naar Akamai om de load af te vangen. Akamai maakt heel toevallig gebruik van Linux servers. Dit is dus geen beslissing van Microsoft geweest; die hebben slechts de load willen verspreiden! :Y)
Tja zo kun je het zien.
Maar ze wisten van te voren dat Akamai op linux draait.
Dit is dus heel weloverwogen gedaan en niet toevallig.
Deze worm was alleen maar geschreven voor Windows omgevingen en niet voor linux omgevingen.
Hierdoor zijn de update sites veiliger in een linux omgeving.

Dit heeft MS zeer goed doorzien en alles in een linux omgeving laten zetten.
Mijn pet af dat ze continuieteit boven trots hebben gekozen.
Volgens mij doorzie je zelf niet helemaal wat die worm doet :?. Die worm ging niet de microsoft servers besmetten, maar aanvallen met een DOS-attack... De PC's met windows erop die niet gepatched waren en besmet waren, gingen Microsoft aanvallen met een DOS-attack. De servers zelf waren nooit besmet (en zullen dat ws ook nooit zijn).

En dan maakt het geen reet uit of je op windows of linux servers draait, het is niet veiliger, het is alleen meer bandbreedte, waardoor je die aanval gewoon overleeft.
Kijk als die linux servers het begeven hadden dan was er nix aan de hand geweest, blame it on linux. Maar als windows was gecrashed had iedereen meteen zitten jammeren over hoe slecht windows servers wel niet zijn . Dit was dus de beste optie.
En dat is dus de vraag: nu wordt er eigenlijk goede reclame gemaakt voor Linux-servers (voor firewall en/of webhosting). Als 2003 servers zo'n "aanval" af zouden slaan, zou dat voor Microsoft meteen goede reclame zijn geweest voor hun nieuwe producten (2003 server).

Overigens zet ik "aanval" tussen aanhalingstekens: ik heb toch een raar smaakje bij dit hele virusverhaal: Er wordt nu heel hard in de media geroepen dat Microsoft deze aanval afgeslagen heeft, terwijl:
- de websites van Microsoft blijkbaar ondergebracht zijn bij een andere instantie (Akamai)
- de websites van Microsoft van Microsoft-servers afgehaald zijn, en op Linux servers geplaatst zijn
- de virus-sukkeltjes een verkeerd adres gebruikt zouden hebben in hun worm...

Koffie, iemand?
En ik weet niet of je ooit geleerd hebt om de bron te bekijken van de dingen die je leest. In het artikel van Reuters, vertaald door een Tweakers Editor, staat daar niets van in, kan net zo goed een verkeerde vertaling cq. aanname zijn geweest. Niet altijd alles zomaar klakkeloos overnemen is het devies!
Dit was dus de beste optie.
Ja, maar niet omdat het linux bakken zijn, maar omdat het bedrijf dat gespecialiseerd is in dit soort grootschalige tijdelijke hosting, toevalligweg Linux gebruikt. Van een DOS attack krijg je trouwens niet echt een hoge load ofzo, alleen je lijn zit vol.

Ze hebben dus niet bewust voor Linux gekozen, maar voor dat bedrijf, dat toevallig met Linux servers werkt. Maar dat is in deze discussie pas 10keer vermeld, dit is dan ook alweer een (nuttige 8-)) dubbelpost :).
ik weet niet of je kan lezen maar ik zie hier duidelijk in het artikel staan :


Zo werd de update-site van het bedrijf bijvoorbeeld verhuisd naar een cluster van Linux-servers. Dit om te voorkomen dat Blaster gebruik zou maken van een lek in Windows Server 2003 waar de website eerder op geserveerd werd


dus MS heeft wel zeker bewust voor linux gekozen. Ik had trouwens al eerder gehoord dat MS gebruik maakte van linux voor exact dezelfde reden. Het is natuurlijk niet slim om zelfs de updates voor MS servers om MS servers zelf te draaien stel dat er een vorm is en deze kan servers uit de lucht halen dan kan niemand zijn update meer ophalen totdat ze weer gemaakt zijn.
ad trouwens al eerder gehoord dat MS gebruik maakte van linux voor exact dezelfde reden.
Heh? Waar dan? Ze experimenteren er mee op een test lab.

Ik ken wel 1 andere met free software: Hotmail + FreeBSD (Verhaal is vast wel bekend bij de lezer).

(Btw: men noemde opensource en GPL een virus en Linux communisties ik snap niet waarom men met communisten en virussen in zee wil gaan).
Nou laten we wel even stellen dat linux makkelijker om kan gaan met een giga serverload dan windows. Dus ik denk dat het wel degelijk uitmaakt! Bij MS zijn ze ook niet echt dom hoor :). Kijk als die linux servers het begeven hadden dan was er nix aan de hand geweest, blame it on linux. Maar als windows was gecrashed had iedereen meteen zitten jammeren over hoe slecht windows servers wel niet zijn :). Dit was dus de beste optie.
ik heb net 10 mins geleden nog een pakket critical updates via windows-update binnen gehaald.

en wat ik begrepen heb, zijn niet de servers van windows-update naar een linux-bak overgezet, maar staan er een paar servers in een ander serverpark achter wat linux firewalls.
Ben ik nou gek? Als Blaster het verkeerde adres gebruikte hoefde Microsoft toch niets af te slaan? Oftewel titel slaat nergens op.
W32.Blaster.Worm richtte de DDoS op www.windowsupdate.com, terwijl http://v4.windowsupdate.microsoft.com het wel gewoon bleef doen :) (Dat is ook gewoon de link uit je Start menu.)

Dat bedoelen ze dus met het verkeerde adres :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True