在凌晨周三,2016年10月26日,服务的表观电话拒绝的(TDOS)攻击被起诉带来911嘎然而止几个城市。
这一事件引发了美国国土安全部国家网络安全与通信集成中心国家协调中心的部通信(NCIC / NCC)和观看咨询的TDOS响应攻击的公共安全应答点(PSAP)刚刚吃完午饭后发出。
调查人员导致了18岁,凤凰城的Meetkumar Hiteshbhai德赛创建了一个网页。德赛说,他只是在试图捕捉寻找苹果的iOS漏洞这是苹果漏洞奖励计划的一部分。今年9月,苹果推出了这一期待已久的项目,并提供了五种不同类别的奖励:
- 安全启动固件组件的漏洞20万美元
- 10万美元的漏洞允许提取机密材料
- 50,000美元用于执行具有内核特权的任意或恶意代码
- 5万美元用于访问苹果服务器上的iCloud账户数据
- $ 25,000从沙盒进程访问用户数据的沙箱之外
德赛声称这是意图为自己的行为,不妥协的911网络与他的攻击。
大多数媒体对该事件的报道都错误地将其归类为bug、病毒、黑客攻击或其他任何可能的疾病。实际上,所有的迹象都指向对预先存在的点击拨号功能的意外利用,这在今天的环境中非常常见。
TDoS意外攻击是如何发生的
的事件显示德赛建立了一个网页,重用的代码片段,将与智能手机设备上的浏览器进行交互的详细报告。他声称,他的意图是让受害者点击一个链接,然后显示在手机上一个恼人的弹出消息。然后程序会拨打911和循环一旦通话结束,因此拨打另一个电话911。
显然,这很难打破这种循环,在很多情况下,用户被迫关闭手机或取下电池。在德赛看来,这似乎是无伤大雅的,当然也不是一个有害的恶作剧。显然,他没有考虑到1,800人或更多的人按下这个链接并同时呼叫911的后果,从而有效地制造了一次TDoS攻击。
Desai claims he failed to realize and remove lines of code that caused the phone to dial the hard-coded number in the U.S.—the short code 911. Part of the problem was that the user didn’t realize the phone had called 911 and that it was continuing to redial until the browser session was killed by power cycling the phone. Phoenix was hit particularly hard because that’s where the bulk of Desai’s Twitter followers are from.
有趣的是,代码可以影响世界上任何地方的人。事实上,如果欧盟的用户点击了这个链接,手机就会被欧洲的运营商设置为将911识别为一个紧急号码,并会拨打欧洲112服务公司的电话,尽管用户实际上是在拨打911。
最后,德赛并没有展示出一个精英黑客的技术实力,他只是证明了自己不是一个彻底的程序员,不会在公开发布之前检查他写的东西的功能。
什么他也提供了911网络的脆弱性,以及如何简单的意外TDOS攻击可能被用来削弱的紧急电话网络的能力,处理呼叫的一个真实世界的演示。学到的教训附加标识被攻击,并禁止生成这个流氓通行能力的来源看似艰巨的任务。
虽然德赛最初的网站可能没有恶意,但几个“山寨”网站出现了,利用同样的问题。正如一位专家所说,“这正迅速成为一场打地鼠游戏”,因为网站层出不穷,而其他网站被撤下的速度也一样快。
难道这不能阻止吗?
行业专家开始发送电子邮件,探讨如何防止当前问题的发生,以及如何防止未来使用同样的漏洞进行攻击的威胁。给几乎所有人敲响的最大警钟是,所有迹象都表明这是一场意外;然而,任何有邪恶意图的人都可以轻易地利用这些技术,大规模的协同攻击只是时间问题。
快速解决这个问题的方法可能是要求移动电话及其操作系统取消点击拨号功能,而不是立即启动呼叫,而不是在屏幕上提示二次用户交互作为确认。虽然这可能会使合法使用复杂化,但这种二次确认可能需要实施,以防止未来的攻击,最终限制我们国家的911网络处理电话的能力。
很像击打的几乎不可能从假调用中识别真正的调用,而且在需要并实现某种通过令牌进行认证的起源机制之前,可能无法对解决方案进行简单的修复视图。