DDoS angrep – hva skjer under et angrep?
Skrevet av: Trond Olav Ånesen

I denne artikkelserien ser nettverksadministrator Trond nærmere på DDoS angrep. Hva det er, hvorfor det skjer og hvordan det kan håndteres. Serien er i 3 deler og hver uke publiseres en ny del.

I del 1 så vi på hva et DDoS angrep er, hvem som kan utføre disse og hvilke hensikter de kan ha. I denne artikkelen skal vi se nærmere på hva som egentlig foregår når angrepet skjer.

Hva skjer under et DDoS angrep?

‘Distributed’ betyr at det er mange enheter (hjemmepc, kontorpc, servere og lignende) som er med på angrepet. I de aller fleste tilfeller er eierne av disse enhetene helt intetanende til dette.

I tilfellet nettsider, så kan disse som regel håndtere fra et titalls, til noen millioner treff i sekundet, avhengig av leverandør, server, oppsett og lignende.

proisp blogg ddos del 2 hacker

Det kreves altså mange enheter for å utføre et vellykket angrep. Som nevnt er eierne av enhetene ikke klar over at de er med på angrepet, og da kaller vi ofte disse enhetene for «zombier». En enhet/maskin/PC blir en zombie hvis den blir infisert, noe en angriper kan gjøre via nettsider brukeren av enheten besøker, epost sendt til brukeren/eieren osv. Når angriper har infisert en enhet kan denne kontrolleres via kommandoer kjørt fra angriper. Har man mange nok infiserte enheter under egen kontroll, kaller man det et zombie-nettverk, eller bot-net. I de tilfellene hvor man leier DDoS angrep er det disse zombie-nettverkene man faktisk betaler for å benytte.

Hvorfor oppdages ikke dette av eieren av den infiserte enheten/PCen/serveren? Vel; selv om anti-virus, brannmur og lignende er kjente begreper, er det svært mange som ikke tar dette alvorlig nok. Man har utdaterte versjoner eller ikke noen sikkerhetsprogramvare i det hele tatt. Koden som er plassert på enheten er laget på en måte slik at eier ikke skal oppdage det, og en av grunnene til at eierne(e) ikke oppdager dette er at trafikken som sendes fra hver enkelt infisert enheter er svært liten.

Siden kommandoer sendt fra angriperen til zombie-enheten ikke påvirker ytelsen til den infiserte enheten, og heller ikke båndbredde/Internett-hastighet i særlig grad, kan en enhet være en zombie hele sin levetid uten å vekke mistanke.
Selv om trafikken fra hver enkelt enhet ikke er stor, blir det fort veldig mye hvis man har mange nok enheter man kan benyttes.

Hvordan fungerer det i praksis?

La oss ta utgangspunkt i en standard hostingleverandør og en standard nettside plassert hos dem. Vanligvis har en konto hos en hostingleverandør begrenset ressursbruk, både fysisk på serveren (cpu, ram) og når det gjelder båndbredde som kan benyttes. Dette vil si at det ikke nødvendigvis kreves så veldig store angrep.

Når man skriver inn en adresse i nettleseren sin, er det første som skjer at din enhet sender en forespørsel til serveren nettsiden er plassert på, dette i form av: HTTP GET request.

Når server mottar denne forespørselen svarer den med å sende innholdet på fremsiden for nettsiden man besøker, til besøkerens nettleser. Båndbredden som benyttes avhenger da av størrelsen på nettsiden som skal lastes, men la oss ta utgangspunkt i at en besøkende krever 1mbit/s i 5 sekunder for å få lastet hele nettsiden. Mange leverandører har som nevnt begrensninger på hvor mye båndbredde en enkelt konto kan benytte, eks 100mbit/s. Med andre ord; dersom 100 personer besøker nettsiden på nøyaktig samme tidspunkt, vil i praksis båndbredden til nettsiden være brukt opp i 5 sekunder, og alle andre som forsøker å laste siden i denne tidsperioden vil oppleve lang lastestid på siden, og eventuelt få feilmelding (gjerne 503 error).

Å ta ned en nettside som ligger i et hostingmiljø er altså ikke nødvendigvis så vanskelig, og hvis vi tar i betraktning at et zombie-nettverk kan bestå av flere millioner enheter, er skadepotensialet enormt mye større.

Hvor stor skade kan et DDoS angrep gjøre?

Når vi snakker om DDoS snakker vi ofte om størrelsen på angrepene, og det er da snakk om trafikkvolum. Selv om intensjonen til angriperen er å ta ned en enkelt nettside, kan skaden bli mye større.

