EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Transkript

1 Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet Hur hanteras och förebyggs DDoS angrepp Syftet med detta dokument är att synliggöra problematiken och dela med oss av våra erfarenheter. Dokumentet är sammanställt av Martin Norberg, Skellefteå Kraft, och Rita Lenander, E.ON, för EBITS räkning. Inledning Det finns en stor mängd faror på Internet och med tanke på den uppmärksamhet vi som bransch har i media vill EBITS visa på hot och risker som vi kan drabbas av. Precis som i andra situationer finns det olika verktyg och metoder för att undvika eller mildra effekten av dessa hot. För att veta vad vi ska skydda oss mot är det alltid bra att veta vilka hot som existerar. Ett är till exempel det som kallas DDoS-attack. Förklaringar DoS-attack (Denial of Service) Ett problem som förekommit under en längre tid är när någon försöker sabotera möjligheten att kommunicera över Internet eller i företagets interna nätverk, vilket drabbar både oss som företag/myndighet och våra kunders möjlighet att nå oss. Det enklaste sättet att åstadkomma detta är att skicka en så stor mängd trafik mot vår Internet-anslutning så att nyttotrafiken blockeras. En DoS-attack kan även inträffa internt, t.ex som en bieffekt av att en nätmask (worm) sprider sig genom nätverket eller en felkonfiguration som leder till routingloopar eller broadcaststormar. En DoS-attack kan bestå av flera olika angrepp som alla leder till överlastning, blockering eller utslagning - t.ex. av själva datorn eller ett delsystem såsom en databas eller en applikation. Attackerna generar ofta tillåten trafik fast i oerhörd mängd, t.ex. en massa webbuppkopplingar kanske inte "fyller" nätet men mer än väl får webbserverprogramvaran att agera som en snigel i en limburk. En tjänst eller resurs behöver således inte vara helt utslagen, men kan vara överlastad till den grad att den upplevs som oanvändbar. Allt som krävs för ett angrepp som detta över Internet är att angriparen har en Internet-anslutning med hög kapacitet, eller använder de specialprogram som tillhandahålls gratis över Internet för detta ändamål. Denna typ av attack kallas för DoS-attack DDoS-angrepp_v1.1.doc 1 (9)

2 DDoS-attack (Distributed Denial of Service) En DDoS-attack är en utveckling av det som man tidigare kallade en DoS-attack. En DDoS-attack används för att angripa såväl enskilda personer som företag, myndigheter och deras Internet-tjänster. Attacker mot enskilda personer kan förekomma i samband med personliga konflikter i t.ex. datorspel, diskussionsforum eller on-linemiljöer. Orsakerna till attacker mot företag och organisationer kan vara allt från politiska och ekonomiska till allmänt missnöje. Eftersom företag och myndigheter har anslutningar med mycket hög kapacitet till Internet, så fungerar det inte med en enkel DoS-attack. Det krävs istället en attack från många olika datorer samtidigt, för att det ska gå att fylla förbindelsen med inkommande trafik så att man blockerar tjänsterna, en så kallad DDoS-attack. Exempelvis var det DDoSattacker som blockerade Polisens Internet-anslutning, orsaken var en missnöjesyttring i samband med razzian mot PirateBay. IDS (Intrusion Detection System) / IPS (Intrusion Prevention System) IDS (detekterande) och IPS (skyddande) är verktyg som används för att upptäcka och hantera intrång eller intrångsförsök i ett datasystem eller nätverk. IDS och IPS reagerar på avvikande beteenden i trafiken och kan därför upptäcka och när det gäller IPS även blockera inkräktare. De kan också användas internt för att upptäcka interna policyöverträdelser och förhindra angrepp som kommer inifrån. IDS och IPS bidrar med viktig logginformation för möjlighet till spårning vid en attack. Hur genomförs en DDoS-attack? Enkelt uttryckt så skickar angriparen en så stor mängd meningslös trafik till företagets/myndighetens Internet-anslutning så att dess system blir blockerat. Därmed kan företaget/myndigheten inte ta emot någon nyttotrafik och andra på Internet kan inte komma åt företaget/myndigheten och deras tjänster. För att åstadkomma detta använder sig den som vill utföra attacken sig av ett stort antal datorer så kallade slavar. Dessa slavar är spridda över Internet och ägs av andra än angriparen, företrädesvis av privatpersoner. Angriparen måste först ha gjort intrång i dessa för att kunna använda sig av dem. Det förberedande steget, att göra intrång i alla datorer som ska agera slavar, är i dagsläget enkelt att genomföra eftersom alltför många datorer på Internet är tämligen oskyddade. När angriparen väl har skaffat sig tillträde till ett stort antal datorer som kan användas vid attacken, så kan en DDoS-attack startas med ett enda kommando från angriparens dator. Med kommandot beordrar angriparen slavarna att skicka stora mängder meningslös trafik till ett och samma fö DDoS-angrepp_v1.1.doc 2 (9)

