Sikkerhedsmanden Bruce Schneier har skrevet et blogindlæg, hvor han fortæller om, at nogen gennem de seneste to år har testet cyber-forsvarsværkerne hos virksomheder, der kører kritiske dele af internettet.
»Disse tests (eng. probes) er udformet som nøje kalibrerede angreb designet til at afgøre, præcist hvor godt disse virksomheder kan forsvare sig, og hvad der skal til for at tage dem ned. Vi ved ikke, hvem der gør dette, men det føles som en stor nationalstat. Kina eller Rusland vil være mine første bud,« skriver Schneier.
Herefter fortæller han, at den nemmeste måde at pille et netværk af internettet på er via DDoS-angreb.
Altså kort fortalt et angreb, hvor store mængder data sendes mod en server, til serveren går i knæ.
Jo flere data der sendes mod serveren, des flere ressourcer kræver det typisk at forsvare sig mod angreb.
Eller: 'Hvis angriberen har en større brandslange med data end forsvareren, så vinder angriberen,' som Schneier skriver.
»På det seneste ...«
Som bekendt er der i sig selv ikke noget nyt i DDoS-angreb. Men ifølge Schneier har der den senere tid alligevel tegnet sig et nyt mønster.
»På det seneste har nogle af de store virksomheder, der leverer basis-infrastrukturen, der udgør internettet, set en stigning i DDoS-angreb rettet mod dem. Derudover har de bemærket en særlig angrebsprofil. Disse angreb er betydeligt større end dem, de tidligere har set. De varer længere. De er mere sofistikerede. Og de ligner tests (eng. probing),« skriver Schneier.
I forhold til, hvorfor angrebene ligner forsøg på at teste virksomhederne, fortæller Schneier, at et angreb én uge starter med en bestemt styrke, og så bliver der gradvist skruet op for styrken, hvorefter angrebet ophører.
»Næste uge starter angrebet på det højere niveau og fortsætter. Og så videre, langs disse linjer, som om angriberen leder efter det præcise punkt for nedbrud (eng. failure.),« skriver Schneier.
Han fortæller, at han ikke er i stand til at komme med nærmere detaljer, da de virksomheder, han har talt om tendensen med, har fortalt om angrebene ud fra en betingelse om at kunne være anonyme.
En af de anonyme virksomheder har også fortalt Schneier om en type angreb, der ud over DDoS-delen har testet muligheden for at manipulere internet-adresser og ruter (eng. routes), angiveligt for at se, hvor længe offeret for angrebet var om at reagere.
»Det føles som en nations cyberenhed ...«
Målet for angrebene - altså virksomheder knyttet til kritisk internet-infrastruktur - og angrebenes størrelse og vedholdenhed taget i betragtning får Schneier til at konkludere, at det nok er statsstøttede aktører, der står bag.
»Det føles som en nations cyberenhed (eng. cybercommand), som forsøger at kalibrere sit våbenarsenal i tilfælde af cyberkrig,« skriver Schneier.
Hvorom alting er, så er det ikke så meget at gøre ved det, mener Schneier:
»Hvad kan vi gøre ved dette? Ikke rigtigt noget. Vi ved ikke, hvor angrebene kommer fra. Data, jeg har set, indikerer Kina - en vurdering, som deles af de folk, jeg har talt med. På den anden side så er det muligt at skjule oprindelseslandet for denne type angreb.«
Måske NSA ved det
Bruce Schneier giver udtryk for en formodning om, at NSA som følge af den amerikanske efterretningstjenestes internetovervågning nok har et bedre indblik i, hvem der står bag de usædvanlige DDoS-angreb.
Men i den forbindelse påpeger han også, at medmindre USA beslutter sig for at lave en international hændelse ud af denne formodede indsigt, så vil der på den baggrund ikke bliver koblet et landenavn til angrebene.
»Men dette foregår. Og folk bør vide det,« slutter Schneier sit indlæg.
