Hva er tjenestenektangrep, og hvordan kan vi forhindre dem?

Publisert: 09.07.2014

Tjenestenektangrep, eller DDos-angrep, har fått mye oppmerksomhet den siste tiden. Men hva er det egentlig, og hvilke tiltak kan virksomheten iverksette for å forebygge mot denne typen dataangrep?

Gårsdagens DDoS-angrep mot en rekke norske bedrifter skal jeg ikke si så mye om i dette innlegget. Men jeg benytter likevel anledningen til å informere om hva et DDoS-angrep er, og litt om hva som kan være årsaken til slike angrep. I tillegg har vi i Nasjonal sikkerhetsmyndighet laget en veiledning om grunnleggende tiltak for forebygging av DDoS-angrep. Den anbefaler vi at mange virksomheter tar en titt på.

Men først litt om begrepene som brukes. DDoS er en forkortelse på det engelske begrepet «Distributed-Denial-of-Service» og er en metode som benyttes til fortsettlig å sette datamaskiner eller nettverksressurser ut av stand til å levere tjenester til de opprinnelige brukerne. På norsk kaller vi det for tjenestenektangrep. Slike angrep rammer både brukerne og eierne av en tjeneste. Du får ikke tilgang til tjenesten, men eieren greier heller ikke å gi deg tjenesten.

En kommentar jeg fikk på Twitter i går, syntes jeg også var en passende beskrivelse av et tjenestenektangrep. – Noen kjører et par lastebillass med grus og dumper det utenfor en butikk. Konsekvensen er at du som kunde fysisk ikke kommer inn i butikken og butikkeieren greier ikke å åpne døren innenifra (i hvert fall ikke umiddelbart) slik at butikkeieren kan tilby deg sine tjenester.
(Takk til Arne B. Espedal fra Sandnes for den gode beskrivelsen)

Hvordan foregår et tjenestenektangrep?
Tenk deg at du sammen med en stor menge andre mennesker forsøker å kjøpe en konsertbillett på nett. Alle vill ha og alle forsøker å kjøpe på nett samtidig. Alle henvender seg til den samme nettsiden. Nettstedet som selger billetten er kun i stand til å håndtere 100 henvendelser i minuttet, mens det i løpet av det samme minuttet som salget starter er 10.000 mennesker som forsøker å bestille samtidig. Det er nødt til å gå galt og det som skjer er at nettstedet blir ustabilt, tregt og slutter å virke. Ingen får bestilt en eneste billett!

Slike episoder har forekommet og rent teknologisk er det akkurat det samme som skjer som når det skjer et tjenestenektangrep. Bortsett fra en viktig og vesentlig forskjell at ved billettsalget ønsker de som henvender seg til nettstedet å kjøpe billetter. Under et tjenestenektangrep er det ingen som ønsker å kjøpe noe som helst. Den eneste hensikten er å få nettstedet til å slutte å fungere. En annen forskjell er at der hvor det er 10.000 mennesker som forsøker å kjøpe billett er det i et tjenestenektangrep 10.000 fjernstyrte datamaskiner som styres av en enkelt person/organisasjon med en ondsinnet hensikt. For å gjøre det enda værre, så har jeg ingen garanti for at ikke min datamaskin er en av de fjernstyrte maskinene som har vært med på et slikt tjenestenektangrep.

Jeg har forsøkt å illustrere noen faser i et tjenestenektangrep og hvordan dette foregår fra starten av.

Tjenestenekt-illustrasjon1

 

Tjenestenekt-illustrasjon2

Ikke nødvendigvis hacking
Tjenestenektangrep er ikke nødvendigvis hacking da det sjelden innebærer ulovlig inntrenging i et system. Men datanettverkene som vi kaller Botnet og som oftest leverer datakraften til å gjennomføre et tjenestenektangrep, er som regel et sluttresultat av ulovlig hacking.
Angriperen bruker denne datakraften til å overbelaste en eller flere tjenester, slik at de slutter å virke.

Tjenestenektangrepet i seg selv innebærer altså ikke innbrudd, men det betyr ikke at det er lovlig. I en nylig dom i 2014 mot tre norske unge gutter ble alle dømt for skadeverk etter straffelovens § 291 og § 292. De tre som kalte seg for «DotNetFuckers» rettet en rekke tjenestenektangrep mot norske virksomheter som Norsk Tipping, DNB og Politiets sikkerhetstjeneste m.fl.

De som står bak slike tjenestenektangrep bør heller ikke automatisk benevnes som hackere. I sin enkleste form, er det eneste du dessverre trenger, et kredittkort og ønske om å ødelegge for et nettsted og dets eier for en lenger eller kortere tidsperiode. Det betyr ikke at det ikke kan befinne seg andre bak tjenestenektangrep og som har helt andre motiver enn å bedrive pøbelstreker og skadeverk på nett, bare fordi det er mulig. De øvrige motivene er heller ikke av det godartede slaget.

Motivet for tjenestenektangrep
Flere av motivene for gjennomføre et tjenestenektangrep er listet opp i vår veiledning om emnet. De kan være:

Økonomiske motiver ved å påføre andre finansiell skade (f.eks. en konkurrerende virksomhet)

Økonomiske motiver ved å bruke tjenestenektangrep til utpressing. «Betal eller vi begynner/fortsetter med dette».

Nettaktivisme med underliggende politiske, religiøse eller filosofiske motiver hvor tjenesteangrepet benyttes for å få oppmerksomhet rundt sine synspunkter.

Cyberpatriotisme hvor man av patriotiske årsaker bruker tjenestenektangrep i forbindelse med en væpnet konflikt eller krig.

Det finnes også noen eksempler hvor tjenestenektangrep er brukt som kamuflasje for det som er det virkelige angrepet. F.eks. svindel-transaksjoner.

Konsekvenser under/etter tjenestenektangrep
Det kan være flere konsekvenser av et tjenestenektangrep og ser vi det fra et brukerperspektiv, betyr dette at tjenester som du og jeg bruker i det daglige ikke er tilgjengelig for oss. Det blir bestillingen vi ikke fikk gjort, transaksjonen som ikke ble gjennomført, informasjonen vi ikke var i stand til å skaffe oss. Jeg skal ikke filsosofere over hvorvidt vi som brukere bør kunne greie oss greit med en “nedetid” på 1 time, men jo lenger en tjeneste er nede jo større utfordringer og irritasjon blir det vel for brukeren.

Fra en tjenesteeier er saken langt mer alvorlig. Det å ikke få ut sin informasjon til kunder/publikum, ikke selge, ikke levere enn forventet tjeneste har direkte økonomiske konsekvenser. Legger man til utgiftene som følger med å håndtere et tjenestenektangrep, så koster dette penger. Tar man med med et mulig tap av omdømme er ikke et tjenestenektangrep bare guttestreker. DNB beregnet i “DotNetFuckers-saken” at de hadde et økonomisk tap på ca 1,3 millioner kroner.

Forebygging av tjenestenektangrep

NSMs veiledning understrekes det at kunnskap om og kjennskap til egen IKT-infrastruktur er helt grunnleggende forutsetninger for å lykkes med forebyggende sikkerhet. I DDoS-konteksten er det tre hovedområder som er spesielt viktige: Sikkert design, sikker konfigurasjon og sikker drift og vedlikehold. I tillegg er det lurt å gjennomføre kontrollert testing og verifikasjon av tåleevnen til de eksponerte komponentene i IKT-infrastrukturen.

Når NSM har laget en veiledning med grunnleggende tiltak for forebygging av tjenestenektangrep er det viktig å presisere at implementering av tiltakene ikke er en garanti for at man kan unngå tjenestenektangrep. Legger vi mitt eksempel om billettsalget til grunn, så er tjenestenektangrep et matematisk regnestykke som handler om hva nettverket (målet) er skalert til å tåle av henvendelser fra omverden. Dersom angriperen overgår det antallet i volum, vil målet til slutt bryte sammen og angriperen har nådd sitt mål.

Uansett anbefaler vi virksomheter å se nærmere på de ulike tiltak som kan bidra til å forebygge at de blir utsatt for tjenestenektangrep. En beredskap for hvordan de håndterer slike hendelser er også viktig. Her kommer vi ikke bort fra det fortsatt behovet for å bli enda bedre på informasjonsdeling og samarbeid mellom en rekke aktører, inkludert min egen arbeidsgiver. Gårsdagens hendelse skulle bevise at vi er alle i samme båt.

Avslutningsvis er det verdt å nevne at det selvsagt arbeides med å redusere antall botnet og her samarbeides det i utstrakt grad på tvers av landegrensene, men det er et annet blogginnlegg.

comments powered by Disqus