Det senaste året har sett en markant ökning i så kallad
hacktivism, alltså hackerangrepp med ideologiska motiv. Löst
sammansatta grupper som Anonymous, LulzSec och AntiSec publicerar
dagligen information stulen från myndigheter, multinationella
företag och grenar av det amerikanska försvaret.
Det löst sammansatta onlinekollektivet Anonymous har funnits
sedan 2003 och medlemskap består helt enkelt i deltagande i någon
av organisationens aktioner. Anonymous har starka ideologiska
kopplingar till anarkism och arbetar huvudsakligen för
yttrandefrihet och mot reglering av Internet. Angreppsmetoderna som
används har varierat och var ursprungligen distribuerade
DoS-attacker. Anonymous fick stor uppmärksamhet efter angrepp mot
PayPal, Mastercard och Visa, efter att dessa företag blockerat
betalningsmöjligheter till Wikileaks. Det är viktigt att poängtera
att en DDos-attack inte komprometterar någon data utan helt enkelt
blockerar tillgång till en webbsajt. Det är på gränsen till
omöjligt att helt skydda sig mot DDoS-attacker men de är heller
inte så allvarliga för de flesta typer av organisationer.
Därefter har flera undergrupper bildats utifrån Anonymous,
exempelvis LulzSec vilka bland annat angripit Sony, FBI, CIA och
säkerhetsföretaget HBGary. Dessa angrepp har huvudsakligen varit
traditionella SQL-injektioner och utnyttjande av felkonfigurerade
admingränsnitt. Genom att utnyttja sådana säkerhetsluckor har
angriparna kunnat extrahera databasinnehåll som sedan publicerats
på diverse onlineforum. För en IT-säkerhetsexpert är teknikerna som
används inget nytt och LulzSecs metoder är inte heller särskilt
avancerade. Angreppsätten har ett flertal år på nacken och
praktiseras dagligen av angripare med större intresse av att dölja
sina aktiviteter.
Det är möjligen förvånande att den här typen av högprofilerade
organisationer inte har bättre kontroll på sina webbsajter. Å andra
sidan är det mycket svårt även för en mindre organisation att ha
god översikt över vilka applikationer som verksamheten publicerar.
Gamla webbsajter med potentiella sårbarheter är ofta ett dåligt
samvete hos IT-avdelningen, men kostnaden för att uppdatera sajten
och bakomliggande system är ofta "för hög".
Så hur kommer det sig att det verkar vara så svårt att bygga ett
säkert system? Grundproblematiken är att det är lättare att
förstöra än att designa och bygga. Som Sam Rayburn så elegant
uttryckte det: "Any jackass can kick down a barn,
but it takes a good carpenter to build one". Samma princip gäller
webbapplikationer. Det är omöjligt att utveckla en felfri
applikation och några av de buggar som med nödvändighet uppstår
kommer att vara säkerhetsrelaterade. Det finns tyvärr inga genvägar
till säkra IT-system utan det krävs ett kontinuerligt, fokuserat
arbete inom såväl kravställning, som implementation, konfiguration
och testning.
Sammanfattningsvis bör påpekas att oavsett bakomliggande motiv
är dataintrång och DoS-attacker brott och bör behandlas som sådana.
Öppenheten på Internet är ingen ursäkt för att begå olagliga
handlingar. Samtidigt går det inte att komma ifrån att Anonymous
har lyckats placera IT-säkerhet som samtalsämne på cocktailpartyt.
Det måste sägas vara allt annat än en liten bedrift.
