En nations åverkan av en cyberattack - En fallstudie på cyberattacken mot Estland

 
 
Här ska ni få en grundlig genomgång om vad som egentligen hände under den s.k. Bronsnatten i Tallinn. Jag har läst en uppsats:

En nations åverkan av en cyberattack - En fallstudie på cyberattacken mot Estland
Författare: Oskar Åkergren, Försvarshögskolan 2012.


Syftet med uppsatsen är att visa på hur en nation drabbas, när den blir utsatt för en cyberattack och vilka handlingsåtgärder som är möjliga att vidta. Resultatet visar på att sättet Estland drabbades på, var att nationen var tvungen att isolera sig från det internationella internet, men att internet inom nationen kunde upprätthållas. Diskussionen mynnar ut i att en nation har mycket få handlingsmöjligheter till att försvara sig själv, när det kommer till cyberattacker från aktörer som inte är andra nationer. En viktig slutsats var att fallet Estland inte var ett militärt problem, utan kunde lösas helt civilt.

Fallstudie Estland
Bakgrund.
Befolkning

Estland är den nordligaste av baltstaterna och var en del av Sovjetunionen fram till 1991. I och med den sovjetiska historien, finns det idag en grupp om ca 400000 rysktalade personer i Estland. Dessa personer är av blandad ursprung, främst est-rysk, och de känner mer eller mindre tillhörighet till den estniska nationen.
IT -utveckling
Tack vare frigörelsen från Sovjet, skapades nationen Estland helt fritt från gamla system. I och med frigörelsen i början på 1990-talet, låg vägen öppen för nationen att kunna skapa sig helt nya statliga och finansiella system, i den informationsålder som precis tagit fart.
Estland har beskrivits som en nation som ligger i framkant av utvecklingen inom IT- infrastruktur och stora delar av dagliga ärenden sköts via internet. Framförallt inom bankväsendet har utvecklingen kommit långt, över 99% av alla banktransaktionerna görs via internet. Vidare sköter 92% av befolkningen sin deklaration över internet och det går även att rösta i parlamentsvalen genom internet.
I Sovjetunionen var teknikutvecklingen under all kritik. Vi kände av det 1978, men det var fortfarande mycket små framsteg 1991. Minns ni att Sverige var ett internet-land i framkant under några år, sedan rasade det och lilla Estland tog över. Då var de beredda och har sedan haft en fantastisk utveckling.
2006 grundas organisationen The Computer Emergency Response Team of Estonia (CERT- EE). CERT-EE har till uppgift att sköta säkerheten inom topdomänen .ee och assistera estniska internet användare med implementeringen av förebyggande åtgärder för att minska eventuell skada från säkerhetsincidenter samt att hjälpa användarna på att möta säkerhetshot.
Bronsstatyn
1941 reste Sovjetunionen en bronsstaty föreställande en rysk soldat och döpte monumentet till ”Monumentet över Tallinns befriare”. Statyn var centralt placerad och efter frigöringen från Sovjet börja den leda till delade känslor. Den ryska delen av befolkningen firade statyn varje år den 9 maj, för Sovjets seger i andra världskriget, men den estniska befolkningen såg monumentet som en symbol av det sovjetiska förtrycket. Dessa delade känslor ledde till bråk mellan de olika grupperna och 2006 fattades ett beslut att genomföra en flytt av statyn, till en krigskyrkogård belägen i en förort till Tallinn.
Torsdagen den 26 april 2007 påbörjades förberedelserna inför flytten, av statyn, vilket ledde till omfattande kravaller i centrala Tallinn. Dessa kravaller ledde till bränder, plundring av butiker och ett dödsfall. Kravallerna fortsatte över helgen och på fredagskvällen den 27 april påbörjades cyberattackerna.
Det var det värsta upploppet som varit i Tallinn. En intressant detalj är att de rysktalande ungdomarna skulle demonstera mot esterna, men de flesta butikerna de plundrade ägdes av andra rysktalande. Mordet som ägde rum var på en ung man som studerade i Tallinn. Han var uppväxt vid sjön Peipsis strand, där de gammeltroende ryssarna bor. Ryssland försökte sprida att det var ester som dödat honom, men det har inte kunnat konstaterats.

Attacken

De omfattande DDoS attackerna mot Estland skedde i tre vågor, där den första vågen slog till natten mot den 28 april, den andra vågen natten mot den 4 maj och den tredje natten mot den 9 maj. De välsynkroniserade höjningarna och sänkningarna av trafik som passerar, visar på att det var stora botnät som användes.

