Schneier om usædvanlige DDoS-angreb: Nogen forsøger at finde internettets hovedkontakt

Anonyme virksomheder har fortalt sikkerhedsmanden Bruce Schneier om mystiske DDoS-angreb.

Sikkerhedsmanden Bruce Schneier har skrevet et blogindlæg, hvor han fortæller om, at nogen gennem de seneste to år har testet cyber-forsvarsværkerne hos virksomheder, der kører kritiske dele af internettet.

»Disse tests (eng. probes) er udformet som nøje kalibrerede angreb designet til at afgøre, præcist hvor godt disse virksomheder kan forsvare sig, og hvad der skal til for at tage dem ned. Vi ved ikke, hvem der gør dette, men det føles som en stor nationalstat. Kina eller Rusland vil være mine første bud,« skriver Schneier.

Herefter fortæller han, at den nemmeste måde at pille et netværk af internettet på er via DDoS-angreb.

Altså kort fortalt et angreb, hvor store mængder data sendes mod en server, til serveren går i knæ.

Jo flere data der sendes mod serveren, des flere ressourcer kræver det typisk at forsvare sig mod angreb.

Eller: 'Hvis angriberen har en større brandslange med data end forsvareren, så vinder angriberen,' som Schneier skriver.

»På det seneste ...«

Som bekendt er der i sig selv ikke noget nyt i DDoS-angreb. Men ifølge Schneier har der den senere tid alligevel tegnet sig et nyt mønster.

»På det seneste har nogle af de store virksomheder, der leverer basis-infrastrukturen, der udgør internettet, set en stigning i DDoS-angreb rettet mod dem. Derudover har de bemærket en særlig angrebsprofil. Disse angreb er betydeligt større end dem, de tidligere har set. De varer længere. De er mere sofistikerede. Og de ligner tests (eng. probing),« skriver Schneier.

I forhold til, hvorfor angrebene ligner forsøg på at teste virksomhederne, fortæller Schneier, at et angreb én uge starter med en bestemt styrke, og så bliver der gradvist skruet op for styrken, hvorefter angrebet ophører.

»Næste uge starter angrebet på det højere niveau og fortsætter. Og så videre, langs disse linjer, som om angriberen leder efter det præcise punkt for nedbrud (eng. failure.),« skriver Schneier.

Han fortæller, at han ikke er i stand til at komme med nærmere detaljer, da de virksomheder, han har talt om tendensen med, har fortalt om angrebene ud fra en betingelse om at kunne være anonyme.

En af de anonyme virksomheder har også fortalt Schneier om en type angreb, der ud over DDoS-delen har testet muligheden for at manipulere internet-adresser og ruter (eng. routes), angiveligt for at se, hvor længe offeret for angrebet var om at reagere.

»Det føles som en nations cyberenhed ...«

Målet for angrebene - altså virksomheder knyttet til kritisk internet-infrastruktur - og angrebenes størrelse og vedholdenhed taget i betragtning får Schneier til at konkludere, at det nok er statsstøttede aktører, der står bag.

»Det føles som en nations cyberenhed (eng. cybercommand), som forsøger at kalibrere sit våbenarsenal i tilfælde af cyberkrig,« skriver Schneier.

Hvorom alting er, så er det ikke så meget at gøre ved det, mener Schneier:

»Hvad kan vi gøre ved dette? Ikke rigtigt noget. Vi ved ikke, hvor angrebene kommer fra. Data, jeg har set, indikerer Kina - en vurdering, som deles af de folk, jeg har talt med. På den anden side så er det muligt at skjule oprindelseslandet for denne type angreb.«

Måske NSA ved det

Bruce Schneier giver udtryk for en formodning om, at NSA som følge af den amerikanske efterretningstjenestes internetovervågning nok har et bedre indblik i, hvem der står bag de usædvanlige DDoS-angreb.

Men i den forbindelse påpeger han også, at medmindre USA beslutter sig for at lave en international hændelse ud af denne formodede indsigt, så vil der på den baggrund ikke bliver koblet et landenavn til angrebene.

»Men dette foregår. Og folk bør vide det,« slutter Schneier sit indlæg.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Jensen

Spændende emne! Lidt meget bare en afskrivning af hans blogindlæg.
Følg gerne artiklen op, sådan lidt "Internettet under angreb"-serie måske?
Hvad gør vi i DK hvis Internettet er gået ned? Er de store udbydere klar til det? Har vi aftaler med andre lande, om at lave mindre og begrænsede internet midlertidigt?
Hvordan kommunikeres i krisesituationer, når nettet er nede? Jeg har ingen TV-modtager eller FM/DAB-radio længere i disse Netflix-/Spotify-tider.
Træner det danske politi, forsvar, beredskab, og POLITIKERE, beredskabssituationer, hvor internettet er nede?

  • 12
  • 0
Heino Svendsen

Ved seneste store "terror-øvelse" skulle bl.a. Rigshospitalet varsles 3 uger inden for at indkalde "ekstra personale", så de ikke fejlede... Bare roligt, der er styr på tingene i Danmark i tilfælde af katastrofe : "Vi GARANTERER, at det ender i kaos!"...

Nej, det trænes ikke, for TDC har garanteret, at det ikke sker... eller noget i dén stil.

You are SO screwed, buddy

  • 5
  • 1
Ole Kaas

Ved seneste store "terror-øvelse" skulle bl.a. Rigshospitalet varsles 3 uger inden for at indkalde "ekstra personale", så de ikke fejlede...

Hvis forventningen er at folk i sådanne situationer straks smider hvad de har i hænderne og indfinder sig, vil de økonomiske omkostninger og omkostninger i spolerede fridage være tårnhøje. Så inden man en dag laver en uvarslet øvelse, er det måske meget godt at se om en varslet øvelse overhovedet kan håndteres. Når man så er sikker på at man kan håndtere en varslet øvelse, kan man sende uvarslede alarmer ud og blot bede modtagerne om at registrere hvornår de så alarmen og hvor hurtigt de ville kunne indfinde sig. Simpelthen for at have en ide om hvor stort beredskab man kan forvente at råde over. Først da, vil det give mening at udføre en fuld skal uvarslet øvelse.

  • 2
  • 0
Log ind eller Opret konto for at kommentere