Svenske Dagens Nyheter (DN) avslørte i går at en server ved det svenske forsvaret, Försvarsmakten, ble utnyttet av kriminelle til å utsette amerikanske banker for DDoS-angrep (Distributed Denial of Service) i januar 2013.
Den svenske deltakelsen var dog ufrivillig. Angriperne skal utnyttet en konfigurasjonsfeil i serveren for å gjøre den til en deltaker i det store angrepet, hvor tusenvis av maskiner deltok i flere dager.
Velkjent for ondsinnede
Ifølge DN skal serveren ha vært feilkonfigurert i lengre tid, og IP-adressen til maskinen skal ha inngått i offentlige lister over servere med dårlig sikkerhet.
Men det var først da Försvarsmaktens IT-stab ble advart per e-post fra Myndigheten för samhällsskydd och beredskap (MSB), at oppdaget og rettet. DN har fått tilgang til e-posten, og der omtales IP-adressen og detaljer om svakheten.
Försvarsmakten har beklaget hendelsen, men har samtidig understreket at svakheten ikke ville ha gitt noen tilgang til forsvarets øvrige IT-systemer.
Forsterkningsangrep
Det skal nemlig ikke ha dreid seg om en sårbarhet i klassisk forstand, som gir tilgang til systemet. I stedet var serveren satt opp på en slik måte at angriperne kan sende små forespørsler til serverne, som deretter kommer med et svar som er mye større enn forespørselen. Dette kalles for «Amplification Attack», eller forsterkningsangrep.
Når dette kombineres med forfalskning av IP-adressen til angriperen, sendes det store svaret til offeret. Når tusenvis av datamaskiner sender slike svar til én og samme datamaskin, blir denne maskinen overbelastet og vil til slutt ikke rekke å svare på vanlige henvendelser.
Dagens Nyheter har testet og funnet ut at serveren til Försvarsmakten på ingen måte er alene om å være konfigurert på denne måten. Avisen har funnet nesten 14 000 andre servere i Sverige som er konfigurert på tilsvarende måte. Rundt halvparten av disse er DNS-servere, mens en god del andre er NTP-servere for synkronisering av tidsinnstillingene til datamaskiner.
Offentlige og private
Serverne skal tilhøre alt fra universiteter og kommuner til store selskaper og privatpersoner. Det har også blitt funnet flere tusen sårbare IP-telefonbokser hos privatkunder av Bahnhof. Også disse skal kunne utnyttes i tilsvarende angrep.
DN eksperimenterte også ved å sette opp en tilsvarende, feilkonfigurert server, for å se hvor lang tid det tok før den ble utnyttet i nye angrep.
Det tok bare åtte timer.
Dette kan tyde på at mange av de øvrige, feilkonfigurerte serverne stadig blir brukt i slike angrep. Open Resolver Project konkluderte i 2013 med at 28 millioner DNS-servere globalt, av totalt 32 millioner servere, utgjorde en betydelig risiko.
I mange av de berørte serverne vil det være mulig å begrense antallet forespørsler som tillates fra en gitt IP-adresse per sekund, i tillegg til å begrense hvilke IP-adresser som kan sende forespørsler til serverne.