Da it-chefen Peter Naumann forleden oplevede, at it-kriminelle fra Fjernøsten angreb hans virksomhed, Pharmakon, valgte han at installere et automatisk IP-filter, der udelukker suspekte IP-adresser.
Filteret kaldes i visse it-kredse for et "racist-filter," siger Peter Naumann, fordi IP-adresserne ofte er fra Østen - og så kan filteret blokere, hvis man ønsker det, blokere for IP-adresser fra et helt land.
It-chefen fra Nordsjælland oplever, at flere it-chefer i hans bekendtskabskreds vælger filterløsningen. Han kender eksempelvis til en it-chef fra en større dansk virksomhed, der også har fået installeret filteret. Det skete efter et angreb, hvor angriberne for et år siden opkrævede løsepenge for at stoppe angrebet. I stedet for at betale de lyssky kriminelle, installerede virksomheden det automatiske filter.
Angreb på Asterix-server
Peter Naumann opdagede selv angrebet mod hans arbejdsgiver, da han en dag forleden ikke kunne komme på en server. Det viste sig, at it-kriminelle var i gang med et angreb på firmaets store Asterix-server, der kører på Linux og fungerer som PBX, altså telefoncentral.
"Den får den helt store tur. Det gør, at de andre systemer også kører dårligt. Det tager næsten hele båndbredden på 200 Mbit/s," forklarer Peter Naumann.
Han hentede hjælp hos firmaet Netteam, som via firmaets firewall lukkede den angribende IP-adresse ude.
"Der gik to timer, og så kom der et angreb fra en ny IP. Så tænkte vi øv, og så måtte vi få filter på," beretter Peter Naumann.
Filteret koster 50.000 kroner
Et filter er en dyr løsning på 50.000 kroner, forklarer direktør Peter Durup fra Netteam. De fleste gør derfor som Peter Naumann og får det først installeret, når de bliver angrebet.
Peter Naumann ved ikke, hvorfor hans virksomhed blev angrebet. Eftersom serveren, der blev angrebet, fungerer som PBX, spekulerer han på, om de it-kriminelle ville bruge den til at ringe op til andre fra med telefon-scams, hvor de tilbyder falske præmier og andre fupnumre.
"De mennesker, som laver spam, de skal jo bruge noget at ringe fra. Jeg ved ikke, om det var et forsøg på at ringe fra vores PBX," siger han.
Peter Durup har hjulpet 10 til 15 virksomheder med at installere filteret. De beder som regel først om hjælp, efter de har været udsat for et angreb. IDS-systemet overvåger trafikken, der tilgår virksomheden, og hvis IP-adresser har nogle mærkelige forespørgsler, der falder uden for et sædvanligt mønster, blokeres IP-adressen i virksomhedens firewall. Nogle gange blokerer Netteam for hele IP-ranges, altså blokke af IP-adresser, for at stoppe et angreb, hvor angriberne skifter IP-adresser.
Østens hackere
"Angrebene er kommet fra Østen. De kommer altid derfra. Det er Thailand og Kina, vi ser oftest," forklarer Peter Durup.
"Jeg tror, at der ligger en stor sport for unge mennesker derude i verden. Du kan jo finde alle mulige værktøjer derude på nettet, og så kan du forestille dig en skole, hvor de sidder i derude i verden, og så kører de løs," vurderer Peter Durup.
Det er altså ikke altid kriminelle, men også lømler, tror han. Han anerkender, at en del af angriberne er hårdkogte kriminelle, men har ikke hørt om tilfældene, hvor it-kriminelle opkræver løsepenge for at stoppe et angreb.