La oss si at hostingleverandøren til nettsiden har en internettforbindelse på 500Mbit/s. Et DDoS angrep kan svært enkelt «fylle opp» båndbredden på denne forbindelsen, og i praksis tar da ikke angriper ned kun en nettside, men hele leverandøren og potensielt tusenvis av sider og kontoer.

Hvis vi «zoomer» litt ut; hostingleverandøren har en underleverandør som leverer internettforbindelsen til det datarommet/datasenteret hvor hostingleverandøren har sine servere/tjenester plassert. Denne underleverandøren har eksempelvis 2Gbit/s båndbredde, som deles mellom hostingleverandøren og X antall andre kunder. Et angrep som i utgangspunktet skal ta ned en nettside, tar da plutselig ned ikke bare hostingleverandøren, men også alle andre kunder internettleverandøren leverer tjenester til.

Hva fører DDoS angrep til?

Det kan kanskje være vanskelig å skjønne dette med båndbredde, ytelse og kapasitet hvis man ikke er kjent med fagspråket. For å forklare det så enkelt som mulig;

Se for deg at nettsiden din er 1 av mange butikker i et kjøpesenter, hvor kjøpesenteret i denne sammenhengen er serveren, og de andre butikkene er andre kontoer/nettsider på samme server.

Hvis din butikk får 3000 kunder en dag, men kun har kapasitet til å yte service til 1000, vil din butikk i praksis være utilgjengelig for de 2000 som står i kø. Hvis noen så sender 10 000 kunder til din butikk, vil hele kjøpesenteret fylles av folk, og ingen av butikkene vil kunne besøkes. Øker vi til 100 000 kunder vil alle veier i området rundt kjøpesenteret fylles opp, som gjør at andre sentere og butikker også i praksis blir utilgjengelige.

Med andre ord; et DDoS angrep fører til fullt kaos på veiene til/fra en server.

I denne artikkelen har vi sett på hvordan zombie-enheter benyttes til å utføre et DDoS direkte. Dette er bare en av mange måter man kan utføre et angrep på og de tekniske løsningene som ligger bak vil naturlig nok variere og endre seg.

Et annen måte å forklare det på er denne visuelle fremstillingen av en nettside som fungerer som normalt:

Som motsetning viser videoen nedenfor en visuell fremstilling av en nettside under DDoS angrep:

I del 3 kan du kunne lese om hvordan DDoS angrep kan håndteres.

Kilder:
List of HTTP status codes 

DDoS angrep – hva er det og hvor kommer de fra?
Skrevet av: Trond Olav Ånesen

I denne artikkelserien ser nettverksadministrator Trond nærmere på DDoS angrep. Hva det er, hvorfor det skjer og hvordan det kan håndteres. Serien er i 3 deler og hver uke publiseres en ny del.

I denne første delen av serien skal vi se på hva et DDoS angrep er,  hvem som kan utføre disse og hvilke hensikter de kan ha.

Hva er DDoS angrep?

Folk som har vært noen år i IT bransjen, og da spesielt innen nettverk og serverdrift, kjenner dessverre så altfor godt til DDoS og hva det står for. La oss ta det enkle først; DDoS står for «Distributed Denial-of-Service».

Et slikt «Denial-of-Service» angrep er et forsøk på å ta ned en server, gjøre en nettside utilgjengelig, eller angripe selve internettet. Mulighetene er mange og like mange er årsakene til at det at de forekommer.

proisp blogg ddos angrep system failure

Hvorfor skjer DDoS angrep?

Det kan finnes flere årsaker til noen ønsker å gjøre en nettside eller en server utilgjengelig. De tre klassiske eksemplene er politisk aktivisme, «script kiddies» eller utpressing.

Politisk aktivisme
Vi lever i en verden hvor ytringsfriheten er viktig og folk er berettiget til å mene hva de vil. I ytterkantene av disse meningene finner vi dog de som er villig til å gå lengre enn andre for å få frem nettopp sin mening. Man nøyer seg ikke med å ytre sin mening på sosiale medier, debatter og lignende, men man ønsker i tillegg å straffe de som måtte mene det motsatte.

Hvis man eier eller drifter en nettside med kontroversielt innhold vil man, grunnet innholdet, stå i fare for å bli angrepet. Hva som er kontroversielt innhold kan selvsagt diskuteres, men i det man snakker om religion eller politikk (spesielt i «ekstreme» religiøse miljøer, eller ytterkanter på høyre/venstre sidene i politikken) blir det fort kontroversielt uansett. Det beste eksempelet på dette er nyhetssider/nettaviser. I Norge har vi heldigvis ikke sett så mye til dette, men i land der sitasjonen er annerledes; eks Ukraina, har dette vært et problem. Pravada er en Ukrainsk nettavis som fokuserer på å formidle alle sider av de politiske debattene. Som en følge av dette har de vært under store angrep, og nettsiden har derfor over flere år hatt problemer med nedetid som følge av dette.

Angriperne ønsker altså å gjøre tjenesten ustabil slik at folk ikke kan benyttes seg av den (gir da også nettavisen dårligere rykte grunnet nedetiden), og akkurat det oppnår de.

«Script Kiddies»
DDoS angrep er langt ifra det det en gang var. Som så mye annet går utviklingen den veien at det blir utviklet verktøy som «selv mor» kan benytte. Når verktøyene blir lettere å bruke og mer tilgjengelige, opplever man at angrep kan bli utført fra gutterommet (bokstavelig talt).

La oss si at «Ola» spiller LoL (League Of Legends), og taper kampene i spillet. Han blir irritert, sint og gjør et søk på internett om hvordan han kan ødelegge for sine medspillere. Han finner et program hvor han skriver inn IPen (spillerens «adresse» på internett) til medspillerne (dette er som regel mulig å finne ganske enkelt). Programmet er laget slik at det raskt og effektivt sender store mengder trafikk mot medspillerne, noe som resulterer i at deres internettforbindelse blir treg og til slutt stopper. Ola har altså oppnådd det han ønsket, og medspillerne som har blitt utsatt for angrepet kan oppleve at internettleverandøren midlertidig stenger forbindelsen helt.

Vi kaller Ola for en «script kiddie» fordi han benytter verktøy andre har utviklet for å utføre sine misgjerninger. Ola trenger altså ikke å ha noe som helst kunnskap om nettverk, servere eller annet for å ødelegge for andre. All informasjon er tilgjengelig på nett.

Utpressing
Her snakker vi om store, avanserte og som regel veldig godt planlagt angrep. Målet er enkelt: Penger.

Ofrene for slike angrep er som regel store aktører som internasjonale selskaper, internettleverandører, innholdsleverandører osv. Det hele er veldig enkelt; en angriper starter et angrep som er stort nok til å garantert lamme for eksempel en internettleverandør. Samtidig som angrepet starter, og i noen tilfeller også før angrepet, blir det sendt et brev som ber om en viss sum penger, ellers vil angrepet opprettholdes på ubestemmelig tid.

Hvis angrepet faktisk lammer leverandøren mister alle abonnenter internettforbindelse, så dette er med andre ord meget kritisk. Dersom leverandøren har et robust nettverk og gode rutiner, så vil angrepet kunne håndteres innen forholdsvis kort tid (0-1 timer). Dersom de ikke har mulighet til å håndtere det vil nok mange betale kravet for å stoppe det. Her er det antageligvis en del mørketall da få vil innrømme dette.

Proton Mail er blant de selskapene som har innrømmet å ha betalt for å få stoppet angrepet, men som opplevde at angrepene bare fortsatte.

proisp blogg ddos protonmail

I del 2 kan du lese om hva som egentlig foregår når et DDoS angrep skjer.

Kilder:
Threat Post «ProtonMail Back Online Following Six-Day DDoS Attack»

Passordet – snart utdødt?
Skrevet av: Isabelle

Passordet ble utviklet i 1960-årene for å regulerer tilgang til filer på større datamaskiner som ble brukt av flere personer. I dag bruker vi daglig passord for å få tilgang til e-post, bilder, nettbank, flybilletter bare for å nevne noe.

Gammelt system

Systemet for å skape et passord er ikke enkelt eller brukervennlig. Passordet skal være kompliserte nok til at det ikke kan hackes, men det gjør igjen at passordet blir umulig å huske. I tillegg skal man ha forskjellige passord for hvert sted man logger inn.

I en digital hverdag resulterer dette systemet i hundrevis av passord og er hovedårsaken til at folk flest benytter usikre passord eller det samme flere steder. Folk er villige til å ignorerer viktigheten av å ha et sikkert passord mot at de kan logge inn på sine kontoer overalt uten å ha hundrevis av passord lagret et sikkert sted.

Da passord ble utviklet var det ingen personlig data tilgjengelig digitalt mens i dag kan man med et passord få tilgang til alt fra bankinformasjon, personlige filer, bilder, kredittkort og så mye mer.

Hvor usikkert er passordet?

For å illustrere hvor usikkert passordet er kan vi se på litt statistikk:

– Ca. 74% av folk bruker det samme passordet på forskjellige kontoer.
– Det mest brukte passordet er «password».
– Ca. 91% av passordene er av de 1000 mest brukte passordene.
– 50% av brukere glemmer passordet sitt.
– Svake admin passord er årsaken til 80% sikkerhetsbrudd.
– Over 378 millioner folk er ofre for cyberkriminalitet hvert år.

proisp hacker passordet

Hvordan ser fremtiden ut?

Selv om systemet ikke har endret seg så mye de siste 50 årene, er det en revolusjon innen sikkerhet rett rundt hjørnet. Innen de neste 10-20 årene vil du kunne logge inn i din nettbank med ditt fingeravtrykk eller lese din e-post med øyescanner som innlogging.

  • FIDO (Fast Identity Online)
    En allianse av bedrifter kalt FIDO alliansen har slått seg sammen med et felles mål: utvikle teknologi som reduserer avhengigheten av passord for å bekrefte brukere. PayPal startet det hele i 2010 da de slo seg sammen med en sikkerhets entreprenør og en kryptografer. Allerede i 2012 inkluderte alliansen både Google, Microsoft og MasterCard.
  • To-faktor autentifisering
    Ved autentifisering finnes det flere metoder, for eksempel passord, fingeravtrykk og adgangskort. Med to-faktor autentifisering benytter man to av disse i kombinasjon for økt sikkerhet. Noen av bedriftene som benytter to-faktor autentifisering i dag er blant annet Apple og Google. De benytter såkalte bekreftelsekoder som sendes via SMS til det registrerte mobilnummeret for kontoen man logger seg inn på.
  • Ekstern autentisering
    Dette er en måte å gjøre innloggingen din på flere steder enklere. Med ekstern autentisering kan du logge inn på flere portaler med en innlogging fordi de linket sammen.

I løpet av 2016 vil sannsynligvis PRO ISP tilby to-faktor autentisering i tillegg til ekstern autentisering via Facebook eller Google. Ekstern autentisering kommer om kort tid mens to-faktor autentisering kommer noe lengre frem i tid. Se videoen nedenfor for å se hvordan dette gjør innloggingen i for eksempel cPanel enklere:

Kilder:
«Is the password dead?» – www.whoishostingthis.com
«Sikkerhetsinnstillinger og autenisering» – NorSIS

Hvilken nettleser er mest sikker?
Skrevet av: Isabelle

For hver nettside du besøker er du utsatt for hackere, skadelige URL’er og sporingsprogramvare. Du kan sikre deg mot mye av dette ved hjelp av din nettleser.

Mest brukte nettlesere

Statistikk viser at Internet Explorer, Google Chrome og Firefox er de mest brukte nettleserne. Internet Explorer er den mest brukte på verdensbasis uten særlig økning eller nedgang. Bruken av Chrome derimot har økt med 5% bare i løpet av 2014.

nettleser statistikk 2014

Statistikken nedenfor viser antall oppdagede sikkerhetshull i 2013. Vi ser at Firefox og Chrome har flest men dette betyr ikke at de to nettleserne har dårligere sikkerhet enn de andre. Komplett antall sikkerhetshull vil man ikke vite om uten at de blir oppdaget. Firefox og Chrome kan være dyktigere på å avdekke disse sikkerhetshullene og dermed ha en «dårligere» statistikk.

nettleser sikkerhetshull 2013

Sikre din nettleser for sikkerhetshull

Det er ikke er nødvendig å bytte nettleser for å sikre deg mot sikkerhetshull. Så lenge du holder din nettleser oppdatert og bruker antivirus beskyttelse er dette ofte godt nok for å sikre dine data. Du kan i tillegg installere add-ons i nettleseren for ytterligere sikring.

NoScript Security Suite 
Begrenser Java, JavaScript og annet innhold til å kun kjøres på valgte sider
(kun for Firefox)

Webutation
Samler data på nettsider og gir deg en score for å se hvor sikker siden er.
(kun for Firefox og Chrome)

Disconnect
Gir mulighet for å godta eller avslå sporingsforespørsler.
(Firefox, Chrome, Internet Explorer og Safari)

Do Not Track Me
Gir deg mulighet til å slå av sporingscookies og scripts.
(Firefox, Chrome, Internet Explorer og Safari)