Routerattack hade kunnat sänka flera medier

2016-04-07 13:34  
Fredrik Ljuggren, Kirei

Även nätkomponenter skulle knäckas i medieattackerna i mars. Hur sårbara är då internetleverantörernas routrar? 

I går berättade Ny Teknik att IP-Only, som är internetleverenatör åt mediebolaget Schibstedt, fått routrar i sitt nät attackerade samtidigt som webbtrafiken ökade massivt och överbelastade många tidningssajter.

Angreppen mot routrarna beskrivs ha varit tydligt riktade, men enligt internetföretagets teknikchef Mikael Westerlund, lyckades förövarna inte knäcka eller slå ut operativsystemen. Bolaget överväger nu dock att göra en egen polisanmälan.

Vad hade då kunnat hända?

– Väldigt mycket har ju legat på några få ställen, med riktade attacker mot några routrar hade man kanske kunnat ta ner flera medier, säger Fredrik Ljunggren, it-säkerhetsexpert på Kirei.

– Eftersom hoten finns bör man ha fler leverantörer än bara en, alltså inte lägga alla ägg i en korg.

Ett annat skäl till att angripa routrar samtidigt som man skickar ddos-attacker kan vara att sabotera offrets motåtgärder: som att skicka signaler för att blockera trafik innan den når webbplatsen.

En stor del av trafiken kom från datorer i Ryssland, men eftersom det förekom tweets med kopplingar till hackergruppen Ghostridersquad bedömer Fredrik Ljunggren att angreppet skulle kunna ha svenskt ursprung.

Med hjälp av routrar i nätverken skickas internettrafik mellan operatörernas stamnät och lokala nät.

Hur sårbar är då en router? Hur stort är hoten mot dem?

Fredrik Ljunggren beskriver olika attackvägar.

– Routern utgör en knutpunkt. Den är aldrig starkare än de anslutningar den sitter på. Därmed kan den överbelastas om webbtrafiken blir för hög. Ibland vid ddos-attacker som riktas mot servrar blir också routrarna överbelastade av bara farten, eller så blir anslutningarna det, säger Fredrik Ljunggren.

– Men i IP-Onlys fall låter det som om förövarna riktat in sig på vissa mer enskilda routrar. Sådant förekommer.

En router består enkelt uttryckt av en del som skyfflar trafik och en del som administrerar och styr trafiken. Ett modus operandi kan då vara att ändå försöka ta sig in i styrdelen, enligt Fredrik Ljunggren på Kirei. Då kan hackarna helt sonika dirigera bort sajtens internettrafik. Styrdelen bör alltså vara helt isolerad från delen med internettrafik.

Hackare kan också ge sig på själva protokollet som routrarna använder för att prataa med varandra när de skickar och tar emot trafik.

– Om man bryter länken så att routrarna inte kan prata med varandra kan de sluta fungera.

En router har också ett operativsystem som i sig kan ha säkerhetsluckor.

– Det har förekommit sårbarheter som gjort att man kunnat skicka in specialsnidade skadliga IP-paket som fått routern att må dåligt. Men som operatör har man oftast bra koll på kända sårbarheter och programuppdateringar, konstaterar han.

 

Läs allt om medieattacken här

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt