Möller Insights – ”Telia åter i rollen som Felia efter DDos-attack”

Möller Insights publiceras varje vecka och är ett sammandrag av intressanta och tänkvärda händelser i säkerhetsbranschen. Bakom dessa insights står Fredrik Möller som är vd på Intel Security i Norden och Baltikum och dessa nyheter är ett axplock ur hans twitterflöde @MollerFredrik.

Veckans sammandrag handlar om DDos-attack mot Telia

Telia åter i rollen som Felia efter DDos-attack
I förra veckan gick internet sönder, det handlade inte om Kim Kardashian på framsidan av Paper Magazine utan en DDos-attack mot Telia Sonera. Samtliga av Telias kunder förlorade uppkopplingen mot internet. Lizard Squad som tog på sig attackenpåstod sig ha varit ute efter att primärt sänka EA och deras spelservrar för Battlefield. Det är inga uppgifter som är bekräftade och det är egentligen inte en speciellt intressant aspekt av den här berättelsen, vad som är intressant är hur bräcklig vår kritiska infrastruktur är.

Telia utsattes inte bara för en, utan två attacker inom några dagar och deras beredskap må ha varit bättre men attacken lyckades återigen dränka deras DNS-servrar med information så att internet gick ned. Det här visar även på en upptrappning av nyttjandet av DDos som ett vapen för att utföra attacken. Traditionellt sett brukar målet vara ett specifikt företag, myndighet eller liknande som utsätts för en överbelastningsattack. I det här fallet påverkar man samtliga av Telias kunder som blir utan internetuppkoppling.

Även om en DDos-attack i sig inte är speciellt avancerad så tyder det här även på att dessa botnät växer sig allt starkare. Det är ju väsentligt mycket enklare att sänka en viss organisation, men en operatör som Telia har extrem kapacitet och mängden data som måste skickas till deras DNS-servrar är astronomiska. En oväntad konsekvens av attackerna var även att kunder med ip-telefoni hade svårigheter att ringa 112. Många privatpersoner med trygghets- och inbrottslarm som kopplas upp via ip-telefoni påverkades.

Telia är Sveriges största leverantör av bredband och mobilabonnemang och en mängd företag och myndigheter är kunder hos Telia. Deras kommunikationsroll i Sverige är således avgörande och det ska inte gå att utföra en DDos-attack på det här sättet. Deras funktion bör hanteras som samhällskritisk och såväl denna som andra typer av attacker ska inte vara möjliga. Självklart är det enkelt för mig att skriva så, men det är i många fall extremt komplext att försvara sig mot en sådan attack då många öppna DNS-servrar har en avgörande roll för att internet ska fungera.

Det ska helt enkelt inte vara möjligt för en grupp som kallar sig ”Lizard Squad” att koppla ned internet i Sverige efter en enklare attack. Jag anser samtidigt inte att Telia bär det här ansvaret själva, utan precis som annan kritisk infrastruktur försvaras så bör även operatörer omfattas av samma skydd. Traditionellt sett så är det el och infrastruktur som hanterar vattenkraft, basstationer och kärnkraftverk som får det högsta skyddet i Sverige. Jag ser dock den gångna veckan som ett bevis för att avsevärt mycket rigidare skydd och beredskap även bör innefatta vissa privata bolag vars tjänster kan klassificeras som kritiska.

PTS har haft krismöte med de olika operatörerna i veckan och de lyfter just de här frågorna. Hur beredskap och skydd ska förbättras när operatörer i allt större utsträckning blir mål för attacker. Det ska bli intressant att följa hur de senaste veckornas händelser kommer att påverka beredskap mot denna typ av attacker i framtiden.

Men samtidigt som PTS arbetar för fullt så är det väldigt tyst från MSB – läser inte de tidningen längre?

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik