Per Hellqvist om IT-säkerhet och sånt

Bott-illustration

Det blev ett rejält ståhej igår när någon lanserade en överbelastningsattack mot en av Basefarms kunder. Anledningen till attacken kan man bara spekulera i, liksom metoderna de använde. Det får väl företagets utredning visa upp.

Inledningsvis vill jag bara säga att det INTE är en “hackerattack” eller ett intrång det handlar om. Tidningarnas rubriksättarna borde läsa på lite mer. En stor eloge till Svenska Dagbladet som faktiskt ringde mig igår kväll enbart för att reda ut begreppen. Snyggt!

En “hackerattack” eller ett intrång handlar om att någon lyckats ta sig in i en server på ett eller annat sätt. Så är inte fallet nu.

Överbelastningsattacker är mycket svåra att avvärja och skydda sig emot. De går, kraftigt förenklat, ut på att man uttömmer en servers resurser. Man överbelastar en tjänst med en enorm mängd trafik. Det innebär att servern går på knäna eller stannar helt och för vanliga besökare blir effekten att servern inte svarar.

Förr i tiden använde man ofta olika verktyg för att skicka “ful-trafik” mot en server. Det kunde vara kommandon som var “jobbiga” för servern att hantera och i och med det blev den för “upptagen” med förfrågningarna så att den inte hann ta hand om andra besökare. Effekten blev densamma. Man kom inte dit. Motmedel mot dessa attacker utvecklades och det är idag enkelt att filtrera bort denna typ av oönskad trafik.

Idag är det vanligare att man använder sig av ett bottnät. Ett bottnät är ett virtuellt nätverk bestående av kapade hemdatorer, så kallade bottar (eller zombies). Man har lurat användare att klicka på en fil som installerar en trojan på datorn. Trojanen “ringer hem” efter installationen och anmäler datorn till tjänstgöring. När man sedan vill starta en attack, eller göra något annat som trojanen är programmerad till, skickar man en signal till hela bottnätet. Signalen säger att “kl 15.30 ska du anropa www.offret.se. Gör det tills jag säger stopp”.

En webbserver är dimensionerad för en viss mängd trafik. Det för att hålla kostnaderna under kontroll. Låt oss säga att man brukar hantera 1.000 besökare per dag. Som mest har man haft 4.000 besökare. Då kanske man har dimensionerat internetkopplingen och webbservern att hantera som mest 6.000-8.000 besökare.  Om en attackeraredå skickar motsvarande 15.000 EXTRA besökare mot servern så är det lätt att inse att det kommer få effekt. Servern som attackerades igår brukar en normal dag ta emot ca 800 förfrågningar per sekund. Enligt uppgifter igår fick den under attacken ta emot 400.000 förfrågningar per sekund! Inte konstigt att den kantrade.

(En förfrågning är inte en besökare utan något som sker när en besökare kommer in på sidan. Det kan handla om att hämta bilder, visa text eller bygga upp webbsidan. Varje besökare orsakar många förfrågningar mot webbservern. Antalet förfrågningar är alltså inte lika med antalet besökare. Det är två olika sätt att räkna)

Vid en tidigare attack mot polisen.se använde man en mycket simpel attack, som visade sig få stora konsekvenser. Någon skrev ihop ett skript vars uppgift var att kontinuerligt ladda hem en bild på Thomas Bodström. Det låter kanske inte så allvarligt, men bilden låg på webbservern (istället för en “bildserver”) och den var i hög upplösning. Filstorleken var 3 MB. Därefter spreds skriptet på Internet och fler och fler tyckte att det verkade skoj att prova. Ju fler som körde skriptet, desto högre belastning blev det på servern. En vanlig dag är det förmodligen inte så många som laddar ned en bild på Bodström, så man var inte förberedd på belastningen. Effekten blev att servern gav upp. När man sedan flyttade bilden försvann problemet snabbt. Tricket är annars att försöka se skillnad på den som laddar hem en sådan bild i legitimt syfte och vem som gör det för att vara elak. Det är ju samma trafik! Man får under attacken lösa det genom att antingen plocka bort bilden, eller flytta den till en annan server som är bättre förberedd för belastningen.

Ett annat namn för attacken är Tjänstenekningsattack, vilket också är en bra beteckning på den, men ordet är så knöligt att man ofta väljer “överbelastningsattack”. På engelska heter attacken just “Denial of Service”, alltså tjänstenekning. När man använder sig av, t ex ett botnät så brukar man kalla attacken för en “distribuerad överbelastningsattack” (engelska: Distributed Denial of Service, eller DDoS).

Det är lätt att tro att överbelastningsattacker är ovanliga. Men det är de inte. De förekommer varje dag mot olika mål. Stora som små. De flesta når inte nyheterna. Anledningarna till attackerna är alltifrån politiska  motiv till busstreck .

Det är oerhört svårt att skydda sig mot denna typ av attack. Det finns hårdvara att köpa, men den är dyr. Det bästa man kan göra som företag är att ha en mycket god kontakt med sin Internetleverantör. När man sedan utsätts för en attack kan man snabbt ringa dem och be dem hjälpa till. Man börockså se till att man i avtalet med webbhostingföretaget se till att leverantören har god beredskap för denna typ av attack.

Tyvärr visar denna förhållandevis enkla typ av attack hur sårbart vårt informationssamhälle fortfarande är. I ett kommande krig kommer dessa attacker användas i stor skala. Dels för att “släcka” ett land och dels för att sprida osäkerhet och minska möjligheten att kommunicera med medborgarna. Jämför med gårdagens krig då man släpper ned stora mängder flygblad över fiendeland med olika budskap som ska minska stridsviljan och sprida förvirring.

I en perfekt värld skulle vi se till att kväsa detta ofog i sin linda genom att inte infekteras med trojaner. Men det är i praktiken omöjligt. Det finns alltid tillräckligt många som inte sköter om sina datorer och det kommer ofta nya trojaner som smiter förbi skydd. Vi kommer få leva med detta. Det enda vi kan göra är att förbereda oss.

(Bilden lånad från AKMG.com)

Taggar: Botnets, Läsvärt, Överbelastningsattacker, Trojaner, Virus

Kommentarer

En kommentar to “Överbelastningsattackerna”

  1. Intressant om utpressarna | Säkerhet & Sånt on November 4th, 2009 09:22

    [...] Överbelastningsattackerna [...]

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.