Per Hellqvist om IT-säkerhet och sånt

Det är minst sagt hysteri just nu i vissa kvällstidningar. En av dem snubblar över sina egna ben i sina försök att få oss att skaka av rädsla för vad som kanske kan komma att ske. Vet inte hur många som såg löpet igår (typ “HELA SVERIGE UTSLAGET”), men jag blev lite ledsen i ögat…

Jag får såklart en enorm massa frågor om vad attackerna innebär, hur de går till och vad man kan göra för att skydda sig.

Generellt kan man säga att “det beror på”. Det beror på vilken typ av attack det handlar om. Det övergripande begreppet för denna typ av attack är “tillgänglighetsattack”. Det finns fler olika attacker som faller under detta begrepp. En “överbelastningsattack” är en av undertyperna och är just den som avses i dagens diskussioner.

Den går grovt förklarat till så att en attackerare med olika metoder skyfflar en enorm mängd trafik mot en t ex en webbserver eller annan typ av server. Om servern (eller internetkopplingen) inte är dimensionerad för att ta hand om den trafikmängden så kommer den till sist sluta svara på tilltal. Upplevelsen blir att man inte kommer åt webbservern eller tjänsten som attackeras. Tillgängligheten stryps av en överbelastning alltså. Börjar du förstå begreppen? Bra. Då går vi vidare.

Vid många av dagens överbelastningsattacker använder elakingarna botnätverk. Ett botnätverk är ett virtuellt nätverk bestående av kapade hemdatorer. Alltså helt vanliga datorer som infekterats med en slags fjärrstyrningstrojan. När det är dags att attackera ett mål så skickar elakingen ut ett kommando i stil med: “målet är www.webbplatsen.se” och sen kommer alla datorer (som är uppkopplade mot internet) att ta sig dit och trafiken ökar extremt snabbt (jämför tsunami). Sådana attacker kan i princip vem som helst göra som är villig att skapa sig ett botnät eller hyra det. Alternativt kan man också vända sig till något av de gäng som som erbjuder denna typ av attacker mot betalning. Då mejlar man dem bara och säger målet, efter betalning så sätter attacken igång (är inte marknadskrafterna fantastiska?)

När det gäller dagens attackgrupp så använder de relativt enkla verktyg för att utföra attackerna. Problemet är att ju fler som klickar på knappar, desto mer trafik kommer det. Fördelen är att det samtidigt är relativt enkelt att skydda sig mot just denna attack.

Så här skriver kompisen Jonathan James:

DDos-attackerarna kommer till största del att använda sig av High Orbit ION Cannon version 2.1 vilket är ett DDoS-verktyg som förlitar sig helt på HTTP-anrop. Dessa kan filtreras ut bl a genom att filtrera ALLA HTTP-anrop som specificerar HTTP-version 1.0 OCH “Host: ” headern i HTTP-anropet. Sållar man bort denna trafik så når “vanlig” trafik servern medan all trafik från deras verktyg sållas bort.

Modsecurity är en bra modul till Apache att använda för att filtrera en del trafik, dock får man ju bäst effekt om man har en riktigt snabb IPS som kan filtrera bort trafik med vissa egenskaper (t ex HTTP 1.0 och Host: header, men även andra egenskaper, exempelvis upprepade requests till samma URL inom ett visst spann av tid)“.

Se så enkelt det kan vara :-)

Det finns olika typer av produkter och tjänster man kan skaffa för att skydda sig mot överbelastningsattacker, men för att motivera investeringen måste man som vanligt först se till sannolikheten för att det ska inträffa, skadan av det inträffade och sen matcha det med kostnaden för att skydda sig mot det. Om man inte tycker att det gör så mycket att webben är borta ett par timmar per år så kanske man tar beslutet att det inte är värt pengarna. De flesta attacker klingar av efter ett par timmar. Är man däremot till exempel en webbshop så vill man förmodligen inte vara borta många minuter, då detta direkt skadar affären.

Det viktigaste för de som inte vill investera i skyddet är att ha mycket bra och snabb kontakt med sin internetleverantör. Då kan man snabbt kontakta dem och be dem titta på trafiken och filtrera efter behov. Se om det står i ert kontrakt eller om det kan behöva skrivas in.

Sen kan man designa sina servrar så att man inte lägger tunga filer och en massa annat skräp på samma server. Du som har gott minne kommer säkert ihåg när någon sänkte regeringens webbplats för ett par år sedan. Det gjorde man genom att skriva ihop ett litet program (script) som konstant laddade ned en pressbild (flera megabyte stor) på Thomas Bodström. Ju fler som gör det desto tyngre blir det för servern. Till sist orkade den inte längre och lade ned och tillgänglighetsattacken var ett faktum. En sån sak kunde undvikits genom att placera pressbilder och andra stora filer på en annan server. Om den går ned så är fortfarande webben uppe. Det finns en hel del andra liknande trick man kan göra, men de kan vi prata om en annan gång.

PR-skadan vid dessa attacker är dock mycket större.

Eftersom “allmänheten” fortfarande sätter ett likhetstecken mellan tillgänglighetsattacker och att ha blivit hackad så ser det ut som att man haft intrång och det är ju inte bra för imagen. Marcin de Kaminski uttalade sig igår och droppade följande alldeles utmärkta citat:

– Nej, överbelastningsattacker är inte hack. Hackare hackar, och de som inte hackar är därför inte hackare“.

Ett alldeles briljant tydligt uttalande :-)

Med andra ord – Man har inte haft inbrott för att någon har fyllt din garageuppfart med snö så du inte kan parkera bilen.

För dig som vill fördjupa dig lite mer har Cert.se (MSB) skrivit lite mer på djupet i ämnet.

Allt ovanstående gäller för företag, myndigheter och organisationer, samt till viss mån dig som har en stor webbplats. För dig som helt vanlig privatperson gäller följande: Slappna av. Inget allvarligt kommer hända. I värsta fall kan du inte komma in på vissa webbplatser ett tag.

Taggar: Allmänt, Hackers, Intrång, Intressant, Överbelastningsattacker

Kommentarer

2 kommentarer to “Hur skyddar man sig mot attackerna?”

  1. Christian Andersson on October 5th, 2012 12:39

    Bra inlägg.
    Det jag starkt också kan rekommendera är en reverse-proxy (avancerad lastbalanserare, typ Netscaler, F5 networks, Radware). Alla dom kan göra det Jonathan förklarade ovan, men även mycket mer. Tex; TCP-multiplexering för att reducera antal TCP-sessioner mot backend servern, även ställa ner Time-to-live (TTL) värdet så att TCP-sessionerna blir mer kortlivade vilket resulterar i att DDos attacken får mycket mindre effekt. Det kommer även minsa trafiken avsevärt på WAN-länken

    Kör hårt Per!
    Hälsn från en pappaledig datanörd.
    /Kricke

  2. TkJ.se - Sveriges ledande IT-blogg on October 5th, 2012 15:12

    Överdrivna rubriker om attacker mot sajter…

    Under måndagen och tisdagen slogs flera sajter ut på grund av överbelastningsattacker, varav Anonymous tog på sig skulden för en del. Kvällstidningarna högg ganska hårt på det här och Aftonbladet körde igår ett löp där de skrev ”Attacken i natt s…

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.