Værktøjet LOIC er overraskende simpelt og deltagerne i DDoS-aktionerne mod MasterCard kan nemt spores. Sådan konkluderede hollandske forskere, da de fandt ud af, at de forskellige udgaver af DDoS-værktøjet ikke forsøger at skjule IP-adresserne på personer, der deltager i angrebet.
Det er både desktop-versionen og web-udgaven af Low Orbit Ion Cannon (LOIC), der blotter IP-adresser, så myndighederne nemt kan fange netaktivisterne. Hollandsk politi har allerede fanget en 16-årig og en 19-årig. De har begge indrømmet medvirken i hævnaktioner mod firmaer og personer, der kom på tværs af whistleblowerne i Wikileaks. Strafferammen for deres forbrydelse er på helt op til seks års fængsel.
Det er hollandske forskere fra Universitetet i Twente, Enschede som i en ny rapport kigger nærmere på værktøjet, som Anonymous har brugt til at sende tusindvis af forespørgsler til servere på præcis samme tidspunkt og dermed overbelastet dem. Forskergruppen, der er ledt af it-professoren Aiko Pras, blev overrasket over, hvor simpelt LOIC er sat op.
Bliver jeg fanget? Nej! Eller...?
Konklusionen lyder, at medlemmerne af Anonymous er langt fra anonyme. Det har en god del af aktivisterne nok ellers troet. I FAQ'en for LOIC stod der:
Q: “Will I get caught/arrested for using it?”
A: Chances are next to zero. Just blame you have a virus, or simply deny any knowledge of it.
Hvis spørgsmålet i stedet var, om brugere af LOIC kan spores, så er svaret ja, siger forskerne. Undtagelsen er selvfølgelig brugere, som egenhændigt har skjult sig bag falske IP-adresser. For andre kan myndighederne med hjemmel i EU-regler, der tillader brug af IP-adresser til efterforskning af alvorlig kriminalitet, finde frem til ejeren af en IP-adresse, der har været brugt til at nedlægge hjemmesider.
Den kradse konklusion - og slet skjulte latterliggørelse - af Anonymous i rapporten følger her:
"Det stod klart, allerede i den første analyse, at værktøjet ikke tager forholdsregler for at skjule angriberens oprindelse. Det betyder, at angriberens IP-adresse er inkluderet i de pakker, der bliver sendt til ofret. Angrebets simple sammensætning kom som en overraskelse, eftersom teknikker til at skjule angreb allerede er kendt. Et eksempel er IP-forfalskning, der erstatter angriberens oprindelige IP-adresse med en falsk," skriver forskerne i rapporten.
Forskerne opsummerer:
"Basalt set: For den almindelige bruger af LOIC-værktøjet svarer det til at få ham til at sende et trusselsbrev med en afsenderadresse bag på," skriver hollænderne i rapporten.
To udgaver af LOIC
Rapporten gennemgår også to udgaver af LOIC i detaljer. Værktøjet eksisterer i desktop-version, som ved at kommunikere med Anonymous over en IRC-protokol (Internet Relay Chat) kan medvirke i et DDoS-angreb. De enkelte computere, der er koblet på, kan så sende forespørgsler til bestemte IP-adresser og porte. Det sker med enten TCP (Transmission Control Protocol), UDP (User Datagram Protocol) eller den mere almindelige HTTP (Hyper-Text Transfer Protocol). LOIC kan sættes op til både manuel indstilling eller en automatisk indstilling, hvor mål for angrebet og andre detaljer indsættes fra centralt hold over en IRC-kanal. Angribernes IP-adresser skjules ikke.
En webudgave af LOIC, der blev lanceret den 9. december, skjuler ligeledes ikke angribernes IP-adresser, skriver forskerne fra Holland. Web-udgaven - kaldet JS LOIC - kan kun angribe over HTTP-protokollen og kræver en manuel indstilling af værktøjet, hvor angriberne selv indsætter oplysninger på offeret.
LOIC er oprindeligt et værktøj til at stress-teste hjemmesider.