 |
I april 2018 nedtog politimyndigheder verdens største ulovlige markedsplads webstresser.org for DDoS-angreb som en del af Operation Power OFF. Det har givet politimyndigheder i og udenfor Europa et skatkammer af oplysninger om webstedets 151.000 registrerede brugere. Der er også danskere iblandt.
Europol og Joint Cybercrime Action Taskforce (J-CAT)
koordinerer med støtte fra det hollandske politi og British National Crime Agency i januar 2019 aktioner over hele verden
for at opspore brugerne af disse DDoS-angreb (Distributed Denial
of
Service
– overbelastningsangreb). Webstedet Webstresser.org
anses for at have været verdens største markedsplads for bestilling af DDoS-tjenester
og har hjulpet med til at igangsætte mere end 4 millioner angreb for så lidt
som 115 kr. om måneden. Ejere af botnet udbød deres service mod betaling til
kunder, der ønskede bestemte websteder gjort uarbejdsdygtige via denne
markedsplads.
Hvad
er et DDoS-angreb?
DDoS-angreb er rettet mod tjenester på Internettet med det formål at overbelaste dem, så de ikke kan betjene deres egentlige brugere eller kunder. Det sker ved, at et såkaldt botnet, der består af pc’er, mobiltelefoner og andre internetforbundne apparater, samtidigt via installeret malware på dem samlet retter millioner af anmodninger per sekund via Internettet mod disse webtjenester. Det kan benyttes til afpresningsformål, hvor angrebet ophører mod betaling af en sum penge, eller til chikane eller hævn.
DDoS-angreb er rettet mod tjenester på Internettet med det formål at overbelaste dem, så de ikke kan betjene deres egentlige brugere eller kunder. Det sker ved, at et såkaldt botnet, der består af pc’er, mobiltelefoner og andre internetforbundne apparater, samtidigt via installeret malware på dem samlet retter millioner af anmodninger per sekund via Internettet mod disse webtjenester. Det kan benyttes til afpresningsformål, hvor angrebet ophører mod betaling af en sum penge, eller til chikane eller hævn.
Historisk
har DDoS-angreb været forbundet med hacker- og hacktivist-grupper og anses ofte
for at være professionelle IT-kriminelles værk. Men i de senere år med
DDoS-bestillingstjenester er barrieren sænket betydeligt. Disse tjenester tilbyder
muligheden for anonymt at angribe ethvert mål på Internettet for få hundrede
kroner.
Fordi
denne form for aktivitet er ulovlig, vælger flere DDoS-bestillingsleverandører
at kalde deres tjenester for en stresser,
idet de kan benyttes til legalt at teste et serversystems robusthed mod angreb.
Men disse tjenester tjekker ikke kundernes identitet for at afgøre, om tjenesten
dermed er lovlig. Andre botnet-ejere kalder på den anden side en spade for en
spade og benævner direkte deres tjeneste som booter eller ddoser.
Stressere, bootere og ddosere gør nøjagtigt det samme - der er ingen forskel på
deres tjenester.
Det
er IT-kriminalitet-som-service.
Retsforfølgelse af brugerne
I Storbritannien har et antal af webstresser.org’s brugere for nyligt haft besøg af politiet, som har beslaglagt mere end 60 personlige elektroniske apparater fra dem til analyse som en del af Operation Power OFF. Det britiske politi har også gennemført et antal operationer mod andre DDoS-kriminelle; over 250 brugere af webstresser.org og andre DDoS-tjenester vil snart skulle stå til regnskab for den skade, de har forårsaget.
Virkningen af succesrige DDoS-angreb verden over blev for
nyligt tydeligt ved domfældelsen for en 30-årig hacker, der fik næsten 3 års
fængsel i Storbritannien efter at være blevet fundet skyldig i at udføre
DDoS-angreb mod Liberias førende mobiltelefoni- og internetselskab. Han havde
benyttet lejede botnet og stressere, før han udviklede sit eget botnet. På sit højeste i november 2016 lagde det hele
det vestafrikanske lands internetadgang ned med et angreb, der havde skader til
mange millioner kroner til følge.
Landene, der er gået sammen om at bekæmpe DDoS-angreb, er
Belgien, Kroatien, Danmark, Estland, Frankrig, Grækenland, Irland, Litauen,
Portugal, Rumænien, Slovenien, Sverige, Tyskland, Australien, Colombia,
Serbien, Schweitz, Norge og USA.
I Holland har politiet og anklagemyndigheden udviklet et
særligt projekt kendt som Hack_Right
til at tage hånd om unge førstegangslovbrydere for at forhindre dem i at
forsætte med mere alvorlige forbrydelser. En hollandsk bruger af
webstresser.org har allerede fået denne alternative sanktion.
Dansk politi har fundet 12-15 danske IP-adresser af
interesse blandt brugerne af webstedet. Det har hidtil ført til seks
anholdelser. Man har bl.a. fundet frem til flere mindreårige, hvoraf den yngste
er blot 13 år. De enkelte politikredse tager sig af sagerne. De danske brugere
har angiveligt bestilt angrebene for et lille beløb. Politiet opfordrer de unge
mennesker, der har evner inden for IT, til at bruge dem mere konstruktivt. I
Danmark går strafferammen for et DDoS-angreb op til to års fængsel, hvis det
gøres flere gange, men mange sager ender dog med en bøde.
Følger af nedtagningen
Ifølge Europol har nedtagningen af webstresser.org en måned efter medført en nedgang i antallet af DDoS-angreb på 60 procent på verdensplan.
Mens nogle har fokuseret deres aktioner mod især brugere af
webstresser.org, har andre politimyndigheder verden over intensiveret deres
aktiviteter mod brugere af DDoS booter- og stresser-tjenester i almindelighed. Det
amerikanske FBI beslaglagde i december 2018 15 andre
DDoS-bestillingswebtjenester, bl.a. de relativt kendte Downthem og Quantum Stresser.
Det rumænske politi har ligeledes taget forholdsregler mod administratorerne af
to småskala DDoS-platforme og har beslaglagt digitale beviser, bl.a.
oplysninger om brugerne. Størrelsen betyder ikke noget – brugere på alle
niveauer er på politiets radar, uanset om angrebene er rettet mod at sætte computerspillere
i e-sportskonkurrencer ud af spillet eller en højniveau-hacker, der udfører
DDoS-angreb rettet mod kommercielle mål med økonomisk vinding for øje.
Den gode nyhed er, at tendensen er, at omfanget og varigheden af DDoS-angreb på danske virksomheder er faldende. Den dårlige nyhed er, at virksomhederne bliver ramt hyppigere og den samme virksomhed flere gange efter hinanden. Mere end halvdelen af alle angreb varer mindre end 15 minutter, men der følger flere angreb efter hinanden. Det kunne tyde på, at det er bestillingsarbejde, hvor der betales for en vis angrebsmængde, som det kan ske via disse DDoS-bestillingstjenester.
Center for Cybersikkerhed har flere gange advaret om, at flere kritiske sektorer er i meget høj risiko for at blive ramt af DDoS-angreb.
Et DDoS-angreb på DSB
I maj 2018 oplevede DSB at blive ramt af et DDoS-angreb. Det betød, at billetsystemerne blev lammet i flere timer, således at passagerer ikke kunne købe billetter i appen, stationen eller i DSB's kiosker.Den gode nyhed er, at tendensen er, at omfanget og varigheden af DDoS-angreb på danske virksomheder er faldende. Den dårlige nyhed er, at virksomhederne bliver ramt hyppigere og den samme virksomhed flere gange efter hinanden. Mere end halvdelen af alle angreb varer mindre end 15 minutter, men der følger flere angreb efter hinanden. Det kunne tyde på, at det er bestillingsarbejde, hvor der betales for en vis angrebsmængde, som det kan ske via disse DDoS-bestillingstjenester.
Center for Cybersikkerhed har flere gange advaret om, at flere kritiske sektorer er i meget høj risiko for at blive ramt af DDoS-angreb.
Letheden at udføre DDoS
DDoS-bestillingstendensen er et presserende problem,
hovedsageligt pga. hvor let tilgængelig det er blevet. Stresser- og
booter-tjenester har effektivt sænket indgangsbarrieren til IT-kriminalitet:
for en lille betaling kan enhver med ringe IT-færdigheder starte et DDoS-angreb
ved klik på en knap og derved bringe hele websteder og netværk i knæ ved at
overdynge dem med trafik. Den skade, der kan udøves, kan være betragtelig og bringe
virksomheder økonomisk i knæ og berøve folk for adgang til vigtige tjenester
ydet af banker, offentlige institutioner og politiet.
Følger af anonymitet for brugerne
De, der bestiller sådanne DDoS-tjenester kan være anonyme,
idet det er andres botnet, der udfører angrebene. Men er et bestillingswebsted
blevet beslaglagt, kan politiet se IP-adresserne på kunderne. Dvs. det er kun
muligt, hvis kunderne ikke har benyttet en anonymiseringstjeneste som
TOR-netværket eller et virtuelt privat netværk (VPN), der begge skjuler den
oprindelige IP-adresse. Men selv her har politiet muligheder. Hvis politiet
holder webstedet i drift i nogen tid, kan de udnytte sikkerhedsbrister i
softwaren på kundernes pc’er til at installere malware, der sender den
oprindelige IP-adresse tilbage til politiet. Har politiet denne, er det
sædvanligvis en smal sag at finde ud af navn og adresse på kunden.
Mange unge IT-entusiaster, der har fået blod på tanden af at
kunne være anonyme på nettet, bliver involveret i denne tilsyneladende
lavniveaukriminalitet uden at være klar over, hvilke konsekvenserne sådanne
online-aktiviteter kan medføre. Cyberkriminalitet er ikke uden ofre, og den
tages ekstremt alvorligt af politiet. De følgevirkninger en
politiefterforskning kan have på disse teenageres liv, kan være alvorlig og gå
så langt som til en fængselsdom i visse lande.
Uddannelse i programmering, færdigheder i spil, IT-sikkerhed
eller ethvert andet IT-relateret fag, er særdeles efterspurgt, og der er mange
karrierer og muligheder tilgængelige, hvor disse evner kan udnyttes viist.
Hvis du vil vide mere
Du kan læse mere om DDoS-angreb i min bog ”Bliv sikker på
nettet”:
Side 40-44: Zombier i botnet
Side
245-248: DoS og DDoS-angreb -
Overbelastningsangreb
Side 247-248: Alle
kan bestille et hacker-angreb på nettet
Med venlig hilsen
Lars Laursen, forfatter til bogen ”Bliv sikker på
nettet”. Bogen kan bl.a. købes her.
Kilder: Europols
pressemeddelelse (engelsk) og Jyllands-Posten
(dansk).
Denne kommentar er fjernet af en blogadministrator.
SvarSlet