Daily Archives: March 14, 2015

En mere detaljeret oversigt over angrebstyperne, der rammer TDS’s netværk. Kilde: TDC

Internetudbyderen TDC har samlet en rapport om DDoS-trusselsbilledet baseret pÃ¥ informationer om de angreb, som er set i TDC’s net i 2014.

Angrebene er rettet mod de nordiske kunder, der overvåges af firmaets DDoS-tjeneste.

Indholdet er baseret på mere end 100 DDoS-angreb i løbet af 2014, som firmaet har kæmpet imod.

Analysen bygger dermed på data fra den virkelige verden og ikke testlaboratorier.

Lille stigning
Samlet set er der kun sket en lille stigning i antallet af DDoS-angreb, og varigheden af oversvømmelsesangrebene er ligeledes nogenlunde stabil i forhold til 2013.

Men i 2014 er der omvendt sket en markant stigning i størrelsen pÃ¥ de DDoS-angreb, som har været rettet mod TDC’s kunder.

Den gennemsnitlige angrebsstørrelse steg fra 600 Mbit/s i 2013 til 3,3 Gbit/s i 2014, kan man læse ud af tallene.

De angreb der rettes mod danske og nordiske virksomheder kan som udgangspunkt placeres i en af følgende to hovedkategorier:

1) Et oversvømmelsesangreb, hvor det er kundens båndbreddekapacitet, der angribes.

2) Et connection-angreb, hvor det er connection-tabellen i eksempelvis en firewall eller en webserver, som angribes.

I grafikken til højre kan du se en mere detaljeret opdeling af angrebstyperne.

Mere end botnet
Der er sket ændringer i måden, som angrebene udføres på.

Tidligere har angrebene været udsendt via botnet baseret på personlige computere, der er inficeret med malware, og derved kan fjernbetjenes af ondsindede personer.

I løbet af 2014 er det dog blevet mere almindeligt, at også servere inkluderes i disse botnet.

Fordelen for angriberne er, at da serverne typisk altid er online og i mange tilfælde er placeret på højhastighedsforbindelser, hvilket er effektive redskaber i et DDoS-angreb.

Ligeledes begynder kunderoutere og andet kundeplaceret netværksudstyr at optræde i botnets.

Denne form for udstyr er forholdsvis nemt at inficere, da det ofte anvender usikre konfigurationer, forældet og sårbar firmware, og da det generelt sjældent bliver administreret og vedligeholdt af ejeren.

Ligeledes er smartphones begyndt at optræde som bots.

Læs også: Sådan går det, når hackerne selv bliver hacket

Varigheden af DDoS-angreb ser således ud i 2014 og 2013. Kilde: TDC.

Så mange megabyte blev danske virksmheder oversvømmet med. Kilde: TDC.

En anden tendens er, at mange angreb er de såkaldte amplification-angreb (eller forstærkede angreb), der er væsentligt kraftigere ende traditionelle angreb også kaldet for connection-angreb.

I 2014 var 70 procent af alle hændelser amplification-angreb – mod 40 procent i 2013, hvilket gør det til den hyppigst anvendte angrebstype i dag.

Ved et amplification-angreb sender den ondsindede person angrebstrafikken via åbne servere på nettet for at få forstærket sit angreb.

Typisk anvendes åbne servere, der understøtter UDP-baserede protokoller som DNS eller NTP.

Denne type angreb fungerer eksempelvis på den måde, at et større antal botmaskiner sættes til at foretage DNS-forespørgsler med en forfalsket afsender IP-adresse op mod åbne DNS-servere, der vil sende svaret på forespørgslerne tilbage til afsenderadressen.

Da afsenderadressen på forespørgslerne er forfalsket til at være adressen på serveren, som den ondsindede ønsker at angribe, så sendes alle de mange DNS-svar til denne server.

Ved brug af amplification-angreb opnår angriberen en anden fordel, nemlig at vedkommende kan skjule sin identitet gennem to lag; botnet-computere og servere.

På den måde er de svære at spore.

Internetudbydernes egen skyld
Problemet skyldes langt hen ad vejene internetudbyderne selv.

Hvis de som standard afviste udgående trafik med forfalsket afsenderadresse, så ville det lægge en betydelig dæmper på denne angrebsform.

Ligeledes er der en voldsom stor mængde servere på nettet, der er dårligt konfigurerede og dårligt opdaterede, og derved potentielt kan misbruges.

Ifølge Shadowserver Foundation, der skanner nettet fÃ¥r Ã¥bne enheder – der altsÃ¥ kan misbruges til denne type DDoS-angreb – var der i februar 2015 mere end 11 millioner dÃ¥rligt konfigurerede DNS-servere.

Store datamængder er billige
I 2014 voksede den datamængde, der angribes med, også markant.

Angiveligt skyldes væksten, at det bliver billigere og billigere at købe DDoS-trafik fra lyssky sider på nettet.

Den gennemsnitlige angrebstid for et DDoS-angreb er på 41 minutter i 2014, hvilket er en lille stigning i forhold til året før, hvor de var på 45 minutter.

Det længste angreb, som TDC har registreret, var på fem en halv time.

Sådan undgår du DDoS mod din virksomhed
Der er dog en hel stribe muligheder for at beskytte sin virksomhed mod de irriterende angreb.

For det første ødelægger et DDoS-angeb ikke din webside, men lægger den ned. Det er selvfølgelig kritisk i nogle tilfælde, men mange kan nok godt klare en lille ‘nedtur’.

Der er dog stadig en masse tiltag, du med fordel kan overveje og udføre, inden det kommer så vidt, og som kan redde dig igennem mange frustrationer ved at undgå at få lagt hjemmesiden ned.

Det har sikkerhedsekspert Peter Kruse fra sikkerhedsselskabet CSIS Security Group tidligere fortalt til Computerworld.

“Først og fremmest skal man have lavet en behovsafklaring: hvor vigtig er hjemmesiden for forretningen? Er man villig til at investere penge for at beskytte den?” lyder det fra Peter Kruse.

Dernæst skal din virksomhed have stresstestet webservere og andre servere for at se, hvor meget dine webservices egentlig kan klare.

Efter behovsafklaring og stresstest kan du derefter begynde på det egentlige arbejde med at modstå eventuelle DDoS-angreb.

Hvordan du griber opgaven an helt praktisk kan du læse meget mere om her: Danmark under angreb: Sådan kvæler du et DDoS-angreb

Læs også:

Dansk teenager fanget efter DDoS-angreb mod KL

Sådan håndterer TDC et DDoS-angreb

Erhvervsstyrelsen har i dag lanceret tjenesten tjekditnet.dk, hvor man som almindelig dansker eller virksomhed kan fÃ¥ indblik i ens nuværende bredbÃ¥ndshastighed og fremtidsmulighederne for at hæve denne.Â

Ganske få timer efter lanceringen kan styrelsen mærke, at interessen er stor efter at tjekke netforbindelserne i ens nabolag. 

“Vi kan helt sikkert mærke en belastning, men sitet kører fint. I bund og grund er vi jo bare glade for, at interessen er sÃ¥ stor,” forklarer pressemedarbejder Marlene Kønig til Computerworld. 

Hun fortæller, at sitet fredag middag havde rundet 15.000 besøgende, mens der over middag er omkring 5.000 besøgende i timen. 

“Man kan pÃ¥ grund af interessen opleve smÃ¥ forsinkelser i svartiderne pÃ¥ sitet. Indtil videre har vi dog været forskÃ¥net for deciderede nedbrud,” lyder det fra Marlene Kønig. 

Spørg og få svar
Flere af Computerworlds læsere har stillet spørgsmålstegn ved den konkrete visning og opstillingen af mulige leverandører, når de søger på deres egen adresse. 

