Onsdag i forrige uke ble Statens vegvesens IKT-struktur utsatt for et massivt angrep.
Et botnett sendte millioner av forespørsler mot internettforbindelsen deres.
For å sikre at vegvesen.no skulle fungere, valgte driftsavdelingen å sperre for utenlandske tilkoblinger.
– Et av tiltakene som ble iverksatt var å blokkere trafikken utenfor Norge. Tjenestenektangrepet har vært pågående siden mandag, og det kommer i bølger. Vi ønsker ikke å gå i detalj på hvordan vi har forhindret angrepene, da det vil gjøre angriperne bedre rustet neste gang, sier Thomas Nomme, leder for operativ IKT-drift i Statens vegvesen.
Leverte tjenester under angrepet
Selv om vegvesen.no var sperret for trafikk fra utlandet, klarte de å levere tjenester i Norge.
– Vi distribuerte lasten over flere noder for å gjøre den store trafikkmengden håndterbar. I forhold til normal situasjon var det et betydelig trykk på serverne våre. I dag er trafikkbildet relativt normalt, sier sikkerhetsekspert Svein Erik Søberg i vegvesenet til digi.no.
– Det har medført at de internettbaserte tjenestene går treigere, men angrep som dette er ikke uvanlig, sier leder for kommunikasjon Eirik Andersen i Ruter til digi.no.
Ruter opplever stadig angrep
De har nemlig vært utsatt for tjenestenektangrep tidligere. Flere ganger.
– Det er dessverre sånn det har blitt. Det er selvfølgelig veldig synd, men det er blitt en del av det IT-avdelingen vår må håndtere. Vi jobber kontinuerlig for at våre internettbaserte tjenester skal være sikre og robuste, og at de skal ha den oppetiden man ønsker. Det er dessverre ikke mulig å gardere seg helt mot denne type angrep. Vi jobber aktivt sammen med våre leverandører for å forbedre håndteringenen av trafikk, og vi tuner og tilrettelegger jevnlig.
Ruter opplyser at de sammen står klare med sine leverandører om beredskapsplaner, dersom det skulle vise seg å bli nødvendig. De opplyser også at de forholder seg til rådene som blir gitt av Nasjonal sikkerhetsmyndighet (NSM).
– Et tjenestenektangrep kan ikke forhindres. Når det pøses på med pakker - som i et standard SYN-flood eller NTP-angrep - er det alltid det samme som overbelastes. Enten det er minne eller CPU på serveren, eller brannmuren som kneler, sier NSMs avdelingsdirektør Hans Christian Pretorius til digi.no.
- Mange ulike angrep: Lærdom fra tidenes DDoS-anslag i Norge
– Kan bruke scrubbere
– Å stenge for all utlandstrafikk vil veldig ofte løse problemet. Det er også mulig å bruke scrubbere som siler ut en viss type pakker som skaper støy.
En scrubber har mulighet til å sortere ut uønsket trafikk. Den har en enorm kapasitet, og kan ifølge Pretorius sortere datapakker på alle mulige nivåer. Blant annet kan man sperre ute IP-ranger og protokoller man ikke ønsker å slippe gjennom.
Det er vanlig at internettleverandørene (ISP) sitter på denne type utstyr, opplyser han.
– Derfor er det veldig lurt å ta kontakt med ISP-en om man er en liten bedrift. De kan som oftest hjelpe til med å sørge for at man ikke kneler helt under den uønskede trafikken. Det er vel det beste rådet en driftsansvarlig kan ta med seg, konkluderer han.
- Pågrepet og siktet: Norsk 17-årig tilsto omfattende DDoS-angrep
– Aldri vært så ille før
Vegvesenet har opplevd lignende tjenestenektangrep tidligere.
Derimot har det aldri vært så ille som det var i forrige uke.
– Dette er en situasjon vi følger nøye med på. Erfaringsmessig har vi nok sluppet billig unna tidligere. Vi har aldri opplevd noe i denne skalaen. Angrepet ble håndtert med standardtiltak, som ikke krever de største implementasjonene for oss å håndtere, så vi håndterte angrepet selv. Om dette er noe som vedvarer, må vi se på om vi skal raffinere metodene som benyttes, sier Nomme.
Driftslederen sier at det i starten av angrepet var helt nødvendig å sperre trafikk fra utlandet.
– Det er sjeldent angrep som dette kommer fra Norge, og det gjorde det ikke denne gangen heller. Vi har relativt få brukere i utlandet i forhold til i Norge. Det var derfor greit å stenge tjenestene fra utlandet for å kunne levere stabilt i Norge. Det ble også raskt åpnet for våre største konsumenter utenfor Norge. Det er begrenset hvor lenge et tjenestenektangrep varer. Ofte er det kjøpt trafikk som kommer i bølger før det skrus av, konstaterer han.
