TDC går til politiet med YouSee-nedbrud: »Der er tale om en bevidst skadelig handling«

Yousees kontrolcenter. Illustration: Uffe Weng/TDC
Eksterne eksperter har ifølge TDC givet et klart billede af, at der er tale om et kompliceret nedbrud, som kræver detaljeret viden om YouSees setup og tv-platform. TDC vurderer på den baggrund, at der er tale om en bevidst skadelig handling.

/hm redaktion@version2.dk 33

Det landsdækkende tv-nedbrud nytårsaften skyldes en bevidst skadelig handling begået mod YouSee. Det vurderer selskabet ifølge en pressemeddelelse på baggrund af 'en omfattende undersøgelse internt i TDC Group'.

Nytårsaften blev YouSee, der er en del af TDC Group, udsat for et alvorligt tv-nedbrud. Mere end en million kunder blev ramt af fejlen.

Siden nytårsaften har en intern task force gennemgået og analyseret fejlen. Fejlen opstod i det udstyr, som YouSee bruger til at distribuere tv-signalerne.

»Denne hændelse har siden i lørdags berørt os alle i TDC Group. Vi har arbejdet på højtryk for at genetablere tv-signalet og undersøge hændelsesforløbet, og mange medarbejdere har tilsidesat deres ferie for at hjælpe. Der har været mange spekulationer om årsagen til nedbruddet. Vi har ikke ønsket at bidrage til spekulationerne, så længe analyserne var i gang,« siger koncernchef Pernille Erenbjerg fra TDC Group ifølge pressemeddelelsen.

Mandag gik Center for Cybersikkerhed ind i sagen. Tjenesten, der hører under Forsvarets Efterretningstjeneste, oplyste, at dens indblanding var en rutineprocedure, da CFCS fungerer som tilsynsmyndighed for telesektoren og derfor skal orienteres om større nedbrud af denne type.

Læs også: Center for Cybersikkerhed orienteret om Yousee-nedbrud

Meget tyder på, at det er denne involvering, som nu fører til en politianmeldelse. Denne mistanke har civilingeniør og it-sikkerhedsekspert Jacob Herbst, Dubex, også:

»Min vurdering [er], at TDC mener, at det er et internt angreb. Ellers er det et målrettet angreb, hvor nogen har udført et ret stort arbejde for at forstå YouSees setup,« siger han til Version2.

Læs også: Civilingeniør og sikkerhedsekspert: »YouSee-nedbrud ligner intern hacking«

TDC-ledelsen er inde på, at ikke hvem som helst kan gennemføre så omfattende et angreb:

»Efter en omfattende undersøgelse af sagen, herunder med involvering af eksterne eksperter, har vi nu et klart billede af, hvad der er sket. Der er tale om et kompliceret nedbrud, som kræver detaljeret viden om YouSees setup og tv-platform. Vi vurderer på den baggrund, at der er tale om en bevidst skadelig handling. Vi har derfor overgivet sagen til politiet, og vi kan dermed ikke kommentere yderligere,« siger Pernille Erenbjerg.

Københavns Politi skal efterforske sagen, og Rigspolitiets Nationalt Cyber Crime Center vil bidrage, oplyser centerchef Kim Aarenstrup til DR Nyheder.

Politiet i hovedstaden har også tweetet om sagen:

Nedbruddet nytårsaften vedrører udelukkende distribution af YouSees tv-signal. Søndag aften fik de sidste kunder tv-signalet tilbage.

TDC oplyste mandag aften i en pressemeddelelse, at der på 33 centraler var blevet udskiftet udstyr og software på i alt 300 bokse, der styrer trafikken af tv-signalerne. Selskabet har hverken på daværende tidspunkt eller senere oplyst, hvad der var årsagen til udskiftningen. Mere end 100 medarbejdere har været involveret i at rette fejlen.

Version2 er på vej med en faglig kommentar til den seneste dramatiske udmelding fra TDC/YouSee. Følge med på sitet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (33)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Jönsson

I min optik, så har det hele tiden set ud som om de er blevet hacket (altså at nogen har gjort det, om de så fysisk har været til stede eller fået adgang remote).

Spørgsmålet er som om det er fordi der er blevet kludret i det hos youSee, f.eks. at der er sat udstyr, der burde være bag firewall, på en offentlig tilgængelig IP-adresse, eller om f.eks. en tidligere medarbejder bevidst har lagt systemet ned...

  • 4
  • 2
Simon Mikkelsen

eller om f.eks. en tidligere medarbejder bevidst har lagt systemet ned...

Det er vist det de antyder, med en kommentar som:

Der er tale om et kompliceret nedbrud, som kræver detaljeret viden om YouSees setup og tv-platform.

De ved jo noget som vi ikke ved. Men det har før været spekuleret, om der er tale om en defekt konfiguration eller opdatering som er pushet ud - tidspunktet det blev gjort på var bare ikke et klassisk vindue til at opdatere systemer.

Men vil nogen være så dum at risikere en politisag fordi man er sur på en tidligere arbejdsgiver?

De kan nok ikke sige mere, men det kan de forhåbentlig på et tidspunkt og det bliver spændende at høre. Indtil da kan vi spekulere os ihjel.

  • 9
  • 0
Jacob Pind

Mons tror ikke at de blot er ramt af en orm ala hvad deustche telekom også gjore, ormen gik ikke bevist efter dem, ej kom den heller ikke ind i deres routere, men den triggede en fejl i deres firmware som sparked deres dns resolver omkuld.

  • 2
  • 2
Kenneth Dornhoff

Ja, nu kommer der jo nok til at gå en rum tid, før der kommer tekniske detaljer ud til offentlig skue. Det er lidt ærgeligt, men hvis tingene peger i retning af hacking el.lign., så skal det selvfølgelig politianmeldes og efterforskes.

  • 2
  • 0
Michael Cederberg

Kunne ikke forstille mig der kom noget ud alligevel , skaden er sket , og lige hvad med der kommer af forklaring ændrer det jo ikke noget.

Vi har brug for at vide hvad der er sket. Vi har brug for det fordi det er den eneste måde hvor vi kan få skærpet kravene til sikkerhed i vores IT infrastruktur og IT systemer. Der er simpelthen nødt tul at komme et pres mod virksomheder og offentlige myndigheder om at sikkerheden forbedres.

Uden i øvrigt at kende noget til Yousee, så er jeg overbevist om at detaljerne kommer frem i den kommende tid. Der må have været så mange mennesker inde over diagnosticering og måske også fejlrettelse at det ikke kan holdes hemmeligt.

  • 6
  • 0
Torben Frandsen

Men vil nogen være så dum at risikere en politisag fordi man er sur på en tidligere arbejdsgiver?

Ja, desværre. [1][2]

Derfor er det ikke nok, at virksomheder som driver kritiske systemer har procedurer for hurtigt at lukke for adgang til systemerne. De bør også arbejde aktivt for, at ingen medarbejdere kommer til at miste besindelsen i en sådan grad at proceduren skal tages i brug.

[1] Jeg har været involveret i en sag hvor en afskediget medarbejder havde både evnen og viljen til at foretage sabotage. Og det var alvorligt nok: Hvis ikke jeg havde "demonteret" hans time bomb, var der en reel risiko for tab af menneskeliv.

[2] I en ikke it-relateret sag (som jeg ikke var involveret i, kun generet af) blev der frigivet en større mængde klorgas fra et mejeri nær min bopæl, hvad der bla. medførte lukning af motorvejen. Det viste sig senere at det ikke var sket ved et uheld.

  • 7
  • 1
Anne-Marie Krogsbøll

....men alligevel:
"- Nogen havde tabt en krysantemumbombe ned i en fiberbrønd (en kabelbrønd med samling af fibre - red.).
Det kan teknisk set godt være almindelige drengestreger. Der er nemlig ifølge driftsteknikeren ikke mere end et ståldæksel, der beskytter de lysfølsomme kabler med tv-signaler.
Fiberbrønde bruger TDC og Yousee til at forbinde sine centraler rundt i landet med hinanden." http://ekstrabladet.dk/nyheder/samfund/driftstekniker-hos-tdc-derfor-er-...

Lyder det en anelse sårbart? Mon det er den slags Trine Bramsen i eftermiddags bebudede politisk action overfor (TV2 News)?

Bramsen mener, at politikerne nu må på banen, for vi kan ikke leve med, at infrastrukturen er så sårbar. Så sandt som det er sagt, hvis det er tanken, at dette net skal indgå i beredskabet i nødsituationer, og hvis andre vigtige samfundsstrukturer har lignende sårbarheder - men trist, at der skal den slags wake-up calls til, før politikerne lytter. Adskillige sikkerhedseksperter har jo advaret i årevis.

  • 4
  • 0
Lasse Mølgaard

Nogen havde tabt en krysantemumbombe ned i en fiberbrønd

Undskyld jeg spørger MEN:

Hvordan kan man tabe en krysantemumbombe i en fiberbrønd?!

Bomben i sig selv er ikke hvermand eje. Man skal kende nogen, der kender nogen. Derudover er bomben kraftig nok til at slå folk ihjel, så hvordan man kan behandle bomben så nonchalant at man kan komme til at tabe den førnævnte brønd er over min fatteevne.

For ikke at glemme at man kommer "tilfældvis" forbi en fiberbrønd, som er ikke beskyttet af et dæksel.

Der er vist nogen, der har haft lidt for meget ønsketænkning.

  • 2
  • 0
Jens Jönsson

"- Nogen havde tabt en krysantemumbombe ned i en fiberbrønd (en kabelbrønd med samling af fibre - red.).

Nej, det var ikke "kabelbrud", for så havde Internet og alt muligt andet ikke virket. Alle kabel-TV kunder med Internet gennem youSee havde fin forbindelse til Internet.
Da DOCSIS kører over samme fiberkabel som TV kanalerne (DOCSIS er i princippet bare flere TV kanaler), så kunne det ikke være kabelbrud....

Så den er udelukket...

  • 1
  • 1
Palle Hansen

Det var head-end udstyr, som der enten blev slukket for eller ændret konfiguration i.
Så ikke som sådan et netværk at snuse rundt i...
Det var kun TV signalet der forsvandt, med andre ord DVB-C signalet...


At snuse rundt... at finde ud af hvad der findes af udstyr på netværket (som dette udstyr jo er en del af).

Det med signalet... Det må næsten være mere end kun dvb-c. Deres arkiv har som sagt ikke optaget noget den aften, og deres arkiv bruger vel en ip-kilde. Gik live-tv fra yousee.tv ikke også ned?

Kunder på det nye Huawei-udstyr mistede også fjernsyn. Her er hele dvb-c-platformen flyttet ud i gadeskabet, som så bliver fodret med en ip-kilde.

  • 1
  • 0
Michael Cederberg

Nej, det var ikke "kabelbrud", for så havde Internet og alt muligt andet ikke virket. Alle kabel-TV kunder med Internet gennem youSee havde fin forbindelse til Internet.
Da DOCSIS kører over samme fiberkabel som TV kanalerne (DOCSIS er i princippet bare flere TV kanaler), så kunne det ikke være kabelbrud....

Så den er udelukket...

Informationen om krysantemumbomben kommer fra Ekstra Bladet og skal derfor behandles som information fra en brugtbilsælger der i sin fritid arbejder som ejendomsmægler. Men hvis vi skal tro EBs information, så ramte "kabelbruddet" kun Faxe Ladeplads. Dvs. de 300 husstande der var nede i dagevis.

  • 5
  • 0
Kenneth Dornhoff

Hvis deres arkiv ikke har optaget noget hele aftenen, så tyder det jo kraftigt på, at det ikke kun er udstyr ude i centralerne, som er blevet sat ud af spillet. Så er der også sket noget i "førerbunkeren", hvor feedet bliver "optaget" og lagret.

  • 0
  • 0
Baldur Norddahl

Bramsen mener, at politikerne nu må på banen, for vi kan ikke leve med, at infrastrukturen er så sårbar. Så sandt som det er sagt, hvis det er tanken, at dette net skal indgå i beredskabet i nødsituationer, og hvis andre vigtige samfundsstrukturer har lignende sårbarheder -

Det meste af tele infrastrukturen er tilgængelig i gadeskabe og brønde. Hvordan vil du sikre det imod sprængstof?

  • 0
  • 0
Anne-Marie Krogsbøll

Det meste af tele infrastrukturen er tilgængelig i gadeskabe og brønde. Hvordan vil du sikre det imod sprængstof?


Det jeg ikke, Baldur Nordahl - men det er da vigtigt, at det tænkes igennem, hvor der er særlige sårbarheder - ellers er der vel heller ikke så meget mening i at sikre mod hackere etc., hvis ikke man også gør, hvad man kan for at sikre infrastrukturen rent fysisk?

  • 0
  • 0
Peter Rosendahl

Yousee kunne vel ikke håbe på en bedre årsag, end at en tidligere ansat har misbrugt sin indsigt.

Jeg håber, at politiet ser kritisk på det materiale, som Yousee først efter 5 dage fremligger. Min tillid til selskabet er i hvert fald væk efter adskillige usande beskeder fra deres kundeservice til mig.

  • 1
  • 4
Baldur Norddahl

Det jeg ikke, Baldur Nordahl - men det er da vigtigt, at det tænkes igennem, hvor der er særlige sårbarheder - ellers er der vel heller ikke så meget mening i at sikre mod hackere etc., hvis ikke man også gør, hvad man kan for at sikre infrastrukturen rent fysisk?

Gadeskabe og brønde er sårbare overfor tilfældig vandalisme. I princippet er det også en sårbarhed overfor hackere. Det er dog svært at bryde ind på en fiber uden at det bliver opdaget og det er også svært at finde den korrekte fiber at bryde ind på.

Svært for almindelige mennesker, men måske trivielt for diverse efterretningstjenester. Derfor kan man med fordel kryptere kommunikationen.

Jeg kan ikke se at det nytter noget at sikre gadeskabe og brønde bedre. Du kan sætte lås på (nogle skabe har lås i forvejen) men det stopper ikke manden med sprængstof i at vandalisere - eller blot manden med et koben. Og sidste ende kan kablet graves op, såfremt en efterretningstjeneste vil bryde ind på det.

  • 2
  • 0
Henrik Sørensen

At nogen er "kommet til at tabe" en krysantemumbombe hører vist ind under begrebet "journalistisk frihed" ;-)

Men at det kan være sket uafhængigt af den debatterede sag er nu ikke så usandsynligt.

Enhver femtenårig knægt kan via kontakter i sit (perifære) netværk skaffe sig et nærmest ubegrænset antal ulovlige ting og sager - herunder krysantemumbomber af alle størrelser - mod behørig betaling, forstås.

Vores egne poder begiver sig naturligvis ikke af med den slags. Men at tro, at de er uvidende om muligheden er ret naivt. Sælgerne er der, og nogen kender dem!

Da jeg tilfældigvis har en sådan knægt i husstanden, ville jeg med stor sandsynlighed også kunne skaffe dig en sådan "bang-ting" - det ville nok tage en eftermiddag...

...så vidt adgangen. Hvis vi nu forudsætter, at fire (måske lidt ældre? Vi kan da håbe...) knægte har skaffet en 12-tommer krysantemumbombe. Så skal den jo helt sikkert fyres af.

Men de sidste års dødsfald har heldigvis lært selv de mest tungnemme (som vel er de eneste som stadig leger med skidtet), at "lunten" er beregnet til en elektrisk tændsats og derfor "brænder" alt for hurtigt til at man kan nå væk uden at dø.

Altså skal man være i sikkerhed, når der tændes.
Det kan f.eks. ske ved at stå i et hus eller en container med bomben udenfor. Men det er både besværligt og kedeligt.

Så måske man kunne affyre den i et (nedgravet) stål- eller betonrør? Dem er der jo masser af, som er klargjort på forhånd
- det er bare at finde den nærmeste brønd med et dæksel, som er let at løfte...

  • 8
  • 0
Anne-Marie Krogsbøll

Tak for svar, Baldur Nordahl. Det kan godt være, at det ikke er realistisk at sikre den slags bedre. Ved nærmere eftertanke omfatter en sådan brønd jo tilsyneladende måske heller ikke så mange husstande, at det vil kunne give alvorlige problemer i en nødsituation. Jeg håber bare, at det er noget, man har tænkt igennem i beredskabssammenhæng.

  • 0
  • 0
Mogens Ritsholm

Tak for svar, Baldur Nordahl. Det kan godt være, at det ikke er realistisk at sikre den slags bedre

Sikring var tidligere en del af beredskabskrav og TDC fremlagde deres sikringspolitik for beredkabsmyndighederne med fysisk sikring af forskellige netelementer bl. a. via skaforsystemet.

Efter en større regningsklageundersøgelse blev TDC også pålagt en bedre sikring i akcesnettet og et flerårigt program for forbedringer af udpegede svagheder blev iværksat.

Jeg husker ikke detaljerne. Men en fiberbrønd burde ikke være uden en eller anden form for aflåsning.

Jeg aner ikke hvordan området forvaltes i dag, eller hvordan det håndteres for andre netejere.

Men fysisk sikring er i hvert fald historisk ikke en overset problemstilling.

  • 3
  • 0
Jens Jönsson

I min optik, så har det hele tiden set ud som om de er blevet hacket (altså at nogen har gjort det, om de så fysisk har været til stede eller fået adgang remote).

Spørgsmålet er som om det er fordi der er blevet kludret i det hos youSee, f.eks. at der er sat udstyr, der burde være bag firewall, på en offentlig tilgængelig IP-adresse, eller om f.eks. en tidligere medarbejder bevidst har lagt systemet ned...

Det kunne absolut tyde på det.....

http://www.computerworld.dk/art/238929/afsloering-saa-nemt-har-det-vaere...

  • 2
  • 0
Jens Jönsson

Jeg aner ikke hvordan området forvaltes i dag, eller hvordan det håndteres for andre netejere.


Fiberbrønde er som regel bare en plastik kasse der er gravet ned med et (tungt) ståldæksel på.
F.eks. kan man uden problemer tilgå fiberbrønde fra f.eks. SE fiber, GC fiber osv.
Har selv haft åbnet et par stykker af nysgerrighed. Har dog kun kigget og pænt lagt låget på igen.
Som regel indeholder de jo også bare en SCF (Splice Closure Fiber) og fiber rør...

  • 2
  • 0
Log ind eller Opret konto for at kommentere

Cisco opfordrer alle kunder til at opdatere: Kritisk bug i licenssoftware

2

ISS ramt af cyberangreb

2

Kinesiske hackere angriber online casino- og bettingfirmaer

0
Job fra Jobfinder
Mest debatteredeMest læste
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Sådan får hele virksomheden gavn af simuleringskompetencer
Whitepaper
Whitepaper
3 Steps to Start your Digital Transformation Journey
Webinar
Webinar
Gratis webinar: Kom godt i gang med en enterprise-ready cloud-platform
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder