Lærdom fra tidenes DDoS-angrep i Norge

- Nedetiden kunne vært unngått.

Dataangrepet mot banksektoren, Telenor, Netcom og flyselskapene i fjor sommer kunne vært stanset, mener (fra v.) Eirik Knutssen Moen og Arnt Ove Nedrebø i NTT Com Security.
Dataangrepet mot banksektoren, Telenor, Netcom og flyselskapene i fjor sommer kunne vært stanset, mener (fra v.) Eirik Knutssen Moen og Arnt Ove Nedrebø i NTT Com Security. Foto: Marius B. Jørgenrud / digi.no
9. apr. 2015 - 08:09

LYSAKER (digi.no): Datoen er tirsdag 8. juli 2014. Nettstedene til en rekke norske banker, Telenor, Netcom og flyselskapene Norwegian, Widerøe og SAS blir rammet av et distribuert tjenestenektangrep (DDoS) og er nede i mange timer.

En 17-åring fra Bergen ble pågrepet samme uke og siktet for grovt skadeverk. I avhør hos politiet tilsto unggutten at han alene sto bak.

Bakgrunn: 17-åring tilstår tidenes DDoS-angrep

Dette var et atypisk tjenestenektangrep som tok i bruk vanlig SYN-flooding i kombinasjon med et Wordpress-basert pingback-angrep, som ble kjent tre måneder tidligere.

- Kunne vært stanset

I etterpåklokskapens lys kunne alle de sentrale samfunnsaktørene, som ble ofre denne dagen, ha unngått nedetid.

Det hevder NTT Com Security (tidligere Secode) - en av landets tre største private sikkerhetsmiljøer, som har egne overvåkningssentre i Arendal og Göteborg.

En større norsk finansinstitusjon, de ønsker ikke å røpe hvilken, var blant målskivene 8. juli i fjor. Virksomheten ble utsatt for det samme tjenestenektangrepet, men gikk aldri ned.

For å forstå hvordan kunden unngikk nedetid, trekker NTTs client director og leder av Oslo-kontoret, Arnt Ove Nedrebø, fram en hendelse tre måneder tidligere.

- Opptakten var et angrep mot en nulldagssårbarhet i Wordpress den 25. mars i fjor. Når man treffes av en zero-day er det selvfølgelig vanskelig å være forberedt på det, sier Nedrebø.

Nulldag eller zero-day er et begrep som brukes om en tidligere ukjent sårbarhet, som gjerne utnyttes i faktiske angrep før det foreligger en feilfiks. Kjente feil og sårbarheter er det enklere å verne seg mot.

Wordpress er verdens mest utbredte content management system, eller publiseringsverkøy om du vil. Det brukes av millioner av bloggere, men også av flere nettaviser og større virksomhet. Det er både fri programvare hvem som helst kan laste ned, installere og styre selv, men også et verktøy mange nettleverandører tilbyr som en tjeneste for kunder.

Les også: Grovt skadeverk som kan straffes med 6 års fengsel

Alarmen gikk ikke

Tilbake til 25. mars i fjor. Nettsidene til en av NTTs kunder kneler den dagen, uten forklaring. En rekke sikkerhetsmekanismer passer på, men ingen av alarmene ringer, erindrer selskapet.

- Vi starter umiddelbart å undersøke hva som gikk galt. Så ser vi flere fellesnevnere. Blant annet trafikk som kommer fra en stor nettblokk (samling av IP-adresser, red.anm.) tilhørende et amerikansk webhostingselskap, sier Eirik Knutssen Moen, inntil nylig senior analytiker for NTT i Arendal, nå forretningsutvikler ved selskapets avdeling på Lysaker.

Den aktuelle webaktøren var en av de som tilbyr Wordpress ferdig konfigurert for kunder. Wordpress hadde en sårbarhet i pingback-funksjonen som åpnet for angrep mot tredjepart. Pingback er en funksjon som sørger for å skape en lenke tilbake til et originalt blogginnlegg når dette innlegget blir referert til fra en annen blogg.

