12 dec 2016

Webshops ekstra sårbare i december måned

DDOS: Den søde juletid nærmer sig, og storindkøbet af julegaver over nettet er i fuld gang. December måned er for mange detailvirksomheder den måned, hvor overskuddet opnås og eksistensberettigelsen sikres.

Derfor er webshops særligt sårbare overfor it-sikkerhedstrusler, da selv kort nedetid kan have alvorlige konsekvenser for omsætningen. En af de mest udbredte trusler er DOS og DDOS-angreb ((Distributed) Denial of Service). Som bekendt fungerer DOS og DDOS således, at et system eller en server bombarderes med automatiserede forespørgsler i en sådan grad, at målet for angrebet (fx et website) bliver utilgængeligt for brugerne.

Hvorfor er det så væsentlig en trussel?

Fordi det er nemt at tilgå gratis værktøjer til DOS og DDOS-angreb online, og på få minutter kan man lukke en server eller et system ned. Det kræver som regel ikke særlig teknisk snilde. Mange værktøjer kræver blot en URL eller IP-adressen på serveren, og så klarer det resten selv. Men konsekvenserne ved et angreb er store. I værste fald kan serveren eller systemet være nede i flere dage, hvilket for en webshop i december kan betyde et stort tab af omsætning.

Konkret har vi for nyligt herhjemme set Blacknurse, der udnytter en sårbarhed i bestemte typer firewalls (fx Zyxel, Cisco og Fortigate). Blacknurse sender via et ICMP-angreb relativt simple pakker til firewallen, der medfører en overbelastning af firewallens CPU, hvilket så blokerer for al trafik. Det bemærkelsesværdige er, at angrebet mod firewallen ikke kræver særlig stor båndbredde. Det vil sige, at Blacknurse kan anvendes fra en billig bærbar på et almindeligt wi-fi.

Forebyggelse af DOS og DDOS

Vil en virksomhed eller en webshop forebygge specifikt Blacknurse-angreb, så kan man sætte firewallen til ikke at tillade ICMP Type 3 Code 3-pakker. Vil man generelt forebygge konsekvenserne af DOS og DDOS-angreb, skal der implementeres detektering, filtrering eller blokering af mistænkelig trafik. Samtidig er det også vigtigt, at netværksudstyret altid er patchet til seneste version. Der findes også sikkerhedsfirmaer, som tilbyder DDOS-beskyttelse, og det kan være en fordel at alliere sig med et sådant.

Et godt råd lyder, at det er bedre at have sin webserver hos en udbyder end selv at gøre det, da hostingfirmaet har øgede muligheder for at håndtere angrebet. Fordelen ved en hostet webserver er også, at angrebet ’bare’ påvirker hjemmesiden, og ikke selve it-systemerne i virksomheden – så den del af ens virksomhed i det mindste stadig fungerer.

Til grund for overvejelserne om hosting, dedikerede anti-DDOS-værktøjer og sikkerhedsfirmaer bør ligge en risikoanalyse og en beredskabsplan. Kan virksomheden tåle, at hjemmesiden er nede? Hvor lang nedetid er acceptabel? Hvad gør vi, hvis det sker?

Det behøver ikke være et langt og omfattende dokument, men det er vigtigt, at virksomheden har taget stilling til problematikken – og at man rent lavpraktisk har en tjekliste over, hvad der konkret skal gøres, hvis man kommer ud fra angreb, og hvem der skal kontaktes for at afhjælpe situationen.