TechWorlds chefredaktör Magnus Aschan har träffat en it-chef, som vill vara anonym, och pratat om hur det gick till när hans organisation attackerades, hur de märkte av det, vilka problem de ställdes inför och hur de arbetade för att stå emot attacken.

Som ansvarig, hur känns det att bli ddos:ad? Hur reagerade din it-personal?

- Saken är den att vi inte vet exakt vad vi råkade ut för de där dagarna. Det här är och kommer säkert alltid vara den svåraste punkten för många icke-inblandade att förstå - hur kan något ske, en reaktion i form av exempelvis nedtid på tjänster inträffar och sen kan man inte säga exakt vad som sker eller skett?

Men det är så det är när man måste hålla en balans i att så snabbt som möjligt komma upp med tjänsterna igen och samtidigt försöka säkra "bevis" och se över loggar och konsoller för att hitta exakt vad som händer. Oftast är det det senare som får stryka på foten. Med följden att man ofta aldrig kan ta reda på vad som exakt skett. Så just nu är frågan inte relevant eftersom vi inte kan säga med säkerhet att det är just en denial-attack som skett.

Med det sagt... och med risk för klichévarning så ingår det i jobbet, både för it-chefen såväl som tekniker. Det är ingen som sitter och väntar på problem oavsett typ, när, var eller hur, men när det väl händer så är vi vana vid att att hoppa in med huvudet före. Så vad gäller de killar och tjejer som blir aktiverade och börjar jobba så sker inte reflektionen vid händelsen, den sker efteråt. Och i skrivande stund är vi inte riktigt där än.


Hur såg förloppet ut i stora drag? Var ni förvarande på något sätt?

- I detta specifika fallet så var vi en av de första eller åtminstone hade inte allt satt igång publikt så inget fanns på rapporterande sajter eller dagspress att något skedde på större skala. Vi såg att våra webbservrar larmade om att de var nere, sen dök samtliga system som har med online att göra. Dock fungerade våra redundanta förbindelser ut för resterande system, vilket inte brukar vara typiskt i en denial-situation då mängden trafik är avgörande.

Sen såg vi att någon halvtimme efter att det började rapporteras på fler sajter vilket gjorde att jag började ta kontakt med de jag fick tag i på dessa företag och försökte få fram mer information som vi kunde hjälpa varandra med. Under tiden vi var nere så tog vi ned och upp viktiga och redundanta delar i vår onlinemiljö, man kan se dem som en kedja där brandvägg är första delen, sen kommer lastbalanserare och så vidare. Men så fort en var omstartad eller rensad och tog över för den som för tillfället var nere, så dog den också efter bara några minuter.

Och så höll vi på ett tag tills vi insåg att det bara var slöseri med tid och händer; det var bättre att ta in vår säkerhetspartner så fort som möjligt och börja göra större infrastrukturella förändringar. Vi bytte till starkare nätverkskort, förändrade brandväggsregler, tog kontakt uppströms med vår ISP osv. Tillslut gjorde en delmängd av alla dessa förändringar att vi kom upp igen.


Kan du berätta lite om tekniken bakom angreppet? På vilket sätt sänktes sajten?

- Det hade varit härligt att bara kunna svara rakt upp och ned, men jag får hänvisa till det jag säger om balansen mellan att komma upp med tjänsterna versus kunna ta sig tid för att spåra, loggläsa och hitta orsaker på djupet. Eftersom vi alltid vill ha upp våra tjänster så fort som möjligt har jag inget svar på frågan.