Digitalt hærverk som flytter fokus
Debatt: Hvorfor fortsetter it-kriminelle å bruke det enkleste trikset i ”hacker-håndboka”?
I fjor sommer
gjaldt det en rekke offentlige nettsteder i Norge, i høst var det de svenske
valgmyndighetene som ble rammet og nylig kom turen til Danmarks nasjonalbank og
flere andre finansinstitusjoner – de ble alle rammet av det man kan kalle det
billigste trikset i hacker-håndboka, nemlig DDoS-angrepet. Men hvorfor fortsetter it-kriminelle å bruke en angrepsmetode som mest av alt bare likner digitalt
hærverk?
2023 har allerede vist seg fra sin mest dramatiske side når det kommer til hackeres interesse for å angripe nordiske mål. Først ble både det danske forsvarets og forsvarsdepartementets hjemmesider satt ut av spill, og deretter ble Nationalbankens og flere finansinstitusjoners nettsider også mørklagt i en periode.
Bakmennene er angivelig russiskstøttet, noe som i disse tider er ytterst plausibelt, men uansett hvem som står bak så er én ting sikkert: Angrepsmetoden er en av de mest banale i de it-kriminelles arsenal, men samtidig også den minst effektfulle – nemlig et DDoS-angrep. For mens metoden relativt raskt, relativt billig og relativt sikkert kan stenge enhver nettside, så er offeret også relativt raskt oppe og går igjen, uten varige mén på annet enn stoltheten.
Så hvorfor fortsetter hackere å bruke DDoS?
Det er det tre enkle årsaker til.
Nedetid og publisitet
Når Elkjøp åpner de virtuelle dørene under Black Friday, og titusenvis av brukere klikker seg rundt der inne samtidig, kan det være tungt for serverne å henge med. Det skjedde tilbake i 2015 (i dag er Elkjøp noe bedre rustet for horder av tilbudssultne kunder), men DDoS, som er kort for Distributed Denial of Service, er egentlig basert på samme prinsipp: Send enorme mengder trafikk til et nettsted på én gang, slik at serverne tvinges i kne.
Det skjer via botnets, altså nettverk av datamaskiner som er infiltrert av skadevare. Disse styres av it-kriminelle, og mens et angrep som det som var rettet mot det danske forsvarets nettsider antakelig ikke krever noe særlig mer enn 10.000 enheter, så ser man botnet der ute som består av mange millioner datamaskiner – klare til å stenge ned et hvilken som helst nettsted.
det primære formålet er å vise omverdenen at de it-kriminelle er der
Og det primære formålet er å vise omverdenen at de it-kriminelle er der. Det handler om omtale, om publisitet og om å skaffe seg skryterettigheter blant de andre it-kriminelle når det kommer til hvem som har stengt ned det vanskeligste, kuleste eller største nettstedet. Menneskelig higen etter oppmerksomhet, ganske enkelt.
Ytre nettverksproblemer gir magesmerter
Når et DDoS-angrep rammer, tvinges serveren ned og det kan ta tid å komme opp og gå igjen, men et DDoS-angrep åpner ikke i seg selv dørene ytterligere for hackere.
Lever du av salg via den aktuelle nettsiden kan det ha en økonomisk effekt, men enda viktigere er det at server- og hosting-problemer også kan gjøre at interne systemer blir trege – særlig hvis serveren befinner på samme lokasjon som resten av virksomheten og potensielt administrende personale. (Det påvirker et nettverk når besøkende på et nettsted øker fra 1000 til 100.000 på kort tid).
Avhengig av virksomhet og tidspunkt, kan et DDoS-angrep være alt fra katastrofalt til et lite irritasjonsmoment. Forestill deg at et DDoS-angrep rammer en mindre nettbutikk på Black Friday, eller Altinn rett før momsregistrering – da har selv et slikt enkelt angrep stor effekt.
Flytter fokuset ditt
økt fokus ett sted, gir åpne flanker og åpninger andre steder
Viktigst av alt er det at et DDoS-angrep flytter fokuset ditt. Store DDoS-angrep som omtales mye i mediene – som for eksempel det som rammet norske myndigheters nettsider i fjor – får virksomheter til å forskanse seg og infrastrukturen sin mot DDoS-angrep, fordi de ser ”bølgen” skylle innover landet. Men økt fokus ett sted, gir åpne flanker og åpninger andre steder. Det er nemlig sånn at hvis du angriper et system, vil det typisk reagere med "all-hans on deck" for å forsvare seg mot den spesifikke typen angrep. Det samme gjelder medarbeidere, og det kan sammen føre til at andre sårbarheter i systemene ikke overvåkes i samme omfang, og dermed til at hackernes egentlige angrepsvei blottlegges helt.
Nettopp derfor ser man ofte DDoS-angrep skje som den første angrepsbølgen, mens it-kriminelle samtidig planlegger et bakholdsangrep fra en annen vinkel. Det gjør at det er avgjørende at virksomheter er klar over at selv om et DDoS-angrep kan ha store økonomiske og image-relaterte konsekvenser, så kan det reelle angrepet – den reelle skaden på virksomheten – først komme senere.
Steffen Friis, It-sikkerhedsekspert og Sales Engineer hos VIPRE Security Group