protester_1969

Överbelastningsattack som politisk protest

Var och varannan dag läser jag i medier om organisationer och myndigheter som utsätts för överbelastningsattacker. Inte lika ofta läser jag att de står pall för angreppen utan beredskapen är för dålig och mer eller mindre samhällskritiska sajter blir onåbara. Tyvärr tror jag att vi allt oftare kommer att mötas av den här typen av aktiviteter som protest mot politiska beslut, kontroversiella domar eller andra, från något perspektiv, impopulära beslut.

Under måndagen drabbades flera svenska myndigheter och organisationer av det som går under benämningen tillgänglighetsattack. Den senaste informationen pekar på att detta inte var någon stor attack och myndigheterna får smäll på fingrarna av Sveriges nationella IT-incidentcentrum, CERT-SE, för att man har dålig beredskap och ”inte gjort sin hemläxa”.

Vad som har triggat just den här attacken kan vi bara spekulera i. Det finns en grupp som tagit på sig ansvaret för den, en organisation som vill få Wikileaks-profilen Julian Assange frigiven. Sant eller inte, det kan vi lämna därhän.

Oavsett vad, så tror jag att vi allt oftare kommer att mötas av den här typen av aktiviteter som protest mot politiska beslut, kontroversiella domar eller andra, från något perspektiv, impopulära beslut.

Jämförelsen med andra typer av protester i den verkliga världen är inte långt borta. Vi har väl alla någon gång läst om hur franska eller lettiska bönder på krigsstigen blockerat motorvägar med jordbruksmaskiner och dumpat gödsel framför parlamentsbyggnader. Och säkerligen har du någon gått uppmanats att skicka mejl till ansvariga politiker eller motsvarande för att stödja eller protestera mot ett förslag eller beslut, som till exempel av Hundhjälpen för gatuhundar i Rumänien.

Det känns inte helt främmande att beskriva tillgänglighetsattacker som den elektroniska världens motsvarighet till protestaktioner och demonstrationer. De stör en verksamhet rätt rejält och ger ofta stort genomslag i media.

Hur går en tillgänglighetsattack till?

En tillgänglighetsattack (DoS, Denial of Service) är ett angrepp mot ett eller flera webbsidor eller andra tjänster som syftar till att förhindra normal åtkomst till dessa tjänster. Sådana tjänster är oftast de som en verksamhet erbjuder externt till allmänheten som till exempel webb, dns och e-post.

Det finns några olika sätt att genomföra sådana attacker. Antingen utförs attacken så att angriparen binder upp det totala antalet användare som en server kan betjäna och stör på så sätt ut den legitima trafiken. Eller så dränker angriparen målet med så mycket trafik som möjligt och lägger beslag på all tillgänglig bandbredd. Att urskilja vilken del av trafiken som är legitim och vilken del som ingår i attacken kan vara svårt och kräver särskild utrustning och kostar stora pengar.

Ett annat sätt att utföra en distribuerad attack är att få ett stort antal personer att manuellt medverka i en tillgänglighetsattack genom att till exempel skicka e-post till en viss adress eller att besöka en webbplats och belasta tjänster på webbplatsen som tar mycket resurser i anspråk.

En distribuerad tillgänglighetsattack (DDos, Distributed Denial of Service) är samma sak men i större skala. Angriparen använder sig av många datorer samtidigt för att utföra attacken enligt någon av metoderna ovan – eller andra metoder (det finns fler sätt).

Genom att använda flera datorer samtidigt för attacken ökar angriparens möjligheter att uppnå sitt syfte, att förhindra åtkomst till tjänster. De datorer som används är oftast sådana som har blivit smittade med skadlig kod och tagits över. Sådana datorer kallas ofta för ”zombies”. Zombies i större grupper bildar det som kallas botnät. Botnät finns att hyra på internet, per timme eller per dygn.

Hur förbereder jag mig för en attack?

Även om de allra flesta som ansvarar för stora och viktiga sajter oftast har både beredskap och resurser för att begränsa och kanske till och med stå emot den här typen av attacker så finns det många mindre organisationer och verksamheter, till exempel oberoende media eller organisationer som strider för mänskliga rättigheter i mindre demokratiska länder, som ibland kan bli permanent oskadliggjorda på grund av bristen på både resurser eller kunskap.

Tillgänglighetsattacker är generellt sett svåra att skydda sig mot. Däremot finns det all anledning att öka sin beredskap. Framför allt är det viktigt att ha dokumenterande kontaktrutiner med aktuella uppgifter till den som levererar internetanslutningen, ofta kan operatören hjälpa till med blockering eller filtrering av viss trafik.

Om det handlar om sessionsbaserade tillgänglighetsattacker kan era systemadministratörer kontrollera och eventuellt begränsa antalet samtidiga uppkopplingar som en enskild IP-adress får ha. En annan metod är att sätta livslängden för en session till ett lägre värde. Det stoppar inte attacken, men gör det svårare för en sessionsbaserad attack att lyckas och kan bidra till att minska effekterna.

Se till att ha förberett en alternativ webbsajt som innehåller begränsad information som kan visas i stället för den sajt som blir onåbar. Det kan också finnas skäl att ha en möjlighet att få mer resurser med kort varsel, antigen öka antalet webbservrar eller öka bandbredden. Ta reda på hur det kan göras och om det kräver specifika avtal med internetoperatören eller webbhotellet om ni inte driver egen webb.

Vad ska jag göra när min organisation blir drabbad av en tillgänglighetsattack?

Det mest uppenbara är ju att ta reda på så mycket fakta som möjligt om attacken, vilka protokoll och portar används, från vilka IP-adresser attacken kommer och så vidare. Ta kontakt med internetoperatören, även om de kanske inte alltid kan göra något så kan de många gånger ha tips och råd som är användbara. De har sannolikt mer erfarenhet eftersom de har fler kunder än just er, där någon förmodligen drabbats någon gång.

Electronic Frontier Foundation (EFF) har nyligen kommit med rekommendationer om hur man håller liv i sin sajt vid en attack.

Mer behöver göras

Det pågår en hel del arbete för att finna metoder och verktyg som skyddar mot DDOS-attacker, inte minst inom Internet Engineering Task Force, IETF. Inom .SE:s Internetfond har vi finansierat ett projekt som behandlar motåtgärder för en specifik DoS-attack på SIP-proxyservrar.

Men vi måste inse att vi alla sitter i samma båt och att det inte räcker med att lösa problemet i vår egen router, server eller dator. Om andra datorer på nätet är osäkra så kan dessa användas som språngbrädor för en attack mot dig eller någon annan. Därför är vi beroende av varandra. Om exempelvis alla skulle ha säkrat sina hemdatorer så blev vi inte bli drabbade i lika stor skala. Det går inte att säga att man inte har något viktigt på sin dator och att den därför inte behöver skyddas. Varje användare håller i ett vapen som någon annan kan ta över och rikta mot en tredje part.

För att minska riskerna för detta högst verkliga problem, så behöver alla bidra: användare, systemansvariga, tillverkare och leverantörer.

Så i korthet:

  • säkra datorerna,
  • ha sådan övervakning så att försök till intrång och DDoS-attacker upptäcks tidigt,
  • prata med den egna operatören om vad de gör för att hantera problemet och hur ni ska rapportera till dem när det händer något,
  • och surfa sunt!

Etiketter: , , , , , , , , , , , Foto: Students hold up signs in protest, 1969 av Marquette University (CC BY-NC-ND 2.0)
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.