300,000 kompjuterë Windows dhe Mac nuk do të kenë qasje në internet për rreth 65 orë derisa poseduesit e tyre të kenë parasysh paralajmërimet e fundit për të pastruar makinat e tyre nga sulmet keqdashëse.
Sipas një grupi të ekspertëve të sigurisë që ishte formuar për të sulmuar DNSChanger, rreth një çerek milioni apo 300,000 kompjuterë, ndoshta edhe më shumë, ende ishin të prekur nga këto sulme me 2 korrik.
DNSChanger rrëmbente klikimet e përdoruesve duke modifikuar opsionet e sistemit të emrit të domeinit (DNS) të kompjuterëve për të dërguar kërkesa URL tek serverët që posedoheshin nga kriminelët, një taktikë kjo që spostoi viktimat në faqe të krijuara nga hakerët që ngjasonin me domenët e vërtetë.
Në një pikë, diku rreth 4 milionë kompjuterë Windows dhe Mac ishin infektuar me këtë maluer, që i'u solli zhvilluesve të tij të ardhura prej 14 milionë dollarë, kanë thënë autoritetet federale të Shteteve të Bashkuara.
Makinat e infektuara do të humbasin lidhjen e tyre me internetin në 12:01 a.m. ET, gjatë së hënës më 9 korrik, kur zëvendësimi i serverëve të DNS-ve të shkojë në errësirë.
Serverët, që janë mbrojtur nën një urdhër nga Konzorciumi i Sistemeve të Internetit (ISC), grup jofitimprurës që mbron softuerin me burim të hapur BIND DNS, janë vendosur gjatë vitit të kaluar pasi FBI-ja kapi më tepër se 100 sisteme komando-dhe-kontrollo (C&C) gjatë rrëzimit të bandës së hakerëve që ishin përgjegjës për DNSChanger.
“Operacioni Klikimi i Fantazmës” i FBI-së përfundoi me arrestimin e gjashtë personave nga Estonia – personi i shtatë, me kombësi ruse, qëndron i lirë – konfiskim të C&C-së, zëvendësim dhe rivendosje të serverëve. Pa zëvendësime, sistemet e infektuara nga DNSChanger menjëherë do të largoheshin nga interneti.
Në fillim, serverët zëvendësues duhej të ndaleshin më 8 mars, por një gjykatë federale e shtyu këtë datë për 9 korrik.
Nuk janë vetëm kompjuterët Windows dhe Mac që mbesin të infektuar, por poashtu edhe kompjuterët e korporatave dhe sistemet në agjencitë qeveritare, tha Identiteti i Internetit (IID) me bazë në Uashington, Tacoma, që ka qenë duke vëzhguar përpjekjet për pastrim.
Gjatë javës së kaluar, IID tha që skanimet e veta treguan 12% të 500 ndërmarrjeve të Fortune, ose rreth një nga çdo tetë, strehoi kompjuterët e rrezikuar nga DNSChanger ose ruterët. Dhe dy nga 55 departamentet ose agjensitë qeveritare amerikane – ose 3.6% - gjithashtu kishte dështuar të pastronte të gjithë PC-të dhe Mac-ët e tyre.
Numrat më të rinj ishin rrëzuar nga skanimet e mëhershme nga IID. Në mars për shembull, ndërmarrja mbërtheu vlerën e infektimit nga DNSChanger të Fortune 500 prej 19% dhe vlerën e agjensive qeveritare prej 9%.
Në janar, vlera e grupeve ishte 50%.
Por janë ende dhjetëra mijëra të prapambetur që nuk kanë pastruar kompjuterët e tyre edhe madje pas një muaji përpjekjeje nga Grupi Punues i DNSChanger (DCWG), organizatë kjo vullnetare e profesionistëve dhe ndërmarrjeve të sigurisë.
“Ne të gjithë jemi duke u marrë me këtë,” tha Rod Rasmusse, shefi i teknologjisë së IID-së dhe një anëtar i DCWG-së. “Janë shumë njerëz që nuk kanë marrë fjalën.”
Pastrimi, tha Rasmuessen, ka qenë pjesa e ashpër e rrëzimit të DNSChanger.
“Janë bërë mjaft planifikime për rrëzimin fillestar, arrestimet, shkëmbimin e serverëve, por nuk ishte aq shumë për pjesën pas rrëzimit,” tha Rasmussen. “Si i pastrojmë gjërat? Rregullimi i viktimës është një sfidë për industrinë tonë. Çdokush dëshiron që ta bëjë atë, por si paguani ju për të?”
