Fredagens överbelastningsattack är bara början

Olle Segerdahl efter fredagens DDoS-attacker: ”Anmärkningsvärt att så pass många var helt beroende av en enskild DNS-leverantör.”

Författare: F-Secure Business Security Insider
Datum: 25.10.2016
Lästid: 5 Minuter

I fredags satt många IT-ansvariga och slet sitt hår – en överbelastningsattack riktad mot DNS-leverantören Dyn hade gjort det omöjligt att nå deras tjänster och sajter. Den här typen av attacker har vi sett förut, men inte på den här skalan. Olle Segerdahl, säkerhetsexpert på F-Secure menar att vi kommer att få se betydligt fler av dem.

“Fredagens attack var den största enskilda överbelastningsattacken någonsin. Det är svårt att relatera till stora tal men man kan utan tvekan säga att det är flera gånger större än de senaste årens största attacker.”

Det som är nytt med den senaste vågen av attacker – förutom skalan – är att förövarna inte behöver förlita sig till kidnappade datorer i botnet, istället utnyttjar man den svaga säkerhet som finns i många av våra uppkopplade prylar. Allt från webbkameror till avancerade nätverksprodukter har visat sig sårbara och eftersom det finns mängder av den här typen av prylar blir storleken därefter.

Ett par tusen övervakningskameror är en sak, men när vi pratar miljontals enheter som i det aktuella fallet blir det något helt annat.

Olle Segerdahl är inte förvånad över att vi kommit dithän, många säkerhetsexperter har varnat för just detta i flera år. Han är inte heller förvånad över att förövarna valt att sikta in sig på DNS-tekniken. Att det är en sårbar del av internets infrastruktur är också allmänt känt. Men det faktum att så många tjänster och sajter gick ner på grund av attacken är dock något helt annat.

”Det är direkt anmärkningsvärt att så pass många var helt beroende av en enskild DNS-leverantör. Att samhällsviktiga tjänster gick ner, att svenska myndigheter lagt alla ägg i samma korg – trots att de blivit uppmärksammade på just det här problemet tidigare är naturligtvis väldigt olyckligt.”, säger Olle Segerdahl och hänvisar till det faktum att två säkerhetskonsulter informerade MSB om riskerna med att förlita sig på en enskild leverantör för fyra år sedan.

För att skydda sig hade det behövts redundans – att det finns en parallell lösning som kan ta över om den ursprungliga inte fungerar. Det är hörnstenen i alla diskussioner om driftssäkerhet och IT, oavsett om det handlar om datacenter, backup-lösningar eller som i det här fallet IT-infrastruktur och DNS.

Kort sagt – antingen skyddar man sig genom att ta kostnaden för att bygga in redundans i systemet, eller så tar man en kalkylerad risk och sparar in på den punkten.

”Överbelastningsattacker är inget nytt och det är inget som kommer att försvinna. Men att uppkopplade enheter av den här typen används i de här sammanhangen är problematiskt. Med tanke på hur långt efter med säkerhetsarbetet dessa tillverkare i allmänhet ligger är det minst sagt sannolikt att vi kommer att behöva vänja oss vid liknande händelser.”

För det är ju trots allt så att det räcker med en enda säkerhetsbrist i en enda populär produkt som sålts i miljontals exemplar för att förövarna ska få tillgång till storskaliga arméer av villiga soldater, redo att lyda minsta instruktion.

”Situationen förvärras av att uppkopplade produkter från olika leverantörer ofta har komponenter från en och samma underleverantör. En säkerhetsbrist där och samtliga produkter drabbas. Det helt klart så att tillverkarnas eftersatta säkerhetsarbete är en viktig orsak till att den här typen av enorma överbelastningsattacker inte bara är möjliga utan till och med är ganska lätta att genomföra.”

Ett problem här är användarbeteendet. Den här typen av uppkopplade prylar kopplas ofta in och används under lång tid – utbytescyklerna är långa, och som konsument vill man helst inte behöva mer än att få dem att fungera och sedan mer eller mindre glömma bort att de existerar. För tillverkarna utgör den hårda prispressen på marknaden ett stort problem, med hårt pressade marginaler är incitamenten små för att lägga mer energi på säkerhetsfrågorna än ett absolut minimum.

Kanske kan kinesiska firman Hangzhou Technology Co Ltd, vars övervakningskameror pekats ut som vanligt förekommande bland enheterna i fredagens överbelastningsattacker, fungera som ett varnande exempel i fortsättningen. Företaget har, enligt nyhetsbyrån Reuters, återkallat ett stort antal produkter som sålts på USA-marknaden för att höja säkerheten.

Att återkalla produkter i efterhand kostar inte bara pengar, det ger dessutom dålig publicitet. Fråga bara biltillverkare med strulande airbags, eller Samsung.

Att försvara sig mot den här typen av attacker har blivit en del av vardagen för manga företag, för oavsett om man har affärskritiska system, till exempel webbutiker eller supportlösningar, uppkopplade mot nätet så gäller den gamla slitna paradigmen att tid är pengar i allra högsta grad på nätet. Och ju större datamängder som finns i en överbelastningsattack, desto större är insatsen som krävs för att försvara sig och samtidigt minskar chansen att klara sig utan att hela – eller delar av systemet går ner.

 

Tre snabba om fredagens attacker:

Vad var det för attack?

Det var en så kallad DDoS-attack (Distributed Denial of Service), överbelastningsattack på svenska. Attacken var riktad mot DNS-leverantören DynDNS som levererar tjänster till flera tjänster och sajter. Bland dem som gick ner under trycket från attacken finns exempelvis Twitter, Amazon och Spotify, samt myndighetstjänster som krisinformation.se och regeringen.se.

Hur fungerar det?

Typiskt så innebär den här typen av attacker att ett nätverk av ”zombies” eller botar – maskiner som står under förövarnas kontroll skickar stora mängder trafik till en specifik sajt, så stor mängd trafik att den inte kan hantera alla förfrågningar och dukar under.

Vem låg bakom?

Det är oklart i nuläget. Och även om det krävs ett visst mått av specialkunskap för att orkestrera något liknande så går det alldeles utmärkt att betala någon annan för att göra det. Det finns en utvecklad svart marknad för just detta ändamål.

Gizmodo har en ganska bra sammanställning i någorlunda kronologisk ordning för den som vill läsa mer om vad som hände.