Experts betwijfelen SCO's verhaal over DDoS-aanval

In een persbericht heeft SCO bekendgemaakt dat het bedrijf enige tijd een DDoS-aanval te verduren heeft gehad, waardoor de site enige uren onbereikbaar is geweest. Dit zou niet de eerste zijn, aangezien het bedrijf hiervoor nogal in trek is sinds de claim van SCO op Linux. Evenals de voorgaande claim, wordt deze claim dat het bedrijf is aangevallen door verschillende IT-experts in twijfel getrokken. Onder meer omdat de genoemde aanval 'syn flood' al jaren bestreden kan worden. Onder meer door middel van patches voor alle besturingssystemen en verder via hardwarematige oplossingen, zoals firewalls en andere netwerkapparatuur.

Een ander punt is dat SCO heeft aangegeven dat de aanval een stortvloed aan bandbreedte zou hebben gebruikt, waardoor de site niet meer bereikbaar was. Deze claim staat op losse schroeven, omdat ten eerste een 'syn flood' niet al te veel dataverkeer genereert en verder waren de servers in het netwerk en ook nog aan dezelfde hub/switchaansluiting normaal bereikbaar. Iets wat bij een overschot aan dataverkeer normaal gesproken niet zou kunnen. De speculaties naar de ware toedracht van de downtime lopen dan ook uiteen van stuntelende systeembeheerders tot een poging om de Linux-gemeenschap in een zwart daglicht te stellen:

"There are many types of DoS and DDoS attacks, each type targeting a different resource. Blake Stowell is confusing a SYN flood (an attack against the TCP port resource on a host) with a brute-force DDoS against a bandwidth resource. This simply demonstrates that BS is not a techie and that the difference has not been explained to him.

"Dear Mr. BS: . . . A SYN-flood attack probably consumes 1 Kbps or less. Everybody else in the known universe can communicate with all of your externally-visible machines except www.sco.com. If the (alleged) attack on www.sco.com has affected any other machines, your network is very poorly administered. I suggest you avail yourself of the vast array of of volunteer expertise that is ready to help any user of a Linux system.

Inmiddels is er een CAIDA-rapport opgedoken waarin sterke aanwijzingen staan vermeld, die de bewering van SCO ondersteunen. Zo is onder meer te zien in de onderstaande grafiek dat er tussen drie en vijf uur 's ochtends op woensdag 10 december er een groot aantal attack-pakketten naar de site van SCO is gestuurd. Ook de FTP-server is niet ontzien, deze kreeg van wederom drie uur 's ochtends tot vier uur ruim 45 duizend pakketjes per seconde te verwerken op donderdag 11 december. Sinds de claim van SCO de wereld is in gestuurd en die door verschillende experts in twijfel is getrokken, hebben de servers een nieuwe golf moeten doorstaan. Tot nu toe hebben bijna 700 miljoen pakketjes de servers van SCO gebombardeerd.

DDoS aanval SCO (klein)

Door Jeroen P Hira

Feedback • 12-12-2003 12:06
41 • submitter: G1itch

12-12-2003 • 12:06

41

Submitter: G1itch

Bron: Groklaw

Lees meer

SCO dagvaardt Groklaw-schrijfster
SCO dagvaardt Groklaw-schrijfster Nieuws van 14 februari 2007
MyDoom-virus snelst verspreidende e-mailplaag tot nu toe
MyDoom-virus snelst verspreidende e-mailplaag tot nu toe Nieuws van 28 januari 2004
SCO stuurt stukken broncode naar IBM
SCO stuurt stukken broncode naar IBM Nieuws van 14 januari 2004
Intel en IBM doneren in fonds voor SCO-rechtzaken
Intel en IBM doneren in fonds voor SCO-rechtzaken Nieuws van 12 januari 2004
Linus Torvalds wijst SCO's copyright claims af
Linus Torvalds wijst SCO's copyright claims af Nieuws van 23 december 2003
SCO maakt verlies door hoge juridische kosten
SCO maakt verlies door hoge juridische kosten Nieuws van 23 december 2003
SCO waarschuwt open source-gemeenschap
SCO waarschuwt open source-gemeenschap Nieuws van 9 september 2003
DDoS-aanval op SCO, oproep tot staakt-het-vuren
DDoS-aanval op SCO, oproep tot staakt-het-vuren Nieuws van 26 augustus 2003
Meer producten en artikelen
Bedrijfsnieuws

Reacties (41)

-Moderatie-faq
41
41
35
22
2
1
Wijzig sortering
Madcat 12 december 2003 12:13
pff, wanneer houden die kinderachtige SCO lui nu eens op met zeuren, ze krijgen geen geld en zullen dat ook nooit krijgen. stelletje kinderachtige baby's

en zo'n grafiekje zegt niets omdat je het ten eerste zelf kan maken, of zelf genereren met onjuiste informatie of zelf met eventuele gespoofte ip's de logfiles vervuilen.

de eerste rechter die toegeeft dat SCO failiet verklaart moet worden krijgt van mij een chocolade letters of misschien wel 3.
Pietervs
@Madcat12 december 2003 12:23
en zo'n grafiekje zegt niets omdat je het ten eerste zelf kan maken, of zelf genereren met onjuiste informatie of zelf met eventuele gespoofte ip's de logfiles vervuilen.
Zo'n grafiek kun je inderdaad makkelijk zelf maken. Maar het verschil met deze grafiek is, dat deze grafiek van een onafhankelijke organisatie komt: [url="http://www.caida.org."]http://www.caida.org.[/url]

Dat ze op moeten houden met zeuren ben ik maar ten dele met je eens: die claim tegen de Linux gemeenschap moeten ze inderdaad mee ophouden. Als hun (web-) site ge-dos-ed wordt hebben ze wel reden tot zeuren.
Mocht deze Dos inderdaad vanuit de Linux-gemeenschap komen, kan dat natuurlijk (onbedoeld) de mening van de rechter beinvloeden...
Olaf van der Spek @Pietervs12 december 2003 12:57
En hoe komt die onafhankelijke organisatie aan de benodigde traffic stats?
n4m3l355
@Olaf van der Spek12 december 2003 17:00
adhv mprg logs. die kun je gewoon fetchen van de meeste netwerk apparatuur als je er toegang tot hebt
decramy @Olaf van der Spek13 december 2003 04:11
En dus kun je die faken, en is de betrouwbaarheid VER te zoeken!
^Mo^ @Madcat12 december 2003 12:33
pff, wanneer houden die kinderachtige SCO lui nu eens op met zeuren, ze krijgen geen geld en zullen dat ook nooit krijgen. stelletje kinderachtige baby's
Zelfde valt te zeggen van de mensen die DDoS attacks uitvoeren op SCO, net zo kinderachtig...
Verwijderd @^Mo^12 december 2003 13:57
Zelfde valt te zeggen van de mensen die DDoS attacks uitvoeren op SCO, net zo kinderachtig.
Je hebt volkomen gelijk. Helaas zijn kinderachtige mensen en bedrijven er altijd:
SCO is kinderachtig, Microsoft is kinderachtig, en inderdaad zeker ook die mensen die een DDoS aanval uitvoeren.

Ik sluit onderstaande toedracht van de DDoS aanval echter zeker niet uit:
een poging van SCO om de Linux-gemeenschap in een zwart daglicht te stellen:
Heel mensen staan generalisiserend tegenover de linux-gemeenschap. Triest en dom, maar waar. Microsoft maakt veelvuldig daarvan gebruik om hun producten de verkopen en Linux zwart te maken. De opvolger van Bill Gates heeft Linux ondermeer een kanker-gezwel genoemd.

Linux is echter een product dat door vele heel verschillende mensen en bedrijven wordt ontwikkeld. Dat maakt Linux ook zo mooi! Het wordt NIET door EEN bedrijf of persoon opgelegd. Linux evolueert op natuurlijke en pluriforme wijze conform markteisen. Dwang is niet aan de orde in tegenstelling tot de monostrategie van microsoft.

Microsoft probeert middels SCO het echter wel te presenteren als strategische eenheid. Dat is onderdeel van de (mijns inziens misselijke) marktstrategie die microsoft momenteel hanteert om hun monopolie te rekken. Het omdraaien van feitelijkheden.

Ondanks dat het Microsoft enige tijd geleden gerechtelijk is verboden consumenten te misleiden door het verspreiden van leugens, gaan ze er dus mijns inziens mee door. Met het verschil dat ze SCO als marionettenpop gebruiken.
Verwijderd @Verwijderd13 december 2003 09:30
Dat maakt Linux ook zo mooi!
...Dat is onderdeel van de (mijns inziens misselijke) marktstrategie ...
...het Microsoft enige tijd geleden gerechtelijk is verboden ...
...tientallen miljoenen dollars van Microsoft
Welcome to the real world man. Noem eens wat meer argumenten en laat dat gejammer achterwege zeg. Of kom achter je buro vandaan waar je nu met MS internet explorer op MS windows aan het werk bent.
Verwijderd @Verwijderd13 december 2003 13:58
Flipz ging en Gotty kwam om in een nieuwe kruistocht tegen Microsoft zoveel mogelijk onderwerpen aan te grijpen om tegen MS aan te schoppen.