DCWG punoi ngushtë me ISP-të (ofruesit e shërbimeve të internetit), për t’i ndihmuar ata që t’i lajmërojnë konsumatorët që posedonin kompjuterë të infektuar dhe t’i këshillojë ata që t'i pastojnë pajisjet. Grupi gjithashtu arriti tek ndërmarrjet, agjencitë qeveritare dhe organizatat e tjera që t’iu ofrojë ndihmesën e njëjtë.
Në kohën që kishte funksionuar.
“Disa ISP kanë qenë shumë të ashpër,” tha Rasmussen, duke cituar ofrues që në vazhdimësi thirrën, dërguan email ose telefonuan anëtarët me kompjuterët e infektuar.
Të tjerët në vend të kësaj u përgatitën për thirrjet për mbështetje që priteshin të fillonin gjatë së hënës kur konsumatorët e trembur e kuptuan që nuk mund të hyjnë online. “Ata janë duke u përgatitur për [të hënën], ata e dinë që ata do të marrin [një numër të madh thirrjesh].”
Për ata që nuk kanë bërë gjë, e hëna do të jetë e ashpër, parashikoi Rasmussen. “Për disa ISP, kjo mund të jetë një përplasje reale,” tha ai.
Por projekti ishte nganjëherë shqetësues.
Një ndërmarrje, emrin e së cilës Rasmussen nuk e përmendi, kishte pastruar të gjitha makinat nga DNSChanger, por në vazhdimësi ishte ri-infektuar. Më në fund, ndërmarrja
zbuloi që laptopët e lidhur në rrjetin e tyre publik Wi-Fi ishin duke e shpërndarë maluerin dhe madje drejtuan një listë të të dyshuarve në media sepse koha e ri-infektimeve përkonin me ngjarjet për shtyp të cilat ndërmarrja i mbajti në kompleksin e vet.
zbuloi që laptopët e lidhur në rrjetin e tyre publik Wi-Fi ishin duke e shpërndarë maluerin dhe madje drejtuan një listë të të dyshuarve në media sepse koha e ri-infektimeve përkonin me ngjarjet për shtyp të cilat ndërmarrja i mbajti në kompleksin e vet.
Edhe kështu, përpjekja ka qenë e dobishme, jo vetëm që të përmirësonte ndikimin, por si një përvojë mësimi për goditjet e tilla gjatë së ardhmes, ose botnetët që shkaktojnë vrima në përgjithësi.
“Çfarë kemi nevojë në të ardhmen është mundësi e alarmimit në kohë reale,” tha Rasmussen dhe përshkroi një sistem që menjëherë do të lajmëronte një përdorues nëse kompjuteri i tij apo saj ishte
drejtuar në një server të zëvendësuar. Ideja ishte diskutuar nga DCWG, por kurrë nuk ishte implementuar sepse kjo do të kërkonte më tepër harduer dhe mbështetje se sa që ishte në dispozicion.
“Dikush duhet të mbështes këtë përpjekje vullnetare,” tha Rasmussen, i cili madje nuk kishte asnjë përgjigje se nga cili vend vinte kjo mbështetje, qoftë ajo mbështetje financiare ose me burime të tjera.
Dy nga ndërmarrjet më të mëdha të internetit kanë nisur fushatat e tyre kundër DNSChanger.
Në fund të muajit maj, Google filloi të paralajmërojë përdoruesit e infektuar me një porosi të vendosur si shirit në pjesën e sipërme të faqes për kërkime të ndërmarrjes. Disa ditë më pas, Facebook e përdori një alarmim të ngjashëm për anëtarët e vet.
Përdoruesit kanë qasje në disa vegla falas që identifikojnë kompjuterët e infektuar, duke përfshirë disa që sapo kanë dalë nën shenjat e DCWG-së. Për shembull, në Shtetet e Bashkuara, përdoruesit mund të shkojnë tek Ueb faqja dns-ok.us. Faqet tjera për gjetje janë të listuara në domeinin e DCWG-së.
Ueb faqja e DCWG-së ka lidhje për veglat pa pagesë që e largojnë maluerin. Por ndoshta humbja e qasjes në internet është thirrja e vetme e zgjimit të cilën disa përdorues do ta dëgjojnë, tha Rasmussen.
“Disa njerëz nuk i kanë kushtuar vëmendje këtij parajmërimi,” shtoi në fund Rasmussen. (Burimi: PC World Albanian)