3 retag/myndighet. Med tillräckligt många datorer går det att slå ut även de allra största Internetplatserna. Det är inte säkert att det är lätt, eller ens möjligt, för den som blir angripen att skilja mellan nyttotrafik och meningslös trafik. Hur ska exempelvis en webb-server kunna veta vilken trafik som kommer från riktiga användare och vilka som bara är skickade för att blockera tjänsten? Det är i det generella fallet mycket svårt och även om vi idag kan känna igen vissa av de förekommande programmens genererade data så är det en smal sak för en person med blygsamma kunskaper att ändra dessa. Om vi hittar något sätt att skilja mellan onda och goda, då är det ofta för sent, förbindelsen är ju redan full med angriparens trafik och den måste släppas fram innan det går att bedöma om det är nyttotrafik. Vilka kan genomföra en attack? Det borde ju vara mycket få personer i världen som både har tillräckliga kunskaper och den brist på etik och moral som krävs för att genomföra attackerna? Tyvärr inte, att skriva program som kan göra en DDoS-attack möjlig är inte svårt. Det finns ganska många som skulle klara av det och det kommer alltid att finnas några av dem som medvetet nyttjar denna kunskap för sina egna eller sin organisations syften. Andra kanske inte tror, förstår eller vill förstå att de gör skada. Att dessutom modifiera ett befintligt program så att det gör något lite annorlunda eller elakare är mycket enkelt och kräver nästan inga kunskaper alls. Att kopiera programmet från någon annan och köra det kräver ungefär samma datorvana som vilken Internet-surfare som helst har. Svårigheten med att genomföra en DDoS-attack är att det kräver att man först måste göra intrång i en stor mängd datorer. Även om vi ovan säger att det är alltför lätt så kräver det trots allt en stor portion tålamod och mer kunskap än att bara klicka. För de personer och organisationer som verkligen vill angripa ditt företag/myndighet är denna kunskap lätt att skaffa sig. Vilka effekter kan det få för mitt företag/myndighet En attack kan exempelvis blockera inkommande och utgående e-posttrafik eller dina kunders möjlighet att söka och lämna information via er webbplats. En DDoS-attack som kommer in på det processnära nätverket, typ SCADA, slår ut viktiga funktioner såsom larm från och styrning av produktionsanläggningar. En långvarig attack på t.ex. e-posttrafik kan ge långtgående följder för företagets/myndighetens möjligheter att utväxla information med kunder och samarbetspartners. Om en DDoS-attack inträffar samtidigt med en storstörning så tappar företagets/myndighetens kunder sin möjlighet att DDoS-angrepp_v1.1.doc 3 (9)

4 söka i den störningsinformation som ni lägger ut på er hemsida. Om din brandväggslösning inte kan hantera en DDoS-attack finns det en risk för att angriparen sätter brandväggen ur spel och får fri åtkomst till era interna system och nät. Om en DDoS-attack sker i ett kärnkraftsverks processnät kan t.ex cirkulationspumparna sluta att fungera och kärnkraftverket måste då nödstoppas manuellt. (Detta är ett känt fall från USA) Effekterna beror alltså på hur och vad du använder din Internetanslutning till samt hur din brandväggsfunktion kan hantera DDoS-attacker. Hur förbereder jag mig inför en eventuell attack Det första är att inse att alla sitter i samma båt och att det inte räcker med att lösa problemet i vår egen brandväggsfunktion, router, server eller dator. Om alla andra datorer på nätet är osäkra så kan dessa användas som språngbrädor för en attack mot dig eller någon annan. Därför är vi alla beroende av varandra. Om alla har säkra datorer så kan vi minska risken för att bli drabbade av den här typen av attacker. Det går inte att säga att jag inte har något viktigt på min dator - och att den därför inte behöver skyddas. Varje Internet-ansluten dator utgör ett potentiellt vapen som någon annan kan gripa tag i och rikta mot någon tredje person. För att minska riskerna för det här högst verkliga problemet, så behöver inte bara användarna, utan också de systemansvariga, återförsäljarna och leverantörerna vara med. System som säljs måste vara säkra i sitt grundutförande till en viss grundnivå. De allra flesta privatanvändare ändrar inte på några inställningar, åtminstone inte utan tydliga anvisningar. Det är naturligtvis vi som köper dessa system som ändå måste formulera och ställa dessa krav. Operatörerna måste vidta åtgärder i sina nät för att både detektera och göra det svårare att genomföra DDoS-attacker och framför allt medverka till att spåra dem som ligger bakom attacken. Det viktigaste vi som företag/myndighet kan göra nu är att se till att attacker kan spåras och att se till att våra datorer inte kan användas i en attack. För att vara så väl förberedd som möjligt bör du: Genomföra en riskanalys Ta fram en Kontinuitetsplan/avbrottsplan för att ha alternativen klara, exempelvis att kunna använda en starkt förenklad statisk webbsida. Med det avses inga databaskopplingar eller aktiva förändringar på servern via t.ex. skripts eller programkod. Kontrollera hur din brandväggsfunktion reagerar på en DDoSattack Införskaffa produkter som är särskilt förbättrade för att motstå DoS-, DDoS- och andra säkerhetsangrepp DDoS-angrepp_v1.1.doc 4 (9)

