Ugelangt DDoS-angreb vil ikke gå væk: Sådan beskytter KL sig

I over en uge har KL.dk været under DDoS-beskydning. Det har foreløbigt kostet organisationen 250.000 kroner ekstra at stå imod angrebene.
13

I mere end en uge har KL.dk nu været under angreb fra hacktivister, som har rettet DDoS-kanonen mod Kommunernes Landsforenings webside.

Læs også: 200.000 samtidige forespørgsler sendte KL.dk til tælling

»Jeg havde håbet på en mere stille uge end sidste uge, men det blev så afkræftet i går aftes (mandag, red.), hvor vi blev angrebet klokken 18 og 21,« fortæller Rune Scheye Koop, it-driftschef hos KL, til Version2.

Men efter syv dage med angreb har KL’s it-folk fået forsvarsværkerne op og kan holde siden kørende, også under kraftige DDoS-angreb. I går var konsekvenserne af angrebet derfor til at overskue.

»Der var lige fem-ti minutter, hvor det kørte lidt tungt. De fandt på at skyde mod nogle nye porte, så det skulle vi lige reagere på. De er kreative, så det er ikke nok bare at lukke ét sted,« siger han.

Balladen startede mandag aften, hvor et mindre DDoS-angreb fik overbelastet webserveren, mens firewall’en holdt. Det var det angreb, som en 15-årig dreng fra Falster har indrømmet at stå bag, og som han nu er sigtet for.

Læs også: Politiet sigter 15-årig for DDoS-angreb mod KL

»Vi tilkaldte nogle konsulenter, for vi har ikke selv netværksfolk internt i KL. Da det var slut klokken 23 tænkte vi ’det var det’, og vi mødte glade igen på arbejde tirsdag morgen. Og så gik det helt galt. Vi blev tæppebombet, så alle vores linjer blev fyldt op med data, og ingen herinde i perioder kunne komme på nettet eller få e-mails ind og ud af huset,« siger Rune Scheye Koop.

Måtte stoppe trafikken ved kilden

Det massive angreb fik it-folkene til at bede KL’s internetleverandør TDC om hjælp, fordi det var nødvendigt at få stoppet den voldsomme trafik, før den ramte KL’s linjer. Og ved hjælpe af TDC’s DDoS-beskyttelsespakke kom trafikken efterhånden under kontrol, for eksempel ved at lukke for alle forespørgsler, der ikke kom fra nordiske lande.

Læs også: Hackere anmelder KL-hackere: Gav Anonymous et dårligt ry

»Det hjælper ikke forfærdeligt meget med software og firewalls hos os, hvis linjen bliver fyldt helt op med trafik. Så jeg kan helt klart anbefale at få det taget ved kilden,« siger Rune Scheye Koop.

Ud over abonnementet hos TDC og udgifter til netværkskonsulenter på alle tider af døgnet har KL også investeret i en række ekstra sikkerhedsprodukter, som it-driftschefen ikke vil fortælle nærmere om. Tilsammen er det foreløbigt løbet op i over 250.000 kroner i ekstraudgifter på grund af angrebene.

»Taxameteret tikker hurtigt, når du skal have eksterne folk ud om natten. Men noget af det er investeringer, som betyder, vi er bedre dækket ind fremover. Det er blevet til mange penge, som vi er kede af at bruge, men det er åbenbart nødvendigt,« siger han.

Med sigtelsen af den 15-årige for det første angreb aner KL en mulighed for at få en smule af pengene igen, gennem en erstatningssag. Men da det kun drejer sig om det første og ikke så kraftige angreb, vil det være et mindre beløb.

Læs også: Dansk Anonymous splittet over KL-angreb

»Det er oplagt at søge erstatning, når han nu har erkendt det første angreb. Det vil måske dreje sig om udgifterne til tre konsulenter i ti timer. Vi kan selvfølgeligt ikke gøre krav på erstatning for de udgifter, vi har haft til at få højere sikkerhed,« siger Rune Scheye Koop.

At politiet fik fanget den første hacker glæder driftschefen, om end det også er lidt trist.

