Author Topic: Tusentals servrar kan bli verktyg för it-brott  (Read 2335 times)

0 Members and 1 Guest are viewing this topic.

Offline Signhilde

  • Moderator
  • *
  • Posts: 887
  • Gender: Female
Tusentals servrar kan bli verktyg för it-brott
« on: April 11, 2016, 16:59:25 PM »
Tusentals servrar kan bli verktyg för it-brott

En server hos svenska försvaret har utnyttjats av kriminella för att attackera och slå ut it-system hos banker i USA.

Säkerhetsluckan åtgärdades först efter att Myndigheten för samhällsskydd och beredskap, MSB, larmade Försvarsmakten.
DN:s granskning visar att ytterligare tusentals servrar i Sverige är öppna för samma sårbarhet, bland dem myndigheter, universitet och kommuner.
Kristoffer Örstadius

Våren 2013 utsattes amerikanska banker för omfattande överbelastningsattacker, så kallade ddos-attacker. Webbsidorna hos alla stora bankföretag slogs ut, ibland under flera dygn. Incidenterna utreddes av FBI och fick stor uppmärksamhet i USA.

Dagens Nyheter kan i dag avslöja att ett av spåren ledde till Sverige och svenska Försvarsmakten som ofrivilligt deltog som angripare i den omfattande it-attacken. En server i försvarets datornätverk hade en säkerhetsbrist som utnyttjades för att genomföra angreppen.

Gärningsmännen bakom attacken kunde skicka kommandon till servern som gjorde att Försvarsmakten började sända stora datapaket till specifika mål i USA. Många andra sårbara servrar i världen utnyttjades på samma sätt och tillsammans blev trafiken så kraftfull att bankernas webbsidor slogs ut.

Grafik: Jonas Backlund

Utredningar kom fram till att Iran sannolikt låg bakom attackerna.
Försvarsmaktens server hade varit sårbar under en längre tid. Ip-adressen (datorns ”telefonnummer”) ingick till och med i publika listor på internet över servrar med dålig säkerhet.

I maj 2013 slog Myndigheten för samhällsskydd och beredskap (MSB) larm om bristen i ett mejl till Försvarsmaktens it-stab. Mejlet, som DN har tagit del av, hade rubriken ”Maskin i ert nät medverkar i DDoS-attacker” och innehöll uppgifter om aktuell ip-adress och detaljer om sårbarheten.
– Attackerna mot de amerikanska bankerna fick stora konsekvenser och skedde dessutom under lång tid. Vi fick information externt och tog kontakt med Försvarsmakten och de tyckte att det var bra att vi hörde av oss, säger Robert Jonsson, ställföreträdande chef för avdelningen Cert-se på MSB.

Efter kontakten åtgärdades bristen hos försvaret. Dan Eriksson, incidenthanterare på Försvarsmaktens cert-avdelning, bekräftar bristen:
– Vi har normalt sett bra koll på våra grejor. Detta misstag handlar om den mänskliga faktorn – vi har mycket folk som genomför drift. Det är viktigt att komma ihåg att detta inte är en sårbarhet som går att utnyttja för att ta sig in i Försvarsmaktens it-system. Man kan se det som en konfiguration som kan nyttjas för att störa tredje part. Men det är helt klart: en sådan här konfiguration har inget på internet att göra, säger Dan Eriksson.
Bristen åtgärdades alltså, men DN kan i dag samtidigt avslöja att svenska myndigheter fortfarande kan utnyttjas för liknande angrepp.

Nästan 14 000 servrar i Sverige har samma sårbarhet som den hos försvaret. Flera av servrarna finns på universitet, kommuner och statliga myndigheter, enligt Dagens Nyheters egna datakörningar.
Vi har normalt sett bra koll på våra grejor. Detta misstag handlar om den mänskliga faktorn.

Det rör sig om servrar som alltså går att utnyttja för överbelastningsattacker, vars syfte kan vara att till exempel göra en webbplats otillgänglig.
Allt handlar om kapaciteten i nätverken. Det skulle kunna liknas vid en motorväg som maximalt klarar av 100 bilar per minut. Om man plötsligt släpper på 10 000 bilar per minut kommer trafiken snabbt att stå helt stilla.
Genom att angriparna använder sig av en så kallad förstärkningsattack blir effekten än mer påtaglig. Och det är här Försvarsmaktens server spelade stor roll, liksom de uppemot 14 000 servrarna i Sverige som fortfarande är oskyddade.

