Det senaste året har sett en markant ökning i så kallad hacktivism, alltså hackerangrepp med ideologiska motiv. Löst sammansatta grupper som Anonymous, LulzSec och AntiSec publicerar dagligen information stulen från myndigheter, multinationella företag och grenar av det amerikanska försvaret.
Det löst sammansatta onlinekollektivet Anonymous har funnits sedan 2003 och medlemskap består helt enkelt i deltagande i någon av organisationens aktioner. Anonymous har starka ideologiska kopplingar till anarkism och arbetar huvudsakligen för yttrandefrihet och mot reglering av Internet. Angreppsmetoderna som används har varierat och var ursprungligen distribuerade DoS-attacker. Anonymous fick stor uppmärksamhet efter angrepp mot PayPal, Mastercard och Visa, efter att dessa företag blockerat betalningsmöjligheter till Wikileaks. Det är viktigt att poängtera att en DDos-attack inte komprometterar någon data utan helt enkelt blockerar tillgång till en webbsajt. Det är på gränsen till omöjligt att helt skydda sig mot DDoS-attacker men de är heller inte så allvarliga för de flesta typer av organisationer.
Därefter har flera undergrupper bildats utifrån Anonymous, exempelvis LulzSec vilka bland annat angripit Sony, FBI, CIA och säkerhetsföretaget HBGary. Dessa angrepp har huvudsakligen varit traditionella SQL-injektioner och utnyttjande av felkonfigurerade admingränsnitt. Genom att utnyttja sådana säkerhetsluckor har angriparna kunnat extrahera databasinnehåll som sedan publicerats på diverse onlineforum. För en IT-säkerhetsexpert är teknikerna som används inget nytt och LulzSecs metoder är inte heller särskilt avancerade. Angreppsätten har ett flertal år på nacken och praktiseras dagligen av angripare med större intresse av att dölja sina aktiviteter.
Det är möjligen förvånande att den här typen av högprofilerade organisationer inte har bättre kontroll på sina webbsajter. Å andra sidan är det mycket svårt även för en mindre organisation att ha god översikt över vilka applikationer som verksamheten publicerar. Gamla webbsajter med potentiella sårbarheter är ofta ett dåligt samvete hos IT-avdelningen, men kostnaden för att uppdatera sajten och bakomliggande system är ofta “för hög”.
Så hur kommer det sig att det verkar vara så svårt att bygga ett säkert system? Grundproblematiken är att det är lättare att förstöra än att designa och bygga. Som Sam Rayburn så elegant uttryckte det: “Any jackass can kick down a barn, but it takes a good carpenter to build one”. Samma princip gäller webbapplikationer. Det är omöjligt att utveckla en felfri applikation och några av de buggar som med nödvändighet uppstår kommer att vara säkerhetsrelaterade. Det finns tyvärr inga genvägar till säkra IT-system utan det krävs ett kontinuerligt, fokuserat arbete inom såväl kravställning, som implementation, konfiguration och testning.
Sammanfattningsvis bör påpekas att oavsett bakomliggande motiv är dataintrång och DoS-attacker brott och bör behandlas som sådana. Öppenheten på Internet är ingen ursäkt för att begå olagliga handlingar. Samtidigt går det inte att komma ifrån att Anonymous har lyckats placera IT-säkerhet som samtalsämne på cocktailpartyt. Det måste sägas vara allt annat än en liten bedrift.
Thomas Nilsson