Första vågen

Natten mot den 28 april 2007 beskriver Anto Veldre, expert vid CERT-EE, hur det estniska nätet möttes av ”en wall of sound”. /../denna attack var utformad för att lamslå hela samhället. Merparten av attacken bestod av så kallade script kiddie attacker och attacker baserade på botnät, vilket ledde till en väldigt stor åtgång av bandbredd.
IT-chefen för tidningen Postimees, Ago Väärsi, beskriver hur tidningens bandbredd konstant minskar och hur data som tar sig in till servrarna får dessa att krascha och starta om sig själva. /../ Väärsi beskriver hur han ser attackerna ändra på sig och anpassa sig efter de filter som han själv sätter upp, vilket visar på en aktiv motståndare.
Vid en analys av den inkommande trafiken till Postimees, visar det sig att det främsta landet som besöker tidningen är Egypten. De länder som följer är Vietnamn och Peru. Väärsi, som vid det här laget börjar se att det här gäller en omfattande cyberattack, försöker öppna tidningens konkurrenters sidor, men även deras hemsidor ligger nere. Vid det här laget ser Väärsi ingen annan utväg än att blockera all utrikestrafik till och från tidningen. Genom denna blockad minskar bandbreddsåtgången betydligt och sidan går upp.
Det genomfördes även attacker mot skolor och kommuner i den Estniska landsbyggden, vilket kan tolkas som att den övergripande attacken var okordinerad och var ett verk av flertalet enskilda aktörer. Men beskrivningen av attacken mot Postimees talar mot denna tes samt de plötsliga ändringarna i bandbredd som brukas. Det visar snarare på att attacken var ett verk av “hacktevister” med god kännedom om hur attacker ska utföras och sedan spred enkla koder för så kallade script kiddies att använda för att hjälpa till i attacken.

Även om attackens alla tre vågor dominerades av överbelastningsattacker, genomfördes även några manipulationsattacker. Ett exempel på en sådan manipulationsattack är när hackare lyckades ta sig in på Reformparitets webbplats och placera en falsk officiell ursäkt för att statyn flyttades.
Andra vågen
När nästa våg av överbelastningsattacker slår in mot Estland har myndigheterna hunnit organisera sig och är bättre rustade att stå emot attacken. Problemet är att även attackerarna har organiserat sig bättre. Denna attack riktar sig mot myndighetsservrarna och myndighetsnäten. /../
Tredje vågen
Denna våg slår in natten mot den 9 maj och är större än de andra vågorna. En uppskattning av de datorer som deltar i denna attack uppgår till omkring en miljon och är minst lika väl ledda som under den andra vågen. Attacken riktar sig mot en rad olika sidor, med en spännvidd från utrikesdepartementet till bankernas hemsidor och har kapaciteten att fylla ut hela Estlands bandbredd, vilket skulle plocka ner Estland från internet återigen. Vid den här tidpunkten har dock CERT kommit i fas och kan avvärja effekterna av attacken redan innan den nått fram till Estland.
Motåtgärder
För att komma undan attacken valde CERT att den 29 april stänga av Estland från det övriga internet. På samma sätt som Postimees var tvungna att stänga av sig från trafik utifrån, var CERT tvungna att skära av hela Estlands internet. Detta handlingsätt var det enda som CERT hade att arbete med för en snabb lösning för att kunna återinföra det estniska nätet.
Något dygn efter första vågen av attacken, organiserade estniska myndigheter en stab för att koordinera arbetet och skaffa en övergripande lägesbild. /../ Efter att Estland stängt port 80 och skurit av sig själva från internet, minskade den första vågen i omfattning, då den inte levererade någon effekt längre.
När den andra vågen slog till var myndigheterna väl organiserade och hade hög beredskap, kapaciteten att koppla från internationella användare från internet infann sig dock inte förrän inför våg nummer tre.
Under den tredje och avslutande vågen kunde CERT kontrollera varifrån attackerna härstammade och med förmågan att koppla från användare från internet, var följderna av denna våg betydligt lägre. Detta trots att attackens omfattning var större än de föregående vågorna.
Följdverkan
Hur påverkades då det estniska samhället av attacken?
Under den första vågen tog bandbredden slut för Estland, vilket innebär att hela deras internet låg nere, åtgärden som vidtogs då var att stänga av port 80. Eftersom Estland var tvungna att stänga av port 80 för omvärlden, kunde ingen trafik utanför Estland komma in, vilket betyder att det även var omöjlig att komma åt hemsidor utanför Estlands gränser.
Statoil fick problem med sitt betalnät och var tvungna att stänga ner detta nät under fyra dagar. Avstängningen av betalnätet resulterade i att inga köp gick att hantera med bank- eller kreditkort utan endast kontantbetalning kunde genomföras. Mycket av den trafik som berör de finansiella systemen filtrerades via Finland vilket gjorde att bankärenden kunde skötas, om än långsamt, under större delen av attacken. Från utlandet var dock bankerna helt blockerade och trots filtreringen via Finland gick två banker ner helt periodvis under tidsperioden 10 – 15 maj.
Även e-postfunktionerna påverkades. Ett exempel är då Estlands parlament var tvungna att stänga sin e-postserver under 12 timmar, på grund av överbelastning, innan den kunde öppnas igen.
Efterspel
Som en följd av cyberattacken och dess verkan, reagerade NATO och frågor väcktes rörande om NATOs artikel 5 kunde vara applicerbar i dessa situationer. NATO valde att grunda en cyberförsvarscentra, Cooperative Cyber Defence Center of Excellence med uppgift att:
[CCD CoE:s] mission is to enhance the capability, cooperation and information sharing among NATO, NATO nations and partners in cyber defence by virtue of education, research and development, lessons learned and consultation.
Platsen för detta center blev just Tallinn, Estland. CERT-EE utvecklades från att ha varit en mer informell klubb snarare än en myndighet, till att strukturera upp hierarkin och skapa noggranna listor kring nyckelpersoners kontaktuppgifter.