Hertil oplyser Erhvervsstyrelsen, at der er to personer ansat til at besvare henvendelser på telefon og mails af teknisk art inden for den almindelige kontortid.

På grund af den almindelige travlhed vil Erhvervsstyrelsen dog løbende opsamle de mest gængse spørgsmål og publicere svarene på disse via sitets oftest stillede spørgsmål. 

Læs også:
Nyt kort afslører bredbÃ¥ndshastighederne i hele landet – tjek din adresse her

Store systemer, dyre konsulenter og ældre versioner holdt i live pÃ¥ virtuelle servere et sted i fabrikkens dyb – fordommene om softwaregiganten SAPs løsninger stÃ¥r i kø.

Det ved SAP Danmarks Country General Manager, Anders Feddersen, alt om. Med mere end 20 års erfaring med SAP-platformen, de første mange år hos IBM, og det seneste halve år som chef for SAP Danmark, har han mødt dem alle sammen.

Men i starten af februar lancerede softwaregiganten S4 HANA-udgaven af deres platform. Med S4-opdateringen er der fokus på mobility, brugervenlighed og realtime-data.

Men hvor bevæger en kæmpe international it-virksomhed som SAP sig hen på et marked, som bevæger sig stadig hurtigere og som forventer at leverandørerne bevæger sig mindst lige så hurtigt?

Det har Computerworld spurgt den danske SAP-direktør om.

Du har stået i spidsen for SAP Danmark i godt 6 måneder. Hvad har været den største overraskelse undervejs?

“Den største overraskelse er, hvor svært det er at slippe af med en opfattelse af en virksomhed. Jeg kender det fra IBM, hvor det var mainframes, som vi var kendt for, uanset hvad vi ellers lavede. Hos SAP er det ERP. Det er grÃ¥t, tysk, ikke pænt. Det er ikke sÃ¥ sexet.

“Det er den perception, jeg har brugt meget tid med kunder pÃ¥ at arbejde med. Og man kan spørge, om vi har været gode nok til at arbejde med det indtryk. 

I den sammenhæng er det lidt sjovt, at ERP-kunder ser os som ERP-hus. Men banker og forsikringsbranchen har ikke samme historik – det med hele SAP og fabriksdelen. SÃ¥ de kan godt se, at SAP er mere og andet end ERP.”

SAP har lige nedskrevet forventningerne for 2017 – men ser man nærmere pÃ¥ regnskabet, har Danmark klaret sig godt. Hvad er det, som er lykkedes for jer?

“Vi har klaret os godt over hele linjen – det er services, det er support, det er software, og sÃ¥ er det clouden.”

SAP og cloud har haft en lidt svær fødsel – hvordan ser fremtiden ud for SAPs cloud?

“SAP kom lidt sent ind i hele cloud-udviklingen, men man indsÃ¥ sÃ¥ ret hurtigt at hvis ikke vi satser pÃ¥ det, sÃ¥ er vi ude af business.

Det har kostet et hit i regnskabet, men det sker for alle virksomheder, som går fra almindeligt software salg til cloud. I stedet for at tage hele indtægten det første år fordeles cloud jo ud over flere år som et abonnement. Vi har i SAP valgt at tage det hit fra starten af (og nedskrive regnskabet, red.).

Samtidig har det hjulpet os hos SAP, at mange af de virksomheder, som vi har købt – som Ariba, SuccessFactors og Concur – er født i skyen.

Vi siger heller ikke nødvendigvis til kunderne, at de skal skynde sig i skyen – for vi supporterer de eksisterende løsninger frem til 2025. SÃ¥ der er frit valg pÃ¥ alle hylder, men ingen tvang.

Men det er ogsÃ¥ klart, at vores research og development-penge gÃ¥r til HANA-platformen, sÃ¥dan at det stille og roligt gøres til den mere attraktive løsning, fordi features fødes der.”

Microsoft er jo inde på noget af det samme med deres skift fra Office til en cloud-baseret Office 365. Det rammer Microsoft-partnernes forretning. Ser du samme skift med SAP og SAP-partnere?

“Det er rigtigt at mange af de gode systemintegratorer har haft en god forretning pÃ¥ AMS – altsÃ¥ application maintance services i forlængelse af SAP.

Men når vi hos SAP taler simple, standardisering og skyen, så er det en strategi, vi lægger for dagen, som er drevet af kundernes behov og forventninger.

Anders Feddersen, direktør for SAP Danmark

Så selvfølgelig udfordrer det deres forretning. Min opgave er så også at sige til dem, at de skal lære om SAP HANA. Det et ikke bare os, der leverer HANA; det er hele forretningsmodellen, som skal løftes.

Det handler i sidste ende om, at enten sÃ¥ disrupter man, eller ogsÃ¥ sÃ¥ bliver man disruptet.”

Med lanceringer i 1979, 1992, 2004 og nu i 2015 så tager SAP sig god tid mellem de store opdateringerne. Hvad er det, som gør, at tiden er klar til det helt nye S4 HANA her i 2015 ?

“Det, som SAP har gjort med S4, er at sige, at den her kompleksitet, som vi selv har været med til at skabe, at det behøver ikke at være sÃ¥dan mere.

Men den primære driver har været, at virksomheder bruger for meget energi på at holde det eksisterende kørende.

Det fokuserer vi på, fordi vi ved at rigtig mange bruger måske 80 procent af deres tid og budget på drift og kun 20 procent på udvikling. Det, som SAP gerne vil gøre, er at frigøre folk, så de kan fokusere mere på udvikling.

Rent teknisk har data, fokus pÃ¥ realtime og mængden af data har været den drivende faktor. Her er vores budskab, at S4 HANA giver øget hastighed. Det er vigtigt at forstÃ¥, HANA er et runtime-miljø, ikke en database – og det giver øget hastighed.

Det som brugerne mest kommer til at se er Fiori, som er SAPs nye interface. Fiori er ikke bare en pæn version af SAPs interface. Det er en helt ny brugerflade, og den er bygget fra bunden af. Og sÃ¥ tilbyder vi Fiori-interfacet gratis til eksisterende kunder.”

NÃ¥r jeg hører dig snakke om et nemmere SAP med smartwatch-integration, grafisk brugerflade og guides til konfigurationer – sÃ¥ lyder det som, om at I har omfavnet tidens consumerization-tendenser fuldt og helt?

“Selvfølgelig har vi det. Vi har haft en omtumlet tilværelse pÃ¥ vores mobilstrategi, som nu er landet godt.

SÃ¥ vi har ikke haft meget kredit pÃ¥ det her omrÃ¥de – sÃ¥ derfor nÃ¥r vi laver noget nu, sÃ¥ skal det bare se godt ud. Baren er højere for os.

Vi har ogsÃ¥ fokuseret pÃ¥ ting, som guidede konfiguration for at kunderne hurtigere kan fÃ¥ værdi af deres investering. For at arbejde med SAP har ikke været sÃ¥ nemt – vi ved at de folk, som har sat det op ikke har været helt billige.”

Læs ogsÃ¥: Ny dansk SAP-chef – her er min plan med SAP Danmark

Kære . Jeg har for nylig læst din artikel . Den er meget nyttig for mit forskningsomrÃ¥de. Jeg vil høre, om du mÃ¥ske kan sende mig følgende artikler til hjælp i mit aktuelle forskningsprojekt?”SÃ¥dan en mail modtog en række danske forskere i januar.

Mailen var på engelsk og angav at komme fra en forsker ved et tysk universitet.

Hver mail var stilet til den enkelte forsker personligt. Navn og e-mailadresse var korrekt, og der blev henvist til flere artikler, som modtageren havde publiceret.

Afsenderadressen sÃ¥ umiddelbart rigtig ud: “@uni-muenchin.de.”

Skulle den have været rigtig, skulle domænet dog have været “uni-muenchen.de”.

Så der er altså tale om mail-svindel. Oven i købet et særdeles overbevisende svindelnummer: Mailen er målrettet den enkelte forsker og roser vedkommende for en god artikel.

Hvem ville ikke reagere positivt på den slags?

Her kommer svindlen ind i billedet
Afsenderen beder forskeren sende et par artikler. I mailen er der link til dem. Og det er her, svindlen kommer ind i billedet.

Det ene link fører til omtalen af en af modtagerens artikler på forskerportalen ScienceDirect. Det andet fører til en forfalsket login-side, der efterligner portalen ved forskerens universitet.

Formålet med hele øvelsen er altså at lokke brugernavn og adgangskode ud af forskeren.

Automatiseret proces
Universitetet modtog et halvt hundrede mails. Alle rettet mod forskellige forskere, og alle med konkrete henvisninger til artikler, modtageren havde skrevet.

Jeg antager, at svindlerne har automatiseret processen.

De har sikkert taget udgangspunkt i ScienceDirect eller en lignende portal, hvor man kan finde forskeres navne, mailadresser og publikationer.

Så skal der ikke de store evner til at skrive et script, der henter data ud og udformer målrettede mails rettet mod forskerne.

Svindlerne kan oven i købet udvælge bestemte forskningsområder, som de især er interesserede i at spionere mod.

Automatiseringen fremgår af, at mailene var fuldstændig enslydende. Eneste forskel var navne og titler på artiklerne.

Den forfalskede afsender var i øvrigt også forskellig fra mail til mail.

Der var angivet fuldt navn, universitet og institut p̴ afsenderen Рsikkert fundet p̴ en forskerportal eller det tyske universitets websted.

Det danske universitet opdagede hurtigt problemet og fik ændret passwords for de forskere, der havde klikket på linket.

Hvem tjekker links?
Jeg finder affæren interessant, fordi den er et tegn på, hvordan phishing-svindel udvikler sig. Jeg frygter, at vi kommer til at se flere lignende svindelforsøg i fremtiden.

De fleste forsøg på phishing er meget primitive.

En mail fra banken om, at din konto er spærret. Men da du ikke er kunde i den pågældende bank, bliver den hurtigt slettet.

Hvordan ville du reagere, hvis du modtog en lige så målrettet mail som den, der blev sendt til de danske forskere?

Som Computerworld-læser er du nok årvågen nok til at tjekke, hvor et link fører hen, før du klikker på det.

Men hvor mange af dine kolleger ville gøre det?

Information kan skrælles
Stadig mere information om os ligger frit tilgængeligt ude på nettet. Det gør det lettere at udføre den form for automatiseret phishing.

Forestil dig for eksempel et script, der skræller data fra LinkedIn- eller Facebook-profiler. Det sender målrettede mails til alle, der har meldt sig til en gruppe med et bestemt emne.

Hvordan vil medlemmerne af en gruppe om Porscher for eksempel reagere på en mail med link til billige reservedele målrettet til lige præcis deres model?

Eller hvad med en mail til medlemmerne af et politisk diskussionsforum med link til et lækket udkast? De skal bare lige logge ind først.

Vi må undervise
Vi kan ikke undgå den type angreb. Men vi kan forberede vores brugere på dem, så de bliver bedre til at gennemskue dem.

Her er der brug for awareness-kampagner og undervisning.

Det er et område, som jeg gjorde en indsats for i min tid som informationssikkerhedschef på Københavns Universitet. Og det vil jeg også slå et slag for i min nye rolle som chef for DKCERT.

Jeg glæder mig til at dele flere holdninger og informationer om informationssikkerhed med læserne via mine klummer her i Computerworld.

 
DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet. I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.

Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.