"Attacken dyrköpt lärdom"
Mediekoncernen Stampen hade alla ägg i samma korg. Det var en av förklaringarna till att hackare kunde stänga ned samtliga koncernens webbtidningar.
Relaterat
VLT, GP, Nerikes Allehanda var några av det 40-tal titlar som på torsdagen var osynliga på nätet under sju timmar. Anledningen var en så kallad DOS-attack mot Basefarm, det företag som hanterar Stampens driftsservrar.
När Stampen valde att centralisera all sina servrar var koncernen medveten om riskerna.
- Man har en ökad sårbarhet när man centraliserar. Samtidigt kan man bygga en mycket säkrare lösning när man har allt på ett ställe. Det finns ett plus och ett minus, säger Inge Olausson, ansvarig för Stampens IT-utveckling.
Fanns det ingen ”katastrofserver”, så att man åtminstone kan få ut en primitiv version av tidningarnas webbsidor?
- Det har funnits en backuplösning hos Basefarm. Varför den inte har fungerat ska vi ta reda på nu.
Även backupserven sköttes alltså av Basefarm, vilket gjorde att den också omfattades av attacken. Inge Olausson säger att Stampen nu ska överväga om man ska leta efter en annan lösning.
Har den här attacken varit lärorik?
- Ja, men det var en dyrköpt lärdom. Goodwillmässigt är det inte bra, säger Inge Olausson.
Myndigheten för samhällsskydd och beredskap ser allvarligt på nedsläckningen av Stampen-nätet, då medierna har en viktig roll att fylla i en krissituation.
– Det är oerhört viktigt att medieföretagen har ett systematiskt säkerhetsarbete, säger Helena Andersson på enheten för informationssäkerhet på MSB.
En DOS-attack innebär att någon förmår ett stort antal datorer att skicka frågor – anrop – till de datorer som utgör målet för attacken. När belastningen överstiger en viss gräns kollapsar systemet.
Enligt Stampen mottog servrarna som mest 100 000 anrop i sekunden, mot normala 800.
Datorerna som deltar i attackerna gör det oftast helt utan innehavarens vetskap. Ofta är de infekterade av en så kallad trojan, ett virus som instruerar dem att anropa målet för attacken.
Även företag utanför Stampengruppen, som TV4 och com hem drabbades av nedsläckningen.
Senaste kommentarerna:
Skrivet 29 okt 2009 18:27 Mats
Jag vet inte om jag ska skratta eller gråta? Vem har gjort säkerhetsanalysen egentligen? På det sätt som lösningen är uppbyggd är den ju extremt sårbar för alla typer av överbelastningsattacker. Det är ganska enkelt att dela upp tidningarna så att varje tidning får en egen ipadress och en egen fysisk brandvägg. Skulle då en tidning attackeras så blir de andra inte drabbade.
Sen så finns det mycket felaktigheter i artiklarna om denna attack men det får vara, jag orkar inte förklara skillnaderna mellan cracking och hacking och DoS och DDoS.
Skrivet 30 okt 2009 08:10 jockel
@Mats
Vi råkade ut för en (D)DOS-attack för ett halvår sedan.
(Jag ska erkänna att jag inte läst på om skillnaden mellan DOS och DDOS attack)
Det enda som skulle hjälpt var att ha servrarna placerade på geografiskt olika platser. När en D(DOS)-attack sker så slås, med stor risk, allt i nätet ut.
Som du säker redan vet, är problemet att det sker en ENORM ström av data, på ett okontrollerat sätt, på det nätverk attacken sker mot ,, så även om du har 1 brandvägg till varje server så spelar det ju ingen roll om de andra inte har någon bandbredd kvar. Precis som någon i en tidigare artikel nämnde så hänger det snarare på att trafiken måste kapas tidigare i kedjan, t.ex att ISPn stänger all trafik till ett visst ip-nummer. DÅ skulle det hjälpa med flera ip-nummer, men man behöver inte separata brandväggar.
Det vore bättre att folk med "smittade" datorer, som indirekt skapar dessa BOT-net, fick lärdom om hur man skyddar sig, eller helt enkelt bytte till säkrare operativsystem (läs Mac,*nix)
Skrivet 30 okt 2009 21:42 Mats
Enorm? Ja allt är ju relativt till vad man är van vid. Den attack som Basefarm råkade ut för låg på 400.000 paket per sekund enligt uppgift. Det kanske låter mycket men det är det inte. För ett större webbhotell är en sån attack inget problem och med tanke på att Basefarm har Gbitförbindelser så är inte bandbredden förbrukad. Utöver detta så är det brukligt att om man får problem med DDoS så väljer man helt enkelt att droppa trafiken och det borde vara en lätt match att först droppa all trafik som kommer från utlandet. Det som blir kvar skulle inte ens få min bärbara att stanna. Kaxigt? Ja men ett högst troligt faktum.