5 Se till att ha en öppen dialog med din ISP (Internet Service Provider) så att ni i förväg vet hur ni ska agera vid en eventuell DDoSattack Se till att ha en alternativ ISP som backup vid en eventuell attack och ta tillsammans med dina ISP:er fram rutiner för hur växling ska ske. Vissa ISP:er har utökade tjänster där man säljer "filtrerad" trafik, bland annat genom att ha IPS-system i sina nät. Placera en IPS alternativt en IDS utanför er brandväggsfunktion. IPS:er och IDS:er syns inte från angriparens sida och kan därför inte attackeras. Dessa system måste vara dimensionerade så att de klarar av en förmodad DDoS-attack, i klartext så mycket som kan passera i nätverket/internet-anslutningen. Använda nätverksutrustning för kontroll och styrning av nätverkstrafik, bandbreddsutnyttjande och eller trafiktyper, s.k. Traffic shaping och Traffic policing. Skillnaden mellan dessa är att shaping innebär en dämpande, men samtidigt utjämnande, effekt på trafiktoppar, så att trafik köas upp ifall bandbreddsutnyttjandet överskrider vissa regler. Policing å andra sidan köar inte den överskjutande trafikmängden - den kastas bara bort, vilket gör en helt annan inverkan när exempelvis en DDoS-attack skall stoppas. Det gäller alltså att välja rätt för att kunna få en inverkan! I denna typ av utrustning kan man ställa in t.ex. "max 5% av bandbredden får användas till protokoll X". Överväga nätverksinfrastrukturella skydd - genom att distribuera ut vissa typer av tjänster, såsom exempelvis videodistributionsservers, webb, e-post och DNS går det att sprida på riskerna. Flera tjänsteföretag erbjuder distribuerade webblösningar. Att använda "secondaries" för att sätta upp flera DNS-servers eller flera nivåer av e- postservers med hjälp av s.k. viktning av MX-värdet. Överväga nätverkstopologiska skydd - genom att använd tekniker som "AnyCast" går det att distribuera sina tjänster topologiskt i nätet så att servern som är "närmast i nätet" nås av en klient. DoSoch DDoS-attacker slår därmed inte till med full kraft mot en och samma serverinfrastruktur. Hur förebygger vi att vi som företag/myndighet inte blir föremål för en attack Vad är motivet bakom en attack? Hur ska vi bete oss för att inte uppmuntra till attacker? Energibranschen som helhet kan vara föremål för samma typ av risker och hot. Dessa kan vara riktade direkt mot ett enskilt företag/myndighet, mot branschen som helhet eller som ett led i en terroristhandling mot Sveriges viktiga infrastruktur DDoS-angrepp_v1.1.doc 5 (9)

6 Exempel på händelser som kan uppmuntra till attacker: Fysiska händelser som exempelvis stormar och elavbrott Kraftigt höjda priser Sämre tillförlitlighet i elleveranser Miljöpåverkan Kontroversiella uttalanden av representanter i företaget/myndigheten Politiska beslut och uttalanden inom energiområdet Politiska beslut och uttalanden som inte är kopplat till energibranschen Motivet kan vara: Utpressning Orsaka skada och kostnader för företaget/myndigheten Orsaka skada för samhället Missnöje och/eller hämnd Prestige ( kolla vad jag kan göra ) Vem är det som utför den här typen av attacker? Terroristorganisationer Organiserade brottslingar såsom maffia etc. Illasinnade stater Missnöjda intresseorganisationer Privatpersoner med varierande tekniskt kunnande Olika typer av aktivister på nätet s.k. Hacktivister Under attack Hur kan man upptäcka en attack? Tro mig, du märker det! En förutsättning för att du ska säkerställa vad det är för typ av attack är att du har övervakning och loggning av din brandväggsfunktion, e-postsystem, nätverk och din Internet-anslutning. Hur kan man spåra en attack? För att ta reda på vem som ligger bakom en attack skulle vi behöva spåra all kommunikation baklänges tills vi hittar angriparen som utlöste den Digitala Tsunamin. Attacken kan vara helt automatiserad och tidsstyrd. De slavar som används för att skicka den stora mängden meningslös trafik kommer sannolikt aldrig att användas igen eftersom att deras identiteter blir röjda vid en attack. Den försiktige angriparen kommer att använda sig av flera datorer på vägen innan intrånget i slavarna sker, för att minska spårbarheten. Det går inte alltid att lita på den information som finns tillgänglig om varifrån trafiken kommer. Det är lätt att skapa trafik med felaktig avsändare. Vilket betyder att vi inte med säkerhet kan ta reda på vilka slavarna är eller veta vem som är den bakomliggande angriparen DDoS-angrepp_v1.1.doc 6 (9)

7 I många av de program som idag används för DDoS-attacker så finns funktioner för att slumpmässigt tilldela avsändaradresser. Då är den enda chansen att kontakta den avsändande datorns ISP. Den mottagande brandväggsfunktionen har inte någon möjlighet att avgöra om trafiken kommer från någon annan än den påstår. Att fullständigt spåra en attack kan vara mycket svårt, för att inte säga omöjligt, det är lättare att spåra slavarna än mastern som styr attacken. Det viktigaste vid spårning är att logginställningarna i respektive övervakningssystem är genomtänkta och tillräckligt omfattande. Det är vanligt att loggning nedprioriteras pga. platsbrist eller okunskap. Det är även viktigt att ha verktyg för att sammanställa, bearbeta och söka i loggar. Tänk på att det kan bli loggar från många olika system och dessa måste ha synkroniserad tid för att det ska vara meningsfullt med logganalys. Hur kan man stoppa en attack? Om man vidtar rätt förebyggande åtgärder enligt vårt förslag ovan kan man öka möjligheten att avvärja attacken och minska verkningarna. Vid en mindre DDoS-attack kan spårandet och stoppandet av slavarna begränsa angreppets påverkan i volym och tid på bolagets Internet-access eller nätverk. Vid en större DDoS-attack rekommenderas varmt att man har den typ av avtal med sin ordinarie ISP och reserv ISP som vi rekommenderat ovan. Ett IPS-system kan i vissa fall stoppa men alltid begränsa effekterna av en attack. I spåren efter en attack Analysera effekterna av angreppet. Se till att du får en överblick över konsekvenserna snarast möjligt. Dokumentera och presentera för verksamheten. Samla därefter in, sammanställ och analysera relevanta logga för att kunna spåra attackmönster och ursprung. Dessa ska kunna användas både proaktivt, för att förbättra skyddet, men även som bevismaterial i en eventuell rättegång. Gå igenom dina rutiner, t.ex larm-, avbrotts- och kontinuitetsrutiner, och värdera hur dessa fungerade och vilka förbättringar som skall göras. Fanns den aktuella attackmöjligheten med i din riskbedömning i din riskanalys, i så fall bör du omvärdera riskerna, om inte gör en ny kvantitativ riskanalys, när du nu har facit i hand. Glöm inte att anmäla denna typ av attack till Polis och SITIC (Sveriges IT- IncidentCentrum). Det är viktigt att vi börjar värdera och hantera ITrelaterade brott (brott där man använt sig av IT-teknik) och digital krimi DDoS-angrepp_v1.1.doc 7 (9)

8 nalitet på samma sätt som övrig brottslighet. Det krävs en attitydförändring för att dessa brott ska bli synliggjorda och inte något man som företag skäms över. Övrigt Frågor kan ställas till EBITS via e-post be careful out there DDoS-angrepp_v1.1.doc 8 (9)

9 Referenser Här hittar du referenser till några av de saker vi nämnt ovan: Fördjupning Om du vill veta lite mer kan du titta på följande länkar: (jämförelse av Traffic Shaping och Traffic Policing) DDoS-angrepp_v1.1.doc 9 (9)