Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 23/6/2003
Sikkerhedsforskere har fundet et program, der kan være kilden til de mystiske datapakker med "Window size" sat til 55808. Det er dog ikke nødvendigvis den oprindelige kilde.DK-CERT skrev om spørgsmålet den 17. juni, da man endnu ikke havde fundet et program, der kunne være årsag til datapakkerne. De var kendetegnet ved, at afsenderadressen var forfalsket. Pakkerne havde det fællestræk, at feltet "Window size", som indgår i TCP-protokollen, altid var sat til værdien 55808.
Nu har sikkerhedsfirmaerne Intrusec og Internet Security Systems (ISS) fundet og analyseret et program, der kan være kilde til pakkerne. Intrusec understreger dog, at programmet lige så vel kan være skrevet som reaktion på den store interesse i sikkerhedskredse om de mystiske pakker. De oprindelige datapakker kan altså stamme fra et andet program, der endnu ikke er fundet.
Det program, de to firmaer har analyseret, kaldes Stumbler eller 55808 Trojan. Programmet er en trojansk hest, men det er ikke en orm, da det ikke selv kan sprede sig til andre computere. Det skal manuelt installeres på de computere, man vil anvende det på.
Stumbler udsender datapakker, hvor afsenderen er forfalsket. Formålet er at finde ud af, om en bestemt port hos modtageren er åben. Men da afsenderadressen er falsk, får Stumbler aldrig svaret tilsendt. I stedet lytter Stumbler efter alle datapakker, den kan opfange på det netværk, den sidder på. Dukker der her en pakke op med "Window size" på 55808, ved den, at det kan være svaret på en forespørgsel fra en anden computer med Stumbler.
I analysen af programmet skriver ISS, at det ser ud til at være et eksperimentelt program. Dele af koden mangler at blive skrevet eller har alvorlige fejl. Et netværk til portscanning baseret på denne teknologi vil efter ISS's mening være ineffektivt, medmindre der er mange computere, som deltager i nettet og lytter efter pakkerne. En stor del af pakkerne vil aldrig blive opfanget, så metoden medfører et vist spild af båndbredde.
Sikkerhedsverdenen kender i forvejen til portscanningsprogrammer, der afsender en byge af forespørgsler med forfalskede afsenderadresser. Kun en enkelt af forespørgsler har ikke forfalsket afsenderen. Det gør det sværere at finde hackeren, da hans adresse forsvinder i mængden af falske adresser.