Skønt en række højtprofilerede hackere med tilknytning til Anonymous nu er anholdt, vil bevægelsen fortsætte sine aktiviteter. Det spår Shehzad Ahmad i denne klumme fra Computerworld.
Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
"Vi kapper hovedet af LulzSec," lød det fra en FBI-mand, da organisationen tidligere på måneden offentliggjorde anklagerne mod seks personer.
Den mest prominente tiltalte er den formodede leder af hackergruppen, der hidtil kun har været kendt under kodenavnet Sabu.
LulzSec opstod sidste år som en udløber af Anonymous-bevægelsen.
Tiltalerne mod de seks kom i kølvandet på en international politiaktion, hvor 25 blev anholdt mistænkt for at have deltaget i Anonymous' angreb på websteder.
For en traditionel bande forbrydere er det et dødbringende slag, når dens ledere bliver taget at politiet. Det ved myndighederne efter mange års bekæmpelse af organiseret kriminalitet.
Men med Anonymous ser det anderledes ud. Jeg venter ikke, at de seneste politiaktioner får Anonymous til at standse aktiviteterne.
Årsagen er, at Anonymous og LulzSec som fænomen er forskelligt fra mafiaen og anden organiseret kriminalitet.
Det betyder også, at vi som it-sikkerhedsfolk skal lære at håndtere en ny type trussel.
Bevægelse uden mål
Anonymous voksede ud af 4chan, et online forum for debat og udveksling af billeder.
I 2003 blev gruppen dannet; i begyndelsen blandt andet med det formål at angribe religionen Scientology.
Som organisation er Anonymous svær at få hold på. Den har ingen ledelse.
Der er intet fælles formål eller programerklæring. Dog blev der for nylig offentliggjort en "Declaration of the Independence of CyberSpace" inspireret af et skrift af John Perry Barlow fra 1996. Medlemmerne betaler ikke kontingent.
I blogserien "Building a Better Anonymous" skriver Josh Corman og Brian Martin, at man snarere skal se Anonymous som et varemærke, et brand.
Men i modsætning til virksomhedsejede varemærker kan enhver bruge Anonymous-navnet. Det gør det også svært at vide, om de, der hævder at repræsentere Anonymous, reelt gør det.
Det giver altså ikke mening at se på gruppen ovenfra med analyser af idegrundlag og personsammensætning. Lad os i stedet angribe problemet nedefra ved at se på gruppens handlinger.
Spredte angreb
Anonymous har siden 2006 angrebet et websted tilhørende en racist, skaffet bevismateriale mod en sexforbryder, demonstreret mod Scientology og åbnet et websted til støtte for oppositionen i Iran.
Folk fra Anonymous har også angrebet debatfora, efter at de har følt sig fornærmet af deres brugere. Og de angreb en teenagers websted, der har til formål at bekæmpe brugen af bandeord.
De senere år har gruppen udført ude-af-drift-angreb (DDoS, Distributed Denial-of-Service) mod en række organisationer. Det er blandt andet gået ud over offentlige myndigheder og virksomheder med interesser inden for ophavsret.
Dette driver Anonymous-hackerne
Hvis man skal finde en fællesnævner i gruppens aktiviteter er det, at medlemmerne er drevet af et fælles engagement:
Anonymous-støtterne samler sig om en sag og bruger våben som hacking og DDoS i kampen.
Sagen handler ofte om ytringsfrihed og bekæmpelse af misbrug af internettet.
Skønt Anonymous anvender kendte hackermetoder, adskiller deres metoder sig på nogle områder fra dem, de almindelige kriminelle anvender. Det viser en analyse fra sikkerhedsfirmaet Imperva.
Et angreb starter med rekruttering. Gennem beskeder på Twitter, Facebook og YouTube offentliggør initiativtagerne, hvem de har planer om at angribe. Hvis nok frivillige melder sig, går de i gang med at identificere sårbarheder i det tiltænkte offers it-systemer.
Målet er i første omgang at få fat i data. Det har ændret sig gennem årene. Tidligere gik Anonymous i højere grad efter at genere ved at sætte websteder ud af drift.
Men erfaringen viser, at det giver mere presseomtale, hvis man kan få fat i data. I nogle tilfælde er dataene i sig selv spændende, hvis det for eksempel er fortrolige oplysninger fra en efterretningsvirksomhed. Ellers vil offeret under alle omstændigheder få udstillet sin mangelfulde it-sikkerhed.
Derimod ser man ikke Anonymous bruge botnet, skadelige programmer eller phishing – alle metoder, der er populære hos de kommercielt drevne it-kriminelle.
Ingen grund til at stoppe
En normal kriminel bande er underlagt nogle økonomiske love. Der er plads til et begrænset antal medlemmer, fordi de skal deles om rovet.
Sådan er det ikke med Anonymous. Det koster ikke noget at deltage, og de fleste deltagere får ikke noget ud af det økonomisk.
Derfor vil anholdelserne ikke føre til, at Anonymous nedlægger sig selv. Tværtimod vil de tilbageblevne og de nysgerrige, der endnu ikke har været aktive, igen kaste sig ud i kampen.
De kan kun se anklagerne som et tegn på, at de har ret: Det etablerede samfund er ude efter dem, og de har en ret til at kæmpe for det, de tror på – hvad det så ellers er.
Som ansvarlig for informationssikkerhed kan du derfor ikke sove roligt på grund af anholdelserne. I stedet skal du mindske risikoen ved at identificere og fjerne sårbarheder i jeres it-systemer.
Og så skal du have en beredskabsplan for, hvad du gør, når angrebet en dag rammer jer.
Oprindelig offentliggjort i avisen Computerworld den 23. marts 2012 og på Computerworld Online den 26. marts 2012
LINKS
EXCLUSIVE: Infamous international hacking group LulzSec brought down by own leader
"Building a Better Anonymous" Series: Part 1
Imperva's Hacker Intelligence Summary Report: The Anatomy of an Anonymous Attack
A Declaration of the Independence of CyberSpace
Denne klumme på Computerworld Online