Hva skjer når ondsinnede aktører er i stand til å sensurere store deler av internett?
Historisk sett er vi i informasjonens gullalder. Takket være internett har det aldri vært enklere for kvinnen i gata å nå ut til et enormt publikum med egne tanker og meninger, få svar på både store og små spørsmål, eller å tilegne seg et hav av informasjon.
Men nå advarer en rekke sikkerhetseksperter om at både individuelle grupper og statsapparat har tilegnet seg kunnskap om hvordan man kan sensurere store deler av nettet. Og det første eksempelet på at de ikke roper ulv, fikk vi se i helgen.
Kritisk stemme sensurert
Journalisten Brian Krebs er blant bransjens beste innenfor datasikkerhet, og skriver daglig på nettstedet Krebs on Security.
I begynnelsen av september skrev Krebs om et israelsk firma som livnærer seg på å tilby såkalte tjenestenekt-angrep, eller DDoS-angrep, som er en utbredt type angrep som sender tusen- til millionvis av «falske forespørsler» til nettsider, med hensikt å ta ned nettstedet.
Saken ble sett på som et skup, og førte blant annet til at de antatte eierne av tjenesten ble arrestert bare timer etter at saken ble publisert.
En drøy uke senere ble Brian Krebs’ nettsted utsatt for et av de største DDoS-angrepene noensinne.
Hvert sekund sendte angriperne over 75 gigabyte med data til nettsidens servere. Dette er over dobbelt så mye data som det forrige registrerte rekordangrepet, og er i stand til å ta ned de aller, aller fleste nettsider.
I helgen ble også en fransk skyleverandør utsatt for et enormt DDoS-angrep, hvor nettstedet ble bombardert med over 1.1 terrabit data per sekund. Ars Technica rapporterer om at angrepet ble utført av en mengde hackede overvåkningskameraer.
This is probably not a nation-state but instead a highly-motivated private actor, angered by Kreb’s reporting. Let that sink in: A private actor has just demonstrated the capacity to «shut down the Internet» and deployed it for the petty purpose of knocking Krebs’s website off the Internet.
Krebs on Security har i årevis vært lagret uten kostnad hos Akamai, som er blant verdens største skyleverandører. Men etter at dette angrepet hadde pågått i noen dager, valgte Akamai å avslutte avtalen med Krebs.
Til Boston Globe uttalte Akamais vise-president for nettsikkerhet at hvis angrepet fortsatte, kom det til å koste Akamai millionvis av dollar.
Etter at Akamai kuttet båndene med Krebs, gikk nettsiden hans rett i bakken, og var nede i over et døgn før de igjen var oppe. Denne gangen gjennom Project Shield, som bruker Googles infrastruktur for å beskytte utsatte sider.
«Noen lærer seg å ta ned internett»
Omtrent samtidig med Brian Krebs’ avsløringer rundt det israelske firmaet som tilbyr DDoS-angrep, skrev sikkerhetseksperten Bruce Schneier en artikkel for den amerikanske publikasjonen Lawfare, med tittelen «Someone Is Learning How to Take Down the Internet».
I artikkelen hevder Schneier at en uidentifisert aktør i flere år har brukt store ressurser på å forstå hvordan kritisk internett-infrastruktur fungerer, med mål om å på et gitt tidspunkt kunne ta det ned.
Largely it’s a matter of bandwidth. If the attacker has a bigger fire hose of data than the defender has, the attacker wins.
I artikkelen sier Bruce Schneier at han ikke kan gi så mange detaljer rundt hverken hvem eller hva disse aktørene har angrepet, men at det foregår i en så stor skala at det er sannsynlig at dette gjøres av stater, og ikke enkeltaktører.
Og det er ikke usannsynlig. Det er flere som mener at den neste verdenskrigen vil bli utkjempet på nettet, og det er velkjent at stormaktene bruker enorme ressurser på nettverksbasert forsvar.
– Noe de fleste stormakter gjør
Vidar Sandland er seniorrådgiver i NorSIS, som jobber for å øke kunnskap om informasjonssikkerhet. Han sier at de fleste stormakter sitter på store ressurser som gjør det mulig å gjennomføre DDoS-angrep:
– Statsmakter og andre aktører kartlegger sårbarheter for å kunne ta ned kritisk infrastruktur, det er ikke noe nytt for meg. Det første steget i en eventuell cyberkrig kan være å ta ned kritisk infrastuktur, og da må man ha oversikt over hvordan denne infrastrukturen fungerer.
Også NorSIS’ egne systemer har blitt utsatt for DDoS-angrep, da med målet om å ta ned nettsiden Slettmeg.no, som hjelper nordmenn med å fjerne profiler og uønsket innhold om seg selv fra nettet.
– Angrepet mot Slettmeg gjorde at vi var nede i over ett døgn, før vi så hvordan vi kunne skru infrastrukturen vår til å håndtere angrepet.
Sandland tror ikke nødvendigvis at enkeltaktører har anledning til å kjøre så store DDoS-angrep at de tar ned aktører som Google og Facebook, men er med på Bruce Schneiers resonnement om at det handler om å ha den største «brannslangen»:
– Hvis angriperen har anledning til å kjøre flere forespørsler mot serverne enn det tjenestetilbyderen klarer å håndtere, vil det oppstå problemer.
Infiserte dingser ofte misbrukt
Mange av disse angrepene utføres av botnets, som betyr at en rekke maskiner spredt utover kloden blir instruert til å angripe et mål samtidig.
En av de vanligste måtene å tilegne seg disse maskinene på, er å infisere vanlige menneskers maskiner og dingser med en trojansk hest, som gjør at disse uvitende bistår i angrepet.
Det meldes om angrep fra rutere, sikkerhetskameraer og videoopptakere, og sikkerhetseksperter har flere ganger advart om at sikkerhetsfokuset har vært nært ikke-eksisterende i denne bransjen.
Etter hvert som utbredelsen av nettilkoblet maskinvare øker, blir det større risiko for at hackere klarer å utnytte sikkerhetshull i disse dingsene.