Dat SCO zich niet echt populair maakt de laatste tijd is nog wel te begrijpen, maar om nu te zeggen dat ze door Microsoft gestuurd worden gaat toch echt veel te ver. Linux is voor bepaalde doelgroepen een hele mooie oplossing, prima. Maar waarom vinden sommige figuren het dan toch steeds nodig om tegen andere besturingssystemen aan te schoppen?
(Dit geldt overigens niet voor iedere gebruiker, er zijn zat mensen die zowel Windows als Linux gebruiken voor verschillende toepassingen)
Oceria @Madcat12 december 2003 12:19
Tsja, ze kunnen natuurlijk niet de nieuwste linux kernels gebruiken met het synflood filter erin, anders schenden ze hun eigen copyrights... ;)
Ik had het bericht gisteravond al zitten lezen en ik kan maar niet bedenken waarom SCO nu met zo'n bericht naar buiten komt. Om te veinzen dat de open source gemeenschap hen nu aan het DDoSen is? Nutteloos.
Om een reden te hebben om hun servers offline te halen? Ik zie niet in waarom....
Ik snap hier dus niks van.
freggy @Oceria12 december 2003 12:21
http://uptime.netcraft.com/up/graph/?host=www.sco.com
The site www.sco.com is running Apache on Linux. FAQ
Verwijderd @Madcat12 december 2003 13:40
pff, wanneer houden die kinderachtige SCO lui nu eens op met zeuren, ze krijgen geen geld
Ze krijgen tientallen miljoenen dollars van Microsoft waarmee ze de Linux-gemeenschap treiteren. Dus helaas! Voorlopig blijft dat kinderachtige gedoe. :(
Verwijderd @Verwijderd15 december 2003 14:52
ik zou hier graag een bronvermelding van willen hebben
JJJ @Madcat12 december 2003 16:58
Het geld hebben ze al, de leiding heeft aandelen die na de eerste claims qua waarde enorm de hoogte in zijn geschoten :{

Daar was dit hele gedoe allemaal om te doen.
Verwijderd 12 december 2003 12:39
Een punt is dat de website, nu deze weer toegankelijk is, compleet is aangepast. Een simpele SYN-flood (te bestrijden met de zogenaamde SYN-cookies) zou nooit van zijn leven instaat moeten zijn even een website aan te passen.
[edit2]
Ziet er naar uit dat de website weer als voorheen er uitziet denk dus dat mijn eerste idee over wat er nu eigenlijk gebeurt is waarschijnlijk beterbij de waarheid past.
[/edit2]
Een ander punt is dat de FTP site pas onbereikbaar werd NADAT mensen commentaar begonnen te leveren dat een bandbreedte aanval ook de FTP server (op de zelfde router zittend volgens deze mensen) uit zou moeten schakelen.

Een derde punt is dat dit type aanval 'simpel' te blokkeren is bij de upstream provider (mits er een echte (D)DOS aanval plaats vindt), welke ontkennen zo'n verzoek te hebben gehad van SCO of beter nog beweren de piek die CAIDA hier ziet niet op hun netwerk zien.

Een vierde punt is dat SCO beweert dat deze aanval problemen heeft veroorzaakt op het intranet, wat voor mij een nieuwtje is sinds ik nog nooit een SYN-flood of (D)DOS enig effect heb zien hebben voorbij de DMZ van een systeem.

Een vijfde punt, SCO doet aan network-solutions en enteprise level software. Anders gezegd ze zouden kennis moeten hebben van basisbeveiligingen om te voorkomen dat iets kinderlijks als een SYN-flood een effect heeft.

Een zesde punt, die Netcraft grafiek is niet consistent met de CAIDA grafiek, de Netcraft grafiek zou eerst een piek laten zien op het moment dat de aanval begint en dan pas een niet bereikbaar (rode blok).

