Ferietid er som oftest den tida da hackerne er mest ivrige. Det er flere grunner til det. Ikke bare at hackerne kanskje har flere av dagens timer tilgjengelig for «lek og moro» mens deres foresatte tror de er «så flinke på data». Ferietid er den travle tida for hackerne fordi da er ofte sikkerhetsoppfølgingen som aller svakest både hos de store virksomheten og hos den enkelte innehaver av noe så enkelt som en PC. Folk senker skuldrene og slapper av. Og hackerne benytter seg av dette frislippet av overvåkning og kontroll og forsøker å sette inn nok støt og angrep til at de kan nå sine mål.
Veien inn til ødeleggelse
I drift av nettsteder er overvåkning og kontroll på ulike nivåer en nødvendighet for å kunne sikre seg best mulig. Angrep og f…skap følger ulike metoder og søker ødeleggelse, inkl. kapasitetsutnyttelse, ad svært så ulike veier. Derfor vil alltid driftsmiljø ha ulike beskyttelsesmetoder implementert på ulike nivåer.
Hvilke metoder man bruker for overvåkning, kontroll og sikkerhet vil man sjelden fortelle for mye om. For jo mindre andre vet, jo mindre vet hackerne før de har investert tid i å finne ut av hva som er der ute. Hackernes første trinn er å finne litt ut om serverparker, hvilke operativsystemer som benyttes (versjoner), hvilken serverprogramvare som benyttes osv. Alt dette har de etterhvert «industrialisert» i den forstand at de bruker programvare som hjelper dem med å finne ut av slike ting.
Nettsteder driftes svært ofte med en form for publiseringsløsning. Disse publiseringsløsningene er har selvfølgelig hackerne skaffet seg god innsikt i. Og de følger med på diskusjoner rundt versjoner, sikkerhetshull osv. Og de leter etter sikkerhetshull selv. Og med kunnskap om slike sikkerhetshull leter de (vha. programvare) etter nettsteder med sårbare versjoner. Dermed har de funnet sine ofre.
Publiseringsløsningene benytter ofte utseendemaler (themes, skins osv.). Også disse malene kan inneholde sikkerhetshull. Og i tillegg benyttes ofte påbygningsmoduler (innstikk. plug-ins) som kan inneholde sikkerhetshull. Profesjonelle utviklere vedlikeholder produktene de har solgt/produsert og gir sine brukere oppdaterte versjoner når sikkerhetshull oppdages. Men mange utseendemaler og påbygningsmoduler er levert/hentet fra døgnfluer i utviklingsbransjen. De vedlikeholdes ikke. Og det produseres ikke oppdaterte versjoner selv om sikkerhetshull er avdekket. Slike ting vet selvfølgelig hackerne bedre enn de som bruker slike maler og moduler. Og får de kontroll over nettstedet ditt kan de bruke det som et brohode til videre utbredelse av angrepene sine. Eller andre «morsomheter».
Konklusjon 1: Hold serverprogramvare, publiseringsløsning og alle moduler tilknyttet dette så oppdatert som mulig. Det finnes en lang rekke tjenester som overvåker f.eks. hvilke utseendemaler som er mest populære hos hackerne.
Konklusjon 2: Hvis du benytter programvare som ikke lenger oppgraderes på tross av at det er oppdaget sikkerhetshull så bør du bytte til andre løsninger fortest mulig.
Veien fra angrepskilde til mål
Driftsmiljø sporer alltid all trafikk inn mot servere. Logging og overvåkning av trafikk er en dyd av nødvendighet. Og i disse loggene ser man hvor trafikken kommer fra. Mest mulig kunnskap om angripende part er en viktig bit i kampen mot angrepene.
De ulike angrepene følger sine egne veier. I noen av angrepene er det kun en enkelt kilde som forsøker å tvinge seg inn. Som når «Ivan» i St. Petersburg i løpet av en 7-dagers-periode prøver seg over 2 millioner ganger (ja, over 2.000.000 ganger i løpet av 7 dager) inn til Wordpress-nettsteder som anvender Wordfence og samtidig over én million ganger til nettsteder bak Cloudflare.
Men «Ivan» er ikke alene. Og det er også mye mulig at «Ivan» finner vei til sårbare nettsteder og driftsmiljø via infiserte/hackede servere og PCer. For i den 7-dagers-perioden det vises til over fant Wordfence det riktig å blokkere 77,939 IPer. Når jeg tar en enkel titt ned i tabeller med oversikt over blokkerte IPer på servere jeg daglig er i kontakt med finner jeg en spredning utover størstedelen av jordkloden. Joda, mye er fra klassiske steder som Russland, Kina, Korea osv. Men jeg har i år sett en vekst i IPer fra Europa. Merkeligst er kanskje veksten i IPer i Tyskland. Og selvfølgelig finnes det norskbaserte angrep mot serverne. Eneste positive sett fra norsk ståsted er at det er langt flere uhederlige forsøk på oppkobling fra svenske IPer (selvfølgelig korrigert for folketall osv.).
Er du medskyldig?
Din ellers så uskyldige PC kan være en brikke i hackernes spill. Det er mange måter de kan ta kontroll over PCen din på. Uten at du vet noe som helst om det kan de ha fått på plass programvare som deltar i deres angrep. Din PC er blitt en brikke i et såkalt «botnet» (nettverket av roboter).
Hva skjer om du er medskyldig? Oppdages din IP av sikkerhetssystemer vil du nok bli blokkert for en kortere eller lengre periode. Dette vil innebære alt fra at du ikke får e-postene dine sendt dit du ønsker til det at du ikke vil få kontakt med ulike nettsteder du gjerne vil titte innom. Er det et fåtall angrepsforsøk fra din IP vil blokkeringene kanskje bare vare en kortere periode før man igjen lar din IP få passere. Men gjentar svineriet seg fra din IP vil blokkeringer bli mer langvarige – og kanskje evigvarende. Til slutt sitter du kanskje i klisteret.
Konklusjon: Sørg for å holde PC’ens programvare så oppdatert som mulig. Og benytt gjerne programvare som kan hjelpe deg å avsløre/hindre misbruk.
Hvem har ansvaret?
Når det gjelder din private PC er det selvfølgelig du som har ansvaret.
Er det din arbeidsgivers utstyr du benytter så er du delansvarlig – som bruker – og din arbeidsgivers ansvar kan være begrenset. Sjekk gjerne.
Er det et nettsted som er en brikke i spillet så er det i utgangspunktet nettstedets eier som er ansvarlig. Ansvaret/delansvar kan være flyttet til utvikler/driftsmiljø gjennom gjensidige avtaler. Sjekk med din utvikler og/eller ditt driftsmiljø.