Två stora misstag
– Vi på Cert-EE gjorde två stora misstag, som jag ser det. Vi tänkte att ”det är väl bara att stänga utlandets åtkomst till Estland” genom att stänga av åtkomsten till port 80, vilket skedde den 29 april.
Vi hade nästan inga lokala attacker eftersom polisen var redo att arrestera alla som attackerade staten. Det förstod främmande makt och lät alla attacker komma utifrån. Tyvärr stängde vi samtidigt av omvärlden åtkomst till alla nyhetssajter, och världen var ju väldigt intresserad av vad som hände i landet. I praktiken blev Estlands nyhetssajter och banker oåtkomliga utifrån. Vi trodde vi var säkra, men nyhetsbyråerna saknade plötsligt indata. Tv-stationen Euronews började använda ryska filmbilder, vilket var ett stort misstag – numera räknas de som förrädare.
– Vi på Cert-EE hade inte gjort upp noggranna listor över nyckelpersoners kontaktinfo. Vi hade inget fast kontaktnät, och det ledde till att vi förlorade två dagar. Det måste finnas en hierarkisk struktur på alla företag som kan agera i en sådan situation.
– Dessutom hade ungefär 40 procent av alla statstjänstemän ryska som modersmål. Kunde vi lita på dem? Det visade sig efteråt att de varit lojala mot staten.
50 attacker per dag
Under måndagen den 30:e började Anto Veldre kalla samman säkerhetsfolk och sammanställa listor på resurser som attackerats. I normala fall attackeras cirka 20 nya sajter varje månad, men under den här perioden noterades cirka 50 attacker varje dag.
– Det gick rykten i väst om att samhället var helt lamslaget. Det är inte sant. Jag kunde komma åt mitt bankonto, långsamt, men det gick. Statoil stängde sitt betalnät under fyra dagar så man var tvungen att betala bensinen med kontanter. Någon försökte bryta sig in i isp:ernas core-routrar, varvid beslutsfattarna överreagerade, men glömde meddela detta till allmänheten. Vissa banker stängde sina tjänster, vilket slog mot den vanliga, lilla människan. Det här ledde till att västliga media rapporterade att alla penningtransaktioner hade stoppats.
Finland tvättade trafik
Eftersom Estland får mycket av sitt internet från Finland, hade landet redan tidigare ett avtal med finnarna om att få banktrafiken tvättad. Den allra största mängden externa attacker silades bort redan i Finland.
Annat var det med det offentliga internet.
– Det tar en timma att bygga upp och implementera en svartlista och lika lång tid att göra om cykeln. Främmande makt förstod detta och började köpa bot-attacker mot nya ip-adresser på timbasis. Det här krävde mätning av vår reaktionstid. Klarade en script-kiddie det 2007? Nej. Fienden var it-specialister.
Stora företag hade redan på ett tidigt stadium börjat aktivera servrar i Finland. Genom att placera servrar i andra länder kan man avleda attackerna mot sitt eget land.
– Med ddos kan man översvämma servrar och brandväggar och fylla upp tillgängliga ledningar. Det är dumt att försöka försvara sig mot det här på hemmaplan. Det är bättre att betala och låta isp:n sköta det.
Ett alternativ är att använda Akamai för publika webbservrar. De har en särskild post på sin prislista kallad ”Site under ddos”, och de klarar obegränsad attacktrafik, men ju mera trafik, desto mera kostar tjänsten. Till sist kanske det inte lönar sig. På grund av banksekretessen kan man inte heller ha bankservrar hos Akamai, säger Anto Veldre.
– Det förekom ip-adresser från ryska regeringsinstitutioner i attackerna. Nästa gång kommer man kanske att göra på annat sätt. Attacken mot Georgien var mycket bättre planerad. Hela landets kommunikationer föll samman exakt samtidigt som den militära insatsen började.
Vem är ”främmande makt”?
Cert-EE har inga bevis för att attackerna 2007 koordinerades från Ryssland, även om esterna allmänt antar att det var så. Det fanns ip-adresser i flödet från maskiner i Kreml, men det behöver inte betyda att Vladimir Putin gav ordern, bara att maskinerna var smittade med lämplig trojan.
Det är emellertid märkligt att den enorma mängden attacker började och slutade exakt samtidigt om de inte var koordinerade. Därför använder vi uttrycket ”främmande makt” i den här artikeln.