Diskussion kring fallstudien

Inget självklart syfte

Att cyberattackerna skedde till en följd av flytten av bronsstatyn, är en slutsats dragna av de författare som refererats, dock har inte syftet med attacken kunnat presenterats. Det presenterades nämligen aldrig en klar kontext till, varför attackerna skedde, från attackerarna, annat än att visa sig patriotisk inför det ryska samhället. Det skickades inga hotelsebrev så det var ingen utpressning, utan hela attacken verkar vara en form av show of force.
Ja, det var nog en styrkedemonstration. Vad som är mest mätkligt är annars att den ende partiledaren som inte gjorde några uttalanden under bråken var Edgar Savisaar, den som har det bästa samarbetet med Moskva. Savisaar är också Tallinns borgmästare, och har senare fått pengar från Ryssland och kunnat betala partiets skulder. (jag har skrivit om det tidigare). Ryssland har flera gånger integrerat i de tidigare sovjetiska staterna och velat få sin man som statsminister. Georgienkriget är en sådan händelse. Det var hade varit parlamentsval i Estland i mars 2007 och Andrus Ansip, reformpartiet, hade omvalts.

Nätverkande

Cyberattacker är ett internationellt problem vilket fallet Estland visar och en av de största lärdomarna från Estlands cyberattack, är att ett internationellt sammarbete är nyckeln för framgång.

Polisens huvudvärk

Absoluta merparten av attackerna kom utanför Estlands gränser, men det fanns vissa attacker som kom inifrån. Genom ett bra sammarbete i den organisation som sattes upp för att hantera cyberattacken, lyckades adresserna tas fram till de attacker som härstammade från Estland och polisen lyckades gripa den misstänkte. Detta gripande avskräckte fler hacktevister att visa sitt missnöje på internet inifrån Estland och attackerna sjönk till en mycket låg nivå.

Det stora problemet som uppstod nu är att polisens befogenheter stannar vid den estniska gränsen. Många av de “hacktevister” som identifierats var från Ryssland, men det vidtogs inga särskilda åtgärder från Rysslands sida att leta upp dessa “hacktevister” och ställa dem inför rätta. (anmärkningsvärt)

Slutsatser

Det som jag har kommit fram till i denna uppsats är att cyberattacken mot Estland var en väl genomförd attack i form av ledning, dock saknade attacken ett uttalat syfte och målsättning, vilket gör att attackens verkan var begränsad. Effekten av attacken blev att Estlands befolkning inte kunde koppla upp sig mot omvärlden, men det inhemska internet var åtkomligt vilket möjliggjorde för dagligärenden, som till exempel bankärenden.

En annan intressant slutsats är att en omfattande cyberattack mot en nation inte behöver vara ett militärt problem. Cyberattacken mot Estland klarades ut, utan några inblandningar av militära enheter. En militär organisation är dessutom bakbunden med dagens internationella regelverk, eftersom det inte finns någon möjlighet att utföra motangrepp mot en cyberattack, som härstammar från en aktör som inte är en annan stat.

Jag har skrivit om Bronsnatten tidigare bl.a. den 8 maj. Den här var specialiserad på själva internetproblemet. Det pågår ständiga cyber- och andra attacker på Estland. Möjligen är tanken att ingen i Estland ska känna sig säker. Men ändå är det inget som alla går och grubblar över. I Estland har man i tusentalsår levt här, och grannen i öster har funnits där mycket länge.


 
    
2012-08-11 @ 21:21:07 universitetsstudenters uppsatser Permalink

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback
Kategorier
Arkiv
RSS 2.0