Noen hundre kall

- Problemet med implementasjonen var at jeg kunne be Arnt Oves blogg sjekke lenken på min server i stedet, en server som ikke nødvendigvis har Wordpress. Hvis du får noen hundre slike forespørsler, du trenger ikke tusenvis en gang, så får man et tjenestenektangrep. Og det ser ut som lovlig datatrafikk, forklarer Moen.

For et menneske er det enkelt å se at her foregår det noe muffens, men ikke for en maskin. Det er en gyldig webklient som spør.

Det unike med utnyttelse av Wordpress-pingback-funksjonen var at det sendte unike forespørsler, som hver sørget for unike svar tilbake. Dermed kunne verken lastbalanserer eller en webcache avhjelpe stort, mener de.

Les også: E-tjenesten og PST ønsker seg skadevare

DDoS = mindre enn 5 prosent

NTT Com Security beskriver dette som et DoS-angrep, altså uten det distribuerte elementet. Eller et tjenestenektangrep på applikasjonslaget.

- Våre tall for Norden viser at mindre enn 5 prosent av alle tjenestenektangrep er volumetriske angrep (DDoS). De aller fleste angrep er små, de er korte og veldig effektive. Veldig små ressurser skal til for et angrep, og det er veldig store ting som kan gå i stykker, stadfester Eirik Knutssen Moen.

Under radaren

Mens de store volumangrepene går lavt i nettverksstakken, går ofte applikasjons-DOS under radaren. Manglende vern mot den siste typen gjorde at angrepet 8. juli i fjor dro ned så mange, mener han.

- Det kan være så enkelt at du sender noen datapakker du har klusset med eller justert på, som gjør at en applikasjon oppfører seg merkelig eller stanser helt.

Signatur

Erfaringen deres er at uten deteksjon mot dette har man i realiteten ingen beskyttelse. Ifølge selskapet kreves det sensorteknologi «on premises», altså hos kunden, med signaturfiler som kan fange opp mønstre for slike angrep.

- For å yte maksimalt er sensorteknologien avhengig av å bli passet på døgnet rundt. Det er analytikere på jobb som både kan avdekke 0-day og kontrollere at reaksjonsmønstre blir riktig for å stoppe angrep, og bare angrepene (ikke legitim trafikk), sier Nedrebø.

Etter å ha blitt truffet av Wordpress-angrepet tre måneder tidligere hadde NTT laget signaturfiler som de sier vernet mot tilsvarende angrep senere.

Her ligger det åpenbart en kritikk mot aktørene som ikke klarte å stanse tjenestenektangrepet, som 17-åringen fra Bergen har tilstått.

- Vi har ikke lyst til å peke ut spesifikke aktører, men konstaterer at on premises-løsninger, som lærer seg trafikkmønstrene hos deg eller kunden, manglet, sier Nedrebø.

Løsningene for vern mot tjenestenektangrep, som de fleste ofrene denne dagen hadde, skulle fint ha klart å stanse et volumangrep fra eksempelvis et botnett (kaprede pc-er og maskiner som blir brukt av en angriper til å sende store mengder datatrafikk mot et mål) med la si 15 gigabit/s trafikk, mener de.

- Det var heller ikke så mye han (angrepet 8. juli) hadde. Det var relativt små saker, uten at jeg huske tallene, sier Moen, som legger til at angrepet besto av «rimelig statiske ting».

digi.no intervjuet trolig 17-åringen som senere ble pågrepet: Derfor angriper vi

Falsk trygghet

En lokal DOS-deteksjonssensor er ifølge dem nødvendig. Den må kunne lære seg ditt normale trafikkbilde over tid. Da får du en referanse over hvordan trafikk arter seg mot dine tjenester, også med høyde for trafikktopper, som eksempel skatteoppgjør eller lønningsdag med stort påtrykk.

De fleste større aktører i dag har vern mot tjenestenektangrep, men ifølge NTT Com Security har mange en falsk trygghet. De mener det ikke er nok å lene seg på en en skytjeneste eller beskyttelse på ISP-nivå (nettleverandøren).

- Det var fascinerende å lese nyhetene 8. juli i fjor. Dette er store samfunnsaktører med tjenester og internett som bæremiddel som er helt avhengig av publikums tillit og at de kan nå dem til enhver tid. Det er slående at så mange ble rammet den dagen, sier Nedrebø.

Lyn fra klar himmel

Når det skal så små ressurser til for å gjøre stor skade, at en enkelt mann tilsynelatende kan ta ned en så stor del av norsk næringsliv, er det svært betenkelig, sier han og fortsetter:

- [Beredskapen dette krever] er et område det blir satset altfor lite på, vil jeg påstå.

Mørketallene for mindre, men desto mer effektive målrettede tjenestenektangrep på applikasjonsnivå er store, later NTT Com Security til å mene.

- Man ønsker å ramme et mål og sender av gårde trafikk, som så raskt forsvinner igjen. Det kan komme som lyn fra klar himmel.

- Hvem er trusselaktørene?

- Det er et sammensatt bilde og vanskelig å vite eksakt. 17-åringen kjenner man naturligvis til fordi han ble tatt for det. Så har vi fremmed etterretning, mafia, pengeutpressing og ulike politiske motiver. Man kan også tenke seg en Charlie Hebdo-effekt, der man ønsker å stanse en publikasjon, sier Nedrebø.

Mer om motiv: Krever løsepenger for å stanse angrep

Mindre grupperinger

- I tilfellene der jeg har kommet lengst til bunns i saken, så er fellesnevneren at det ikke er store grupperinger som står bak. Om ikke enkeltpersoner, så er det ofte små grupperinger som er bakmenn. Det er så langt jeg har greid å nøste opp. Den russiske mafia kan ha én mann som styrer et botnett, men bak det er det umulig for meg å spå, sier Eirik Knutssen Moen.

Kollegaen har et litt mer konkret eksempel, men vil ikke ut med navnet på selskapet som ble sabotert.

- Et internasjonalt betting-selskap ble holdt nede. Det var ikke så mye pengeutpressing som et ønske om å holde dem nede. Hvis ditt spillselskap er nede, så går kundene kanskje videre til neste konkurrent, spekulerer Nedrebø.

Les også: Tre norsk gutter dømt for DDoS i 2013

Avledningsmanøver

Den norske virksomheten, en del av den japanske telegiganten NTT, sier at det i sikkerhetsmiljøet også er mye snakk om DOS brukt som avledningsmanøvrer i rene innbruddsforsøk. Sikkerhetsavdelingen kan bli opptatt med å stanse tjenestenektangrepet, og da kan veien inn i et datasystem være mindre bevoktet.

- Det har vi sett eksempler på, uten at vi kan gå mer i detalj, sier Moen.

Ingen fasit

En lokal komponent som kan fange opp og avskjære DOS-angrep er likevel ingen sovepille. NTT Com Security påstår heller ikke at de har noen som helst endelig løsning.

- Det finnes ingen rød pille her som er 100 prosent sikker. Det er snakk om å minimere risiko. Første skritt er å detektere.

- Har vi lært noe av tjenestenekt-hendelsen i fjor sommer i Norge?

- Vi kommer til å få en ny slik hendelse, selv om det sannsynligvis ikke skjer med nøyaktig de samme bedriftene og institusjonene. Kanskje er det en annen vertikal som treffes neste gang. Også før 8. juli trodde man at man teoretisk sett var nokså sikre. En slik prøvelse kommer igjen, men det er ikke godt å si når. Det er også mange som tror at de har DDoS eller DOS-beskyttelse i dag, som i praksis ikke har det, sier Nedrebø.

Råd

Nasjonal sikkerhetsmyndighet (NSM) har utgitt en veileder med råd om hvordan man kan verne seg mot tjenestenektangrep (pdf). De nevner spesielt tre helt grunnleggende forutsetninger for å forebygge:

Sikker design, sikker konfigurasjon og sikker drift og vedlikehold. I tillegg til kontrollert testing og verifikasjon av tåleevnen til komponentene som er eksponert i IKT-infrastrukturen. NSM har også blogget om det samme.

Dette er råd NTT Com Security ikke har problemer med å stille seg bak. Foruten å undersøke sin egen tilstand, kan det vært lurt for kunder å kartlegge om også leverandørene følger opp.

Les kronikk etter fjorårets angrep: En kraftig vekker

Se også: Active 24 rammet av DDoS og hacking

Politisk sabotasje: Ap og Høyre rammet

Måtte søke tilflukt i nettskyen

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.