»Jeg er glad for, at hackeren er fanget og bliver stillet til regnskab for sine handlinger, for det er sjældent det sker. Men det er trist, at en 15-årig ikke kan gennemskue konsekvenserne af det, han gør. Det kan få store konsekvenser for ham, ligesom det har haft konsekvenser for KL. Vi bilder os ikke ind, at han stod bag andet end angrebet mandag aften, men han har åbenbart sat noget i gang i det miljø, så vi har været under beskydning siden,« siger it-driftschefen.

Vær forberedt på voldsomme angreb

Siden angrebene gik i gang, har andre it-ansvarlige, som måske kunne havne i skudlinjen også, ringet og bedt om gode råd.

Her peger Rune Scheye Koop på det abonnement med DDoS-beskyttelsen, KL nu har fået hos TDC som en mulighed, samt muligheden for at flytte websiden ud af huset.

»Hvis man lægger sin webside ude i byen, vil det kun være den, som bliver ramt, hvis der er et angreb. Her kan man også betale ekstra for beskyttelse. Det afhænger af, hvor vigtig websiden er for dig,« siger han.

KL’s travle uge, med kraftige angreb i op til en halv time i træk, har vist, at DDoS er et slagkraftigt våben hos hacktivisterne, som vil skabe ravage. Den nye erkendelse bør alle også skrive sig bag øret, siger Rune Scheye Koop.

»Vi har nok levet lidt i en tro på, at hvis der kom angreb, var det nok et mindre et som det mandag aften. Men det har vist sig, at det var betydeligt værre i praksis.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anders Palm

Det jeg hæfter mig ved er:

"Vi blev tæppebombet, så alle vores linjer blev fyldt op med data, og ingen herinde i perioder kunne komme på nettet eller få e-mails ind og ud af huset"

"Vi tilkaldte nogle konsulenter, for vi har ikke selv netværksfolk internt i KL."

Hvorfor vil man have sin hjemmeside på en server der står på den samme forbindelse som man ellers bruger i det daglige arbejde uden nogen professionelle til at tage sig af den?

Nogen har hugget nogle klamper et sted. Og det bliver som bekendt altid dyrt i sidste ende.

  • 16
  • 1
Henrik Kramshøj Blogger

Jeg læser følgende punkter:

  • abonnementet hos TDC - ingen ide om hvad det kan koste, men hvis de bruger eksempelvis Arbor Networks er det noget dyrt legetøj
  • udgifter til netværkskonsulenter på alle tider af døgnet, måske 1400kr i timen * 2?
  • en række ekstra sikkerhedsprodukter - flere hardwarekort? hertil måske flere ressourcer i form af servere?

Det kan snildt løbe op i 250.000kr vil jeg mene.

Der er ingen tvivl om at mange glemmer at indstille systemerne til at tage imod DDoS fra starten af (mig selv inklusiv, er dog ved at lære det ;-) )

Jeg vil blot være kedelig og henvise til mit indlæg fra sidste år om DDoS, http://www.version2.dk/blog/hvad-er-ddos-distributed-denial-of-service-1... specielt følgende punkter:

  • Skru ned for antal requests som tillades ind - rate limiting og diverse max connections pr source IP og max connections pr destionation IP
  • Brug alt hvad din infrastruktur tillader dig, læs din firewall manual før der er brug for det

ALLE firewalls uden undtagelse siger de har DDoS protection, men ofte skal man selv enable det - og vælge mellem flere muligheder. Der er selvfølgelig forskel på hvor godt de håndterer det, men at slå det til er første skridt i den rigtige retning.

  • 10
  • 0
Mogens Hansen

»Det er oplagt at søge erstatning, når han nu har erkendt det første angreb. Det vil måske dreje sig om udgifterne til tre konsulenter i ti timer. Vi kan selvfølgeligt ikke gøre krav på erstatning for de udgifter, vi har haft til at få højere sikkerhed,« siger Rune Scheye Koop.

Det er glædeligt at se, at Rune er kommet lidt ned på jorden efter de udtalelser han kom med til Politiken: »Det er klart, at hvis der bliver rejst tiltale mod ham, så vil vi gøre et krav gældende for at få dækket vores udgifter. Om der så kommer noget ud af det, kan jeg ikke vide«

Dén ros skal han i hvert fald have.

  • 2
  • 1
Frederik Gaffron

Hej beggge

Først og fremmest, 250.000 er mange penge ja. En stor del af dette beløb skyldes den 24/7 overvågning vi i øjeblikket kører med for at mitigere angrebene. Derudover er der også en bindingsperiode på den DDoS-beskyttelse vi har tilkøbt, så derfor regnes abbonement på den ydelse for den bindingsperiode med.

Artiklen siger at vi ikke har nogle netværksfolk internt. Det er dog ikke ensbetydende med at vi ikke har professionelle folk til at tage sig af vores netværk. Driften af netværket er outsourcet til en meget kompetent leverandør, hvis folk har gjort hvad de kunne for at holde os i luften. Som artiklen kommer ind på har vi jo været under så hæftig beskydning at det var ligemeget hvor meget vi pillede og rodede ved netværket da hele linjen blev lagt ned.

Kunne vores sites have kørt på en anden forbindelse eller have været hostet ude i byen? Vi har haft tradition for at hoste tingene selv i KL, men det er klart at det er nogle af de overvejelser vi gør os nu. Det er som bekendt svært at gisne om fremtiden, og det er første gang vi oplever noget af denne karakter i KL. Nu har vi prøvet det, og er blevet nogle erfaringer rigere, og det tager vi selvfølgelig med i det videre arbejde med at sikre en god, stabil IT-drift fremover.

Mvh
Frederik Gaffron
IT-Driftsansvarlig, KL

  • 9
  • 0
Frederik Gaffron

Nu vil jeg ikke diskutere semantik, men helt konkret så sidder TDC og sorterer trafik fra for at vores linje eller i anden omgang, firewall, ikke bukker under. Ergo, de mildner/tager brodden af angrebets styrke.

Under alle omstændigheder håber jeg mit indlæg er til at forstå. :)

  • 2
  • 0
Frank Pedersen

Jeg synes stadigvæk at 250.000 kr nærmest lyder af Tele Greenland priser, det er helt urimelig mange penge i mine ører. Det er langtfra første gang jeg hører om den slags priser, men virker det ikke lidt som om at større firmaer har mistet overblikket over hvad der er rimeligt at betale? Jeg er ikke ude på at fornærme nogen og det er ikke udelukket at det er mig der tager fejl, men jeg havde nok overvejet at skifte udbyder, og/eller evnt. styre firewallen selv og have en drifts ansat som har specialiseret sig netværks sikkerhed. Tre konsulenter x 10 timer a 1400 pr snude!? Det er 42.000 kr i konsulent timer på en nats arbejde. Jeg gik gerne for 42000 i månedsløn!

  • 0
  • 0
Christoffer Kjeldgaard

Men det er måneden efter, hvor der ikke er nogen angreb der er dyr. 42000 lyder af meget, men det er jo en spidsbelastning. Næste måned kan det være 0KR.Du glemmer også at medregne, at en medarbejder koster væsentligt mere end det han får i løn. Han skal have computer, skrivebord, stol, kontorplads og pension. Og så er 42000 lige pludselig ikke ret mange penge.

  • 2
  • 0
Log ind eller Opret konto for at kommentere

Mærsk-CISO: Jeg stoler ikke på den indbyggede sikkerhed i cloud

7

Europa har ikke flere nye IPv4-adresser

21

Amerikansk ambassadør: Uvenligt af Færøerne at købe kinesisk telenet fra Huawei

31
Job fra Jobfinder
Regional Information Security Coordinator
IT Project Manager
Embedded Software Developer
Nyutexaminerade IT-profiler
Systemadministrator til forretningskritiske Microsoft Enterprise-løsninger
Praktikanter til datadrevet forretningsudvikling
info Se job der matcher dine skills og karriereønsker.
infoPersonaliserede jobclose

You can personalise jobs so they better match your skills and career wishes.

Log ind og opdater din profil for at se personaliserede job.

Log ind
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Gratis webinar: Kom godt i gang med en enterprise-ready cloud-platform
Whitepaper
Whitepaper
Tjekliste: De 10 vigtigste overvejelser om colocation
Webinar
Webinar
Gratis Version2 webinar: Undgå GDPR-bøder med sårbarhedshåndtering
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder