.

Det är roligt att läsa studenters uppsatser om saker som inträffat. De undersöker händelserna noga och diskuterar dem sedan. Jag hittade nu en uppsats om cyberattacken med anledning av flytten av Bronssoldaten 2007, som jag i och för sig har skrivit om tidigare, men här får vi veta mer om hur allvarligt angrepp det var som esterna utsattes för att de vågade flytta en staty i sitt eget land.

Författare: de Waern, Henrik (Försvarshögskolan)

Titel: Computer Network Attack som olovligt våld: en fråga om association, effekt, aktör och mål

Organisation: Försvarshögskolan

PublikationstypStudentuppsats (Examensarbete)

Under våren 2007 uppstod det tumult i Estland. Den estniska regeringen proklamerade att man avsåg flytta en bronsstaty från 1947 föreställande en soldat ur röda armén, uppförd av den dåvarande sovjetregimen som ett monument över segern över Tyskland 1945.

Enligt KBM:s rapport utgjorde statyn före 9 maj 2006 ingen större vattendelare, utan ignorerades av dem som ogillade den och uppmärksammades av dem som så ville. Ett bråk kring statyn mellan två olika grupper bärandes ryska respektive estniska flaggor lyckades dock sprida konflikten inom landet och regeringen tog snart det omdiskuterade beslutet att flytta statyn och några tillhörande gravar ifrån centrala Tallinn. Statyn beslutades flytta den 9 maj 2007.

Redan under förberedelserna till förflyttningen 26 april uppstod demonstrationer och kravaller varvid butiker plundrades och allmän förstörelse följde. Från slutet av april till mitten av maj påverkades också Estland av flera ryska sanktioner, såsom oannonserade järnvägsreparationer, annullerade ryska beställningar, strypning av transittrafik och plötslig massiv pappershantering vid gränsövergångar.

De faktiska, för uppsatsen, relevanta händelserna utspelade sig dock på en helt annan arena och kunde skönjas redan den 27 april. En första våg av nätattacker sköljde då över den estniska delen av Internet mestadels bestående av så kallade åtkomstattacker och skräppost.

Sedermera eskalerade attackerna och sent på kvällen 27 april var situationen på den estniska sidan, enligt KBM:s rapport, kritisk. Men man kunde också skönja ett mönster i attackerna. Attackerna var tämligen dåligt koordinerade eller slumpmässiga vilket tydde på att det var enskilda individer som flödade det estniska nätet med så kallad skräp-trafik.

De estniska myndigheterna började nu dock vidta åtgärder och kunde genom diverse typer av filtrering minska effekterna på efterföljande attacker. Vid det laget förändrades dock attackerna och det framstod som klart att flertalet större så kallade botnät nu började användas.

Botnät är nätverk med datorer vilka kapats, hackats, köpts eller på andra sätt tagits över på så sätt att de kan fjärrstyras av en central dator. Dessa datorer kan därefter exempelvis ges ett gemensamt mål varvid de unisont öppnar förbindelse med måldatorn eller servern, vartefter förbindelsen direkt bryts och rutinen upprepas ett stort antal gånger. Den önskvärda effekten blir en överbelastningen av måldatorn eller nätet däromkring, varvid annan trafik inte kan betjänas så som tänkt. På grund av att botnätets slavdatorer är utspridda drabbas inte de egna näten av överbelastning emedan koncentrationen vid målet medför mycket höga trafikflöden.

När nästa stora våg av attacker inleddes den 4 maj, var det tydligt att nivån på koordination hade ökat avsevärt, med flertalet botnät i täta sekventiella attacker användandes flera olika verktyg. Efter de första attackerna hade dock så kallade Computer Emergency Response Teams (CERTs) tillhörande länder över hela världen involverats. Filtrering medförde en kraftigt minskad effekt av attackerna, även om det efter kort tid stod klart att även detta medfört en anpassning hos angriparna. Botnät i länder med påtagligt svag CERT-förmåga vaknade nu istället till liv.

Den 9 maj inleddes vad som, enligt KBM:s rapport, tros ha varit menat som den stora huvudattacken. Flertalet botnät agerande nu koordinerat och grova uppskattningar på att många fler än en miljon slavdatorer medverkade nämns. Filtreringen och koordinationen på försvarssidan hade dock god verkan varmed effekterna blev betydligt mindre än under den första inledande attacken. Detta trots att dataflödet var många gånger högre denna gång.

Totalt sett var det de estniska myndigheterna som tog den stora smällen i Estland mellan 27 april och 15 maj, men flertalet andra mål har även identifierats. Bland de mest utsatta var hemsidor tillhörande flera centrala myndigheter; däribland polisens, flertalet politiska partiers, parlamentets, presidentens samt regeringens publika så kallade briefingrum.

Men även kommersiella mål har identifierats; I KBM:s rapport framgår bland annat hur de två estniska bankerna Hansapank och SEB Eesti Uhisbank mellan den 10 och 15 maj utsattes för diverse åtkomstattacker vilket resulterade i att de båda bankerna under begränsade perioder helt slogs ut och kontakten med utlandet bröts. Enligt samma publikation har även andra typer av mål rapporterats varibland det estniska fasta telesystemet; med effekten att åtminstone en publik televäxel slagits ut, mobiltelefonsystemet samt system nyttjade av den estniska räddningstjänsten återfinns.

Vidare inbegrep attackerna också till viss del massmedia men även sådana obskyra mål som småkommuner och skolor. Generellt sett medförde attackerna att man tvingades strypa vissa hemsidors tillgång från utlandet, och att flertalet hemsidor överbelastades och kraschade.

Avseende följderna på ett högre plan framgår det i FOI:s rapport Det kaukasiska lackmustestet att attackerna generellt medförde allvarliga följder, även om detta inte vidare specificeras. Detta stöds också i sak av KBM:s rapport där det framgår att dataflödet i sig visserligen inte var något nytt men att effekterna för Estland, på grund av att nätförbindelserna i landet inte klarar riktigt stora, uthålliga trafikflöden, var massiva och utgjorde en kraftig belastning på internationella förbindelser och interna resurser.

Generellt sett har det således varit svårt att lokalisera konkret information om effekterna av händelserna i Estland mellan 27 april och 15 maj. Inga siffror har hittats uppskattande kostnader för de motåtgärder som genomfördes för att hålla den informationsbaserade infrastrukturen vid liv, och ej heller några siffror om eventuellt inkomstbortfall. Ej heller har vidare information avseende attackerna på myndigheterna konstaterats, så som exempelvis effekterna på polismyndigheten, räddningstjänsten, deras angripna system eller nyttjandet därav.

Avseende den eller de okända aktörerna bakom attackerna konstaterar Gadi Evron, en väl ansedd auktoritet på området cyber-säkerhet, att även om det är omdiskuterat huruvida attacken sanktionerats eller på andra sätt sponsrats av den ryska regeringen så är det otvetydigt så att de ansvariga var ryssar. Ryska hemsidor, bloggar och forum fylldes med prat om den estniska regeringens beslut om statyn och vissa innehöll till och med förslag på mål inklusive instruktioner för hur sådana angrepp kunde genomföras. Vidare, påpekar Evron, är det tydligt att attackerna var välorganiserade vilket bland annat märktes på förändringen i angreppen. När attackerna utifrån landets gränser till stor del blockerats väcktes exempelvis istället botnät inom landets gränser till liv. Andra saker som väcker misstanke, tillägger han, är den oförmåga, alternativt ovilja, de ryska myndigheterna visade i åtminstone tre veckor efter det initiala angreppet att hjälpa till att stoppa cyber-attackerna.

I uppsatsen diskuteras sedan hur man ska beteckna angreppet. Vilken grad av militärt angrepp? Uppsatsen är ju skriven av en student på Sjöstridsskolan. Han avslutar uppsatsen:

Med detta sagt är det ändock möjligt att studera reaktionerna101 från samma aktörer avseende händelserna i Estland 2007, och syna eventuella tolkningar. En ytlig granskning gör klart att man ingenstans finner uttrycken våld, hot om våld eller väpnat angrepp. I protokollet från NATO:s talesmans pressmöte kan det visserligen utläsas att NATO diskuterat frågan, men också att händelserna beslutat ej likställas med väpnat angrepp. Av detta bör inga slutsatser dras annat än att frågan fortfarande är högst obesvarad.

Vidare forskning på området kan därför med fördel inriktas mot just statspraxis, en djupare studie av frågan om ekonomiskt och politiskt tvång, förändringar i åsikterna därom eller i hur begreppen vitala intressen, territoriell integritet och politisk självständighet har kommit att skifta betydelse över tiden.

Nato vaknade. På IDG.se läser vi en artikel från 2008:


Ilmar Tamm

Internetkrigföringen mot Estland förra året har fått upp Natos ögon för cyberförsvar. Estland är nu navet i försvarsalliansens arbete inom området. Estland hade redan 2003 en nationell organisation för cyberförsvar. Ilmar Tamm, chef för Natos cyberförsvarscenter, anser att Nato inte tillräckligt väl hade förstått problemet med cyberhot när Estland attackerades.

– Ändå gick det bra. Nu är det dags att lära sig av erfarenheterna så vi är mer förberedda nästa gång. Jag vill inte verka pessimistisk, men förra årets attacker var inte någon engångsföreteelse.