Början på ett cyberkrig, vandalism online eller en virtuell sit-in: de distribuerade denial-of-service-attackerna (DDoS) från Anonymous har beskrivits som alla tre, men hur allvarligt är hotet?
Anonymous gjorde först sitt namn till Scientologi och antipiratgrupper, men har blivit ökända för sitt försvar av WikiLeaks.
Efter att whistle-blowing-sajten förnekades av betalnings- och värdföretag, släppte den amorfa Anonymous en serie DDoS-attacker som kallas Operation Payback. Vi pratade med säkerhetsexperter, DDoS-försvarsföretag och anonyma medlemmar för att ta reda på om detta är en onlineprotest från webbkunniga 16-åringar, eller farliga attacker från cyberbrottslingar.
Allvarliga attacker eller webbvandalism?
När en gatuprotest blir otäck är skadan tydlig: förstasidesfotografier fångar den efterföljande graffitin, krossade rutor och flammande bilar. Men med DDoS-attacker är skadan ofta okänd, inte minst för att målen vanligtvis inte är villiga att erkänna hur långt deras säkerhet har äventyrats.
Anonym med siffrorna
102,733 – Antalet gånger LOIC-mjukvaran som används i anonyma attacker har laddats ner från SourceForge sedan de läckta diplomatiska kablarna publicerades.
37 timmar – Den tid som MasterCards huvudsida var offline under DDoS-attackerna, sa PandaLabs.
Enligt Panda Security tog attackerna av Anonymous ner både PayPal-bloggen och MasterCards huvudsida i mer än ett dygn, medan Visas hemsida låg nere i timmar. Den schweiziska banken som stängde WikiLeaks-ledaren Julian Assanges konto var ute i 33 timmar, men andra var offline i bara minuter.
Medan Paul Sop, CTO för DDoS-försvarsspecialisten Prolexic, instämde i att nedtagning av ”broschyrwebbplatser” har liten inverkan på slutresultatet, sa han att det kan finnas sidoskador som kostar miljontals pund.
Att ta ut ett nätverk kan skada ett annat system, vilket är vad många antar hände med MasterCard, eftersom dess SecureCode-autentisering också var nere dagen för attacken. Och även om PayPals blogg drabbades av attacken, hade dess transaktionssystem också problem den dagen.
Sofistikerat eller enkelt?
Trots en sådan ”framgång” ses Anonymous metoder som ”osofistikerade”, särskilt dess användning av den allmänt tillgängliga mjukvaran Low Orbit Ion Cannon (LOIC). ”Det är inte alls sofistikerat. Om du har 10 000 personer som använder det samtidigt kan det orsaka problem, men inte för att det är riktigt sofistikerat”, säger PandaLabs tekniska chef Luis Corrons.
Den första versionen av LOIC krävde att användarna matade in målplatsen, men de senaste utgåvorna låter användare lämna över applikationen till Anonymous kommando- och kontrollcenter, kallat Hive Mind.
”Du kan faktiskt titta när den används av andra, vilket ger en marionettmästare typ av kontroll,” sa Sop. ”Det är traditionell botnets kommando- och kontrollarkitektur.” Det finns också en webbläsarbaserad JavaScript-version, komplett med rullgardinsmenyer för att välja attackmål.
Sådan automatisering kan tyda på bristande skicklighet, men Prolexics Sop säger att LOIC har utvecklats till att inkludera funktioner som kryptering, vilket hjälper attacken att undvika DDoS-filter. ”De här killarna gör mer än vi har sett på flera år från andra attackerande källor,” sa han.
Anonymous har också utvecklats från att köra grundläggande översvämningsattacker, som ”stoppar på motorvägen” med så många klick som möjligt, till mer komplicerade typer som riktar in sig på applikations- och tjänstelager.
”Det [flooding] är som att ringa upp det lokala pizzeriaet och bara försöka översvämma det med samtal, blockera det så att inga andra samtal kan komma fram”, förklarade Craig Labovitz, chefsforskare på Arbor Networks.
”Den andra typen av attack är applikationslagsattack eller servicelagerattack. Du kommer att få personen i andra änden av linjen att göra så mycket arbete som möjligt. Det är inte bara att ringa pizzastället, det är att beställa flera pizzor med komplicerade pålägg, riktigt esoteriska ingredienser.”
På webben kan det innebära att man riktar in sig på en sidas sökfunktion för att lägga stress på servrarna.
Varför anonym fungerar
Även om Anonymous inte består av – för det mesta – professionella cyberbrottslingar, är det svårt att försvara sig mot en grupp organiserad på ett sådant sätt. ”Det är ett fenomen från publiken”, sa Sop.
