Artikel top billede

Derfor er danske DDoS-angreb ret forudsigelige

Klumme: Angrebene på KL og NemID indgår i den globale vækst inden for overbelastningsangreb.

Kommunernes Landsforenings webside var nede. Bankkunder kunne ikke logge ind på netbank via NemID.

Foråret har bragt de politisk motiverede DDoS-angreb til Danmark.

Men skønt de udspringer af lokale forhold, er de ikke isolerede.

Tværtimod passer tendensen fint sammen med, hvad vi ser i resten af verden.

DDoS-angreb (Distributed Denial of Service) har til formål at gøre et it-system utilgængeligt ved at overbelaste det.

Typisk sker det ved, at angriberne sender en lang række forespørgsler til en server.

Serveren får så travlt med at svare på dem, at den ikke kan besvare legitime forespørgsler. I nogle tilfælde går den helt ned.

Fjernstyrer botnet

At et angreb er distribueret betyder, at det udgår fra flere computere på samme tid.

Det gør det sværere at bekæmpe: Man kan ikke nøjes med at blokere for pakker fra en enkelt IP-adresse, når angrebet kommer fra tusindvis af adresser.

Som regel styrer bagmændene angrebet ved at udsende kommandoer til botnet.

De består af computere, der uden deres ejeres vidende kan fjernstyres, fordi der er installeret et skadeligt program på dem.

Hidtil har botnet hovedsagelig bestået af pc'er.

Men det sidste års tid har vi set en tendens til, at botnet opbygges af servere.

Det er ofte webservere med et CMS (Content Management System) med kendte sårbarheder, der bliver overtaget.

Problemet er, at en webserver som regel har en væsentligt større båndbredde ud mod internettet end en privatejet pc.

Dermed kan de serverbaserede botnet angribe med en effekt, der tidligere ville have krævet en masse pc'er.

Ifølge firmaet Prolexic, der lever af at bekæmpe overbelastningsangreb, steg mængden af angreb fra første kvartal 2012 til samme kvartal i år med 21 procent.

Og båndbredden steg meget mere: Den gennemsnitlige båndbredde i et angreb var for et år siden 6,1 Gbit/s. I år var den 48,25 Gbit/s.

Firmaet bekæmpede i marts et enkelt angreb med en båndbredde helt oppe på 130 Gbit/s.

Her er årsagen til de mange angreb

Politisk eller økonomisk

Årsagen til overbelastningsangreb er gerne enten politisk eller økonomisk.

De politisk funderede angreb har til formål at skade nogen, man er uenig med politisk.

Angrebet på Kommunernes Landsforening (KL) er et typisk eksempel:

Det kom som reaktion på konflikten mellem KL og lærerne.

Angrebet på NemID var også politisk.

Angribernes erklærede formål var at vise, at NemID-infrastrukturen efter deres mening er sårbar.

De økonomisk baserede overbelastningsangreb har vi set færre af. Men det kan skyldes, at der er mindre offentlighed om dem.

Et eksempel kan være en virksomhed, der angriber sin konkurrents it-infrastruktur. Angrebet gør det svært eller umuligt for kunderne at komme ind på webshoppen.

I stedet er de henvist til at købe hos konkurrenten, der står bag angrebet.

Normalt tænker vi på websteder, når vi taler om DDoS-angreb. Men også andre it-systemer kan blive ramt.

På det seneste er der således dukket tjenester op, der tilbyder angreb på telefonsystemer.

Dermed får kunden en optagettone, når han eller hun prøver at ringe til offeret. Igen kan det føre til, at opkaldet i stedet går til den konkurrent, der har bestilt angrebet.

Flere angreb følger

Gruppen DanishLulzTeam, der har taget ansvaret for angrebet på NemID, oplyser, at de købte sig til den nødvendige slagkraft for kun 60 kroner.

Det er altså muligt at iværksætte meget store angreb. Det koster ikke noget særligt.

Og det kræver ikke særlig ekspertviden.

På den baggrund må vi se i øjnene, at tendensen vil fortsætte: Flere virksomheder og organisationer vil blive udsat for overbelastningsangreb.

Her er mit råd

Mit råd er derfor, at I skal være forberedt.

Statens Center for Cybersikkerhed udsendte i efteråret et sæt gode råd om, hvad man skal gøre.

De anbefaler blandt andet, at man forbereder en nødforside til webstedet. Man kan også sikre sig ekstra IP-adresser, man kan flytte sin server over på under et angreb.

Læs rådene og læg en beredskabsplan. Du kan ikke gardere dig mod et angreb, men du kan forberede dig, så I kommer lettest muligt igennem et.

Selvom jeres virksomhed eller organisation ikke ser ud til at være et oplagt offer for overbelastningsangreb, er der alligevel grund til at tjekke sikkerheden.

I risikerer nemlig at være med til at udføre et angreb, hvis jeres pc'er eller servere kan indrulleres i botnet.

Tjek også jeres DNS-opsætning.

Et af de store angreb her i foråret var rettet mod spam-bekæmperne Spamhaus.

Det udnyttede forkert opsatte DNS-servere til at drukne Spamhaus-serverne.

Der er flere tekniske muligheder for at begrænse skaden ved et DDoS-angreb.

Sæt jer ind i dem og rådfør jer med eksperter på området.

DKCERT (www.cert.dk) er et dansk Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed.

DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en tjeneste fra DeIC, Danish e-Infrastructure Cooperation, under DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere