Som du ser är vår webbplats inte anpassad för äldre webbläsare. Vi rekommenderar att du uppgraderar till en nyare webbläsare.

Uppdaterad | Publicerad

Omfattande attacker mot Internet i Estland

Sitic gör följande reflektioner om incidenten med attacker mot estniska statens Internetnärvaro i samband med upploppen i Tallinn.

Ett antal Estländska myndigheters webbplatser blev angripna den 30:e april, via Internet, i samband med upplopp runt flytten av en staty. Angreppen pågår fortfarande, och har påverkat bland annat regeringens, parlamentets och utrikesdepartementets webbservrar. Angreppen består av överlastningsattacker (DoS), massinskick av skräppost (spam) och webbplatsförvanskningar (defacements). De datorer som används i attackerna är huvudsakligen hemanvändares system vars aktiviteter styrs från datorer som uppenbarligen finns i Ryssland.

Att ett antal av de angripna systemen snabbt kunnat återställas, om än med begränsad funktion, visar på värdet av att ha en god incidentberedskap mot denna typ av angrepp. Både internationella och privata incidentresponsgrupper (CSIRT) och operatörer har varit aktiva i hanteringen av incidenten.

Attackens förlopp har varit enkelt att studera, då angriparna inte verkat vilja dölja sina handlingar. Nätverkstrafik har varit möjlig att följa direkt under tiden attackerna skett, för individer och organisationer med kontinuerlig övervakning. Denna övervakning är det som larmat om behovet av övergång till funktioner med en tekniskutformning av enklare men mer robust slag.

Tekniken som använts för att genomföra angreppet, botnets, hämtar sin styrka ur det faktum att ett stort antal kontrollerade maskiner kan synkroniseras att angripa simultant. Sådana botnets skapas oftast av i förväg övertagna datorer ägda av hemanvändare. Attacken mot Estland understryker att informationsarbetet mot dessa hemanvändare är av vikt inte enbart för användaren själv, utan även för samhället i stort.Om hemanvändaren effektivt skyddar sin egen maskin, är denna typ av attacker svårare att åstadkomma.

Anmärkningsvärt i förloppet är hur pass viktigt delandet av information internationellt har varit för att skapa en tydlig angreppsbild. Sitics bild av förloppet baseras delvis på helt publika källor, men också på information som blivit tillgänglig genom formella och informella direkta kontakter med andra organisationer. Den kompletta bilden av angreppet är möjlig att få endast med information från flera länder, och för att snabbt kunna samla in den krävs mycket goda relationer internationellt.

Sitic medverkar löpande i hantering av incidenter som orsakas av botnets, skadlig kod och webbplatsförvanskningar. I detta fall har Sitic kontaktat svenska operatörer för nedsläckning av maskiner som deltar i botnets från Sverige.

Estlandshändelsen är unik på många sätt, inte minst i sin skala, men är ändå ett bra exempel på att både informationsarbete och snabb respons tillsammans är kritiska faktorer i samhällets skydd mot incidenter.