Een zevende punt, SCO heeft net een pak rammel gekregen in de rechtzaal, nadat dit bericht de wereld in ging (voor de opening van de beurs in New York) was de prijs met $0.40 gestegen in tegenstelling tot de daling met ruwweg 4% per dag die in de dagen ervoor te zien was.

edit:

Vergeten bij te zetten wat ik denk dat gebeurt is.
Twee opties
Of een hacker is binnen gekomen in de servers en heeft ze gewist zodat ze een kale website terug gezet hebben en nu beetje bij beetje de nog missende delen terug aan het plaatsen zijn.
Of ze hebben een kolosale blunder gemaakt terwijl ze bezig waren belastend materiaal van de de website en FTP site te verwijderen.
picobyte 12 december 2003 12:29
Jah een SYN flood die je een beetje met dikke overkill lanceerd wordt uiteidelijk wel een DDos dus dan heeft toch iedereen een beetje gelijk.
YaPP @picobyte12 december 2003 13:52
Jah een SYN flood die je een beetje met dikke overkill lanceerd wordt uiteidelijk wel een DDos dus dan heeft toch iedereen een beetje gelijk.
Een synflood is goed te stoppen, je stuurt met 1 tcp pakketje van een aantal bytes naar een adres. Het neemt geen bandbreedte in beslag, maar het doel is het overvoeren van de TCP-stack op de server. Hiertegen zijn veeel OS-en, o.a. de Linux versie die zij draaien tegen beschermd.


Bij het opzetten van een TCP verbinding wordt er een SYN gestuurd, de server maakt dan resources aan, en stuurt een SYN+ACK terug. Als de client deze ontvangt, worden hier ook de resources aangemaakt. De client stuurt dan een bevestiging (ACK) terug.

Bij een SYN-flood wacht de server dus een minuut of twee op het laatste ACK pakketje, maar deze zal nooit aankomen. Je houd zo dus een geruime tijd een poort op de server in gebruik.

...tegenwoordig hebben veel OS-en een limiet op het aantal poorten die half-open staan, en is er dus geen sprake van een DDoS.
Hodgesaargh @YaPP12 december 2003 14:39
Heeft er geen f*ck mee te maken, maar vond het wel grappig....

If TCP would be less formal, "SYN" and "ACK" would be "YO!" and "SUP?"
[Bc]-=VorteX=- 12 december 2003 12:45
Wel vreemd dat zoveel mensen denken dat de Linux-gemeenschap alleen uit de good-guys bestaat en geen rotte appels bevat.....
Ik hou er meer van om het onderzoek te laten geschieden en dan pas te oordelen, al dat gespeculeer hier biedt toch geen meerwaarde, we hebben alle feiten vast niet.

Hoe dan ook, 1 ding is zeker:
Als ze aangevallen zijn kan het zowel door Open Source aanhangers zijn als door Windows scriptkiddies die dit wel een coole target vonden omdat deze zoveel in het nieuws is.
cavey @[Bc]-=VorteX=-12 december 2003 13:17
Mensen die dit soort attacks uitvoeren lijken mij uberhaupt niet echt deel uit te maken van de Linux-gemeenschap.

De linux gemeenschap heb ik voor mezelf gedefinieerd staan als "mensen die linux gebruiken om het te gebruiken en linux een stap verder te helpen door het mee ontwikkelen aan verschillende applicaties".

Mensen die DDoS aanvallen uitvoeren, vallen eerder in de categorie "crackers/cyberterrorists".

Dit sluit echter niet uit dat ze gewoon gebruik kunnen maken van Linux om hun aanvallen mee te doen. Maar, het is niet de verantwoordelijkheid van de Linux-gemeenschap op zich als er groepen mensen zijn die misbruik maken van de producten.

Tis net als dat een autofabrikant ook niet verantwoordelijk is voor het gebruik van de auto als opblaas mogelijkheid voor een terroristische cel... Het is een hulp-middel, niet de gemeenschap.
basb @cavey12 december 2003 13:42
Trouwens vreemd dat SCO automatisch er vanuit gaat dat de aanval van een linux systeem moet komen.

Freebsd en de andere smaken bsd voldoen ook prima om een dos aanval op te zetten.

Unix(in wat voor smaak dan ook) systemen zijn ook prima geschikt om een dos mee te lanceren. SCO unix 5.0x bijv }> Alleen dat is wat minder waarschijnlijk, omdat het marktaandeel van SCO niet zo groot meer is.
dvdmeer 12 december 2003 12:24
Vreemd dat er dus grafieken zijn waarop aangetoond wordt dat ze wel aangevallen zijn.
In het artikel op groklaw (http://www.groklaw.net/article.php?story=20031210163721614) staat dat er bij de provider helemaal niets bekend is van een DDOS attack.
Ik had ook ergens gelezen dat dit puur een actie van SCO zou zijn om de aandacht van andere zaken af te leiden. Het feit dat men wat later komt met het publiceren van wat financiële data en het schijnt ook dat bij een vorige attack plotseling het een en ander aan gegevens was gewijzigd/verwijderd was van hun website. Dus misschien probeert men wel zo snel mogelijk bepaalde bewijsmaterialen te verwijderen van de site.
En misschien is het wel simpelweg weer een taktiek om aandacht te krijgen.
Hoe dan ook, de tijd dat ik SCO het voordeel van de twijfel gaf, is toch echt voorbij na alles wat ze tot nu toe gedaan hebben.
Oceria @dvdmeer12 december 2003 12:28
De reactie van eenmadcat geeft een mogelijke reden:
(...)en zo'n grafiekje zegt niets omdat je het ten eerste zelf kan maken, of zelf genereren met onjuiste informatie of zelf met eventuele gespoofte ip's de logfiles vervuilen.(...)
Overigens vind ik het nog steeds moeilijk om te geloven dat SCO een aanval veinst, maar na alle voorgaande gebeurtenissen weet je maar nooit...
Laten we hopen dat ze dit keer toestaan dat onafhankelijke experts naar de logs en andere gegevens mogen kijken om de aanval te analyseren. Dat zou de rest van de wereld wat meer vertrouwen geven.
Spider.007 12 december 2003 12:31
Ik vindt het eerlijk gezegd wat raar dat elk verhaal van SCO nu plotseling in twijfel moet worden getrokken? Ik vindt het helemaal niet ongeloofwaardig dat zij doelwit van een DDOS attack zouden zijn; wie zegt er dat dit door LINUX gebruiker wordt gedaan?
Verwijderd @Spider.00712 december 2003 14:11
Het doel van SCO is het terroriseren van de Gnu/Linux gemeenschappen. Microsoft steunt SCO financieel.

Tot nu toe heeft SCO geen enkele mogelijkheid onbenut gelaten om verschillende Linux ondersteunende bedrijven en gemeenschappen aan te vallen, dus zo ongeloofwaardig is het niet dat SCO leugens verspreidt. Microsoft is niet beter. Het is zelfs enige tijd terug veroordeeld voor het verspreiden van onwaarheden!
Verwijderd 12 december 2003 13:01
Dear Mr. BS...
Staat BS ook niet voor bullsh*t? :+
Buzz_Lightyear 12 december 2003 15:04
edit:

typo ... |:( niets gezegd!


De Investor Relations site van SCO heeft ook wel een opmerkelijke server... :o

http://uptime.netcraft.com/up/graph/?host=ir.sco.com
The site ir.sco.com is running Microsoft-IIS/5.0 on Windows 2000. FAQ

Kom op, investeren in SCO! :7
Verwijderd 12 december 2003 21:40
Dit lijkt een beetje op dat verhaal van een tijdje geleden dat de top van SCO drijgbrieven had gekregen. Er liepen toen ineens allemaal bodyguards rond bij de SCO top. Dat werd ook meteen als een leugen afgedaan, omdat bij bedreigingen met de dood (ze zeiden een kogelbrief te hebben gehad) meteen de politie ingeschakeld wordt. Geen bodyguards.
Verwijderd 12 december 2003 14:03
Ik weet niet waar jij dat vandaan haalt, dat de GNU een grote leugen is, maar wat onderbouwing voor deze statement lijkt mij wel op zijn plaats.
Er zal ongetwijfeld wat code van unix in GNU/linux zitten/terecht gekomen zijn, maar nergens staat dat deze code ook onder een licensie valt. Het meeste van de code die al vergeleken is door SGI is namelijk gewoon public domain.

Verder wil ik even opmerken dat het natuurlijk onmogelijk is voor GNU/linux om dood te gaan. Voor SCO is dat (misschien helaas) een heel ander geval.
Pruttelpot @Verwijderd12 december 2003 14:40
Sterker nog, de kans is groot dat er wat bsd code in de linux kernel zit. Is dat een probleem? Nee. Unix is eigenlijk gewoon bsd.

Studenten van de Berkeley universiteit (toch?) hebben een heleboel jaartjes geleden AT&T geholpen met de ontwikkeling, en vervolgens wouAT&T alles claimen, uiteindelijk is dat een schikking geworden waarbij beide gebruik mochten maken van de source. Als SCO dan nu dat opeens niet bevalt, dan zijn zij fout lijkt mij.

Maarja. Wie ben ik om daar wat over te zeggen? :)

En zowiezo, als ze getroffen zijn door een DDos attack, so what? Doet dat er wat toe? Nee, het heeft hrelemaal niks met de rechtzaak en claims whatsoever te maken.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq