Dra inga förhastade slutsatser om Ryssland och Nordkorea

Under de senaste veckorna har Socialdemokraternas webbplats utsatts för överbelastningsattacker. I samband med detta har media kommunicerat vilka länder som anslutningarna kommer från, vilket olyckligtvis kan ha lett till förhastade slutsatser.

När en webbplats utsätts för överbelastningsattacker syns de involverade datorernas IP-adresser i serverloggarna. IP-adresserna avslöjar både vilken operatör och vilket land som anslutningarna kommer från. Under den senaste attacken kom anslutningarna framförallt från Ryssland och Nordkorea. Detta innebär dock inte att vare sig Ryssland eller Nordkorea har något med attacken att göra.

I en överbelastningsattack används vanligtvis massvis av datorer som kan vara utspridda över hela världen. Dessa datorer är infekterade med skadeprogram som ansluter dem till ett så kallad botnät. Botnätets administratör säljer datorernas kapacitet till de som vill göra en webbplats oåtkomlig genom överbelastningsattacker. Varken botnätsadministratören eller attackköparen behöver befinna sig i samma land som de attackerande datorerna.

Enligt en intervju med DN uppger Socialdemokraterna att partiets IT-leverantör har spårat IP-adresserna till Ryssland och Nordkorea. Det är synnerligen allvarligt ifall IP-adressernas ursprung är den enda bakgrunden till att de nämnda länderna målas ut. För det första behöver inte attacken vara statsunderstödd. Det kan vara initierad av valfri intresseorganisation. För det andra behöver intresseorganisationen inte ha någon koppling alls till vare sig Ryssland eller Nordkorea. De kan ha valt att hyra ett botnät med många datorer där (eller ett botnät som fejkar sina anslutningar därifrån).

Vissa botnät har kända administratörer. Huruvida IT-leverantören kände igen botnätet och kunde dra en slutsats om dess administratör är tyvärr okänt. Jag kontaktade Socialdemokraternas pressavdelning för att försöka få klarhet i frågan. De kunde tyvärr inte ge tydligare svar än det som kommunicerats i den tidigare länkade artikeln (d.v.s. att det är IP-adresserna som har spårats).

Kom ihåg! De attackerande datorernas IP-adressers hemmahörande säger inget om attackens administratör och än mindre om vem som har beställt attacken. Dra inga förhastade slutsatser i väntan på tydligare information.