Drygt 7 600 av dem är så kallade dns-servrar, ett system som används för att översätta domännamn till ip-adresser. DN:s granskning visar att servrarna är felaktigt inställda på ett sätt som gör att utomstående kan utnyttja dem för att skicka små kommandon, en slags fråga. Servrarna ger då ett svar som är mycket större än frågan.

Dessutom går det att förfalska avsändaren, så att svaret i stället hamnar hos offret. Det var denna typ av attack, alltså en förstärkningsattack, som nyligen slog ut ett stort antal mediesajter i Sverige.

• Läs mer: Linus Larsson: Det är pinsamt för försvaret

Man kan likna det med att skicka postorderbeställningar med förfalskad avsändare. Genom att skicka några få små brev kan man få tonvis med prylar att levereras till offret.
– De som har denna typ av servrar borde se över dem. Överbelastningsattacker är ett allvarligt problem. Sådana här maskiner utnyttjas i stor utsträckning, säger Robert Jonsson på MSB.

Bland sårbara servrar finns också så kallade NTP-servrar (används för att synkronisera tid) som är felaktigt inställda.
En kraftfull internetuppkoppling, hos till exempel ett universitet eller en myndighet, är drömmen för en angripare eftersom den utgående trafiken potentiellt skulle kunna bli mycket stor.

Nyhetsbyrån Reuters den 18 maj 2013. En varning för att attackerna mot banksystemet är farligare än vad de flesta inser.

Sveriges universitet sticker ut i DN:s granskning. Göteborgs universitet, Linnéuniversitetet och Umeå universitet är några av dem som har en eller flera felinställda servrar som går att utnyttja på detta sätt.
– Jag är förvånad över att dessa finns hos just universiteten, trots övervakningar och informationsinsatser. Det är en enkel sårbarhet och ddos-attackerna är ett av de största problemen på internet. De blir dessutom ständigt större, säger it-säkerhetsexperten Leif Nixon.

Dagens Nyheter har varit i kontakt med ett tiotal experter som bekräftar bristerna och samtliga är övertygade om att dessa servrar används och har använts i stor utsträckning för att utföra överbelastningsattacker.
Det ska samtidigt sägas att det är betydligt vanligare med osäkra servrar i länder som Ryssland och Kina.

DN har också genomfört ett kontrollerat experiment där vi testat att exponera en dns-server på samma sätt som hos Försvarsmakten och universiteten. Efter åtta timmar blev vi en del av en överbelastningsattack och avslutade då omgående vårt test.
– Saker som sitter på nätet på detta sätt kommer att bli upptäckta och utnyttjas. Det kan man förutsätta, säger Leif Nixon.

DN konfronterar Göteborgs universitets it-chef Sören Ehrnberg med uppgifter om ip-adressen på en av deras sårbara servrar. Några minuter senare beslutar universitetet att akut stänga ner tjänsten.
”Adressen var en dator som inte installerats enligt regelverket. Risken är avvärjd.”, skriver Sören Ehrnberg i ett mejl.

Bland de knappt 14 000 servrarna som DN hittat finns också flera stora företag, myndigheter som Arbetsmiljöverket, och ett tjugotal svenska kommuner, exempelvis Göteborgs stad. Här finns också en hel del privatpersoner.

Några tusen hushåll i Sverige har ip-telefonidosor, Eltek R7121-L1, som visar sig ha en samma it-säkerhetsbrist och går alltså att utnyttja för att genomföra överbelastningsattacker. Samtliga finns i internetoperatören Bahnhofs nät och är en produkt som företaget tidigare sålt.
– Det är en allvarlig brist, men som tur är så är det en mycket liten andel av alla våra kunder som har den. Vi säljer inte längre denna dosa, men en del kunder har den kvar. Efter DN:s uppgifter så kommer vi nu att uppdatera dosorna, säger Cici Brodén, supportchef på Bahnhof.

Ordlista.
Cert. En verksamhet med experter som hanterar it-säkerhetsincidenter. Finns på exempelvis MSB.
DNS-server. En slags telefonbok. En server som översätter ett domännamn (till exempel dn.se) till en ip-adress.
Ip-adress. Som ett telefonnummer för en dator.
Överbelastningsattack. Innebär att ett eller flera datasystem attackeras med syfte att göra exempelvis en webbplats otillgänglig.
Kristoffer Örstadius

http://www.dn.se/nyheter/sverige/tusentals-servrar-kan-bli-verktyg-for-it-brott/