Derfor er danske DDoS-angreb ret forudsigelige

Angrebene på KL og NemID indgår i den globale vækst inden for overbelastningsangreb, skriver Shehzad Ahmad i denne klumme.

Shehzad Ahmad, der er chef for det danske Computer Emergency Response Team (DKCERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

Kommunernes Landsforenings webside var nede. Bankkunder kunne ikke logge ind på netbank via NemID.

Foråret har bragt de politisk motiverede DDoS-angreb til Danmark. Men skønt de udspringer af lokale forhold, er de ikke isolerede. Tværtimod passer tendensen fint sammen med, hvad vi ser i resten af verden.

DDoS-angreb (Distributed Denial of Service) har til formål at gøre et it-system utilgængeligt ved at overbelaste det. Typisk sker det ved, at angriberne sender en lang række forespørgsler til en server.

Serveren får så travlt med at svare på dem, at den ikke kan besvare legitime forespørgsler. I nogle tilfælde går den helt ned.

Fjernstyrer botnet
At et angreb er distribueret betyder, at det udgår fra flere computere på samme tid.

Det gør det sværere at bekæmpe: Man kan ikke nøjes med at blokere for pakker fra en enkelt IP-adresse, når angrebet kommer fra tusindvis af adresser.

Som regel styrer bagmændene angrebet ved at udsende kommandoer til botnet. De består af computere, der uden deres ejeres vidende kan fjernstyres, fordi der er installeret et skadeligt program på dem.

Hidtil har botnet hovedsagelig bestået af pc'er.

Men det sidste års tid har vi set en tendens til, at botnet opbygges af servere. Det er ofte webservere med et CMS (Content Management System) med kendte sårbarheder, der bliver overtaget.

Problemet er, at en webserver som regel har en væsentligt større båndbredde ud mod internettet end en privatejet pc.

Dermed kan de serverbaserede botnet angribe med en effekt, der tidligere ville have krævet en masse pc'er.

Ifølge firmaet Prolexic, der lever af at bekæmpe overbelastningsangreb, steg mængden af angreb fra første kvartal 2012 til samme kvartal i år med 21 procent.

Og båndbredden steg meget mere: Den gennemsnitlige båndbredde i et angreb var for et år siden 6,1 Gbit/s. I år var den 48,25 Gbit/s.

Firmaet bekæmpede i marts et enkelt angreb med en båndbredde helt oppe på 130 Gbit/s.

Politisk eller økonomisk
Årsagen til overbelastningsangreb er gerne enten politisk eller økonomisk.

De politisk funderede angreb har til formål at skade nogen, man er uenig med politisk. Angrebet på Kommunernes Landsforening (KL) er et typisk eksempel: Det kom som reaktion på konflikten mellem KL og lærerne.

Angrebet på NemID var også politisk. Angribernes erklærede formål var at vise, at NemID-infrastrukturen efter deres mening er sårbar.

De økonomisk baserede overbelastningsangreb har vi set færre af. Men det kan skyldes, at der er mindre offentlighed om dem.

Et eksempel kan være en virksomhed, der angriber sin konkurrents it-infrastruktur. Angrebet gør det svært eller umuligt for kunderne at komme ind på webshoppen. I stedet er de henvist til at købe hos konkurrenten, der står bag angrebet.

Normalt tænker vi på websteder, når vi taler om DDoS-angreb. Men også andre it-systemer kan blive ramt.

På det seneste er der således dukket tjenester op, der tilbyder angreb på telefonsystemer.

Dermed får kunden en optagettone, når han eller hun prøver at ringe til offeret. Igen kan det føre til, at opkaldet i stedet går til den konkurrent, der har bestilt angrebet.

Flere angreb følger
Gruppen DanishLulzTeam, der har taget ansvaret for angrebet på NemID, oplyser, at de købte sig til den nødvendige slagkraft for kun 60 kroner.

Det er altså muligt at iværksætte meget store angreb. Det koster ikke noget særligt. Og det kræver ikke særlig ekspertviden.

På den baggrund må vi se i øjnene, at tendensen vil fortsætte: Flere virksomheder og organisationer vil blive udsat for overbelastningsangreb.

Mit råd er derfor, at I skal være forberedt.

Statens Center for Cybersikkerhed udsendte i efteråret et sæt gode råd om, hvad man skal gøre.

De anbefaler blandt andet, at man forbereder en nødforside til webstedet. Man kan også sikre sig ekstra IP-adresser, man kan flytte sin server over på under et angreb.

Læs rådene og læg en beredskabsplan. Du kan ikke gardere dig mod et angreb, men du kan forberede dig, så I kommer lettest muligt igennem et.

Selvom jeres virksomhed eller organisation ikke ser ud til at være et oplagt offer for overbelastningsangreb, er der alligevel grund til at tjekke sikkerheden.

I risikerer nemlig at være med til at udføre et angreb, hvis jeres pc'er eller servere kan indrulleres i botnet.

Tjek også jeres DNS-opsætning. Et af de store angreb her i foråret var rettet mod spam-bekæmperne Spamhaus. Det udnyttede forkert opsatte DNS-servere til at drukne Spamhaus-serverne.

Der er flere tekniske muligheder for at begrænse skaden ved et DDoS-angreb. Sæt jer ind i dem og rådfør jer med eksperter på området.


Oprindelig offentliggjort i magasinet Computerworld og på Computerworld Online den 3. maj 2013

LINKS

Keywords: