Angrep. Velkjent teknologi ligger bak nettangrepene som kommer samtidig med russernes militære operasjoner i Georgia. (Bilde: GLEB GARANICH )
Angrep. Velkjent teknologi ligger bak nettangrepene som kommer samtidig med russernes militære operasjoner i Georgia. (Bilde: GLEB GARANICH)
Kneler. Norske nettsteder er ikke laget for å takle angrep fra titusener av datamaskiner, ifølge assisterende direktør Christophe Birkeland ved Nasjonal Sikkerhetsmyndighet. (Bilde: NSM)

Krigen i Georgia: Maktesløse mot dataangrep

  • IT

Dette er botnet-angrep

  • Tjenestenektangrep foregår ved at en aktør bryter seg inn i flere tusen datamaskiner og tar kontrollen over dem.
  • Maskinene blir dermed en armada av roboter, ”bot-er” i et nettverk, ”botnet”. Programvare for å etablere et slik nettverk koster om lag 300 kroner.
  • Masinene kan deretter kommanderes til å gå inn på en bestemt nettadresse. De fleste nettsteder tåler ikke slik massiv trafikk og stopper opp.
  • Angrepene brukes for å stoppe kommunikasjon utad, forsinke trafikk, utpressing eller for å stoppe konkurrerende virksomheter.

Kilder: Norcert, Norsis og Telenor

Samtidig med den væpnede konflikten med Russland, er Georgia utsatt for kraftige dataangrep som setter myndighetenes nettsider ut av spill. Norsk Sikkerhetsmyndighet har aldri tidligere sett større virtuelle angrep i en krisesituasjon.

Angrepene kalles tjenestenektangrep, eller botnet-angrep, og foregår ved at flere tusen pc-er kobles sammen i et nettverk uten at eierne vet om det. Armadaen av maskiner kommanderes til å gå inn på ett nettsted samtidig.

Nettsteder flest er ikke laget for å tåle slik trafikk, og da stopper de opp. Dermed stenges andre nettbrukere ute, og i dette tilfellet klarer ikke myndighetene å nå ut til befolkningen med informasjon.

Les også:

Ikke spektakulært

Denne botnet-teknologien er velkjent og brukt i dataangrep i en årrekke.

– Det som er skjedd i Georgia, er ikke noe spektakulært, sett fra et teknologisk ståsted, sier assisterende direktør Christophe Birkeland ved Norsk Sikkerhetsmyndighet (NSM).

Han ledet inntil nylig NSMs utrykningsstyrke, som kalles Norwegian Computer Emergency Response Team, Norcert.

Les også:

Har deltatt

Norcert samarbeider med søsterorganisasjoner over hele verden for å avdekke og stoppe angrep og trusler over nettet.

– Problemet er at systemene verken i Georgia eller her hjemme er designet for å motta titusenvis av henvendelser hvert sekund, og da kneler systemet, sier Birkeland. Norcert har deltatt i arbeidet med å stoppe angrepene i Georgia.

– Det er mulig å finne maskinene som koordinerer angrepene, men langt vanskeligere å finne personene som står bak, påpeker han. '

Les også:

Ingen beskyttelse

Situasjonen er mye den samme i Norge.

– Hos verken bedrifter eller offentlige myndigheter er det vanlig å beskytte seg mot slike angrep, sier Birkeland.

Telenor er blant de større leverandørene av nettsteder, en såkalt Internet Service Provider, ISP. De færreste av kundene har tatt initiativ til å beskytte seg.

– Det er i første rekke virksomheter som har opplevd et angrep før, som ønsker å bruke penger på teknologi som kan redusere risikoen for angrep, sier avdelingsleder Frank Stien ved Telenor Security Operation center (TSOC) i Arendal.

Konkurs

Dette dreier seg om blant annet økt båndbredde, sikkerhetskopier av nettstedet på en annen server og en avtale med ISP-en om overvåking av trafikk.

– Men når angrepet allerede er i gang, er toget gått. Er det snakk om en bank eller nettbutikk som settes ut av spill på nettet i en ukes tid, er bedriften konkurs, sier Stien.





Verktøy virker ikke

Selv om du legger tid og penger i beskyttelse mot tjenestenektangrep, har du ingen garanti for at virksomheten slipper unna.

Overvåking kan avdekke ekstrem økning i trafikken, og da er det ennå tid til å sette i verk mottiltak, som å øke båndbredden og starte jakten på kilden for angrepet.

– Det største problemet kan være å finne ut om trafikkøkningen er vennligsinnet eller et angrep, sier Stien.

Enkle angrep blir oppdaget av systemene, mens mer kompliserte utgaver kan kamufleres som ordinær datatrafikk.

Dermed kan angrepet være fullført, og nettstedet satt ut av spill, før man rekker å reagere.