Under påsken 2016 drabbades flera svenska nyhetssajter av omfattande DDoS-attacker (se även mitt tidigare inlägg om detta). Efter påsk kallade Alice Bah Kuhnke mediechefer och teknikchefer till ett möte på Rosenbad. Deltog gjorde även inrikesminister Anders Ygeman. Mötet kom att fokusera mycket på en intressant analogi om att staten en gång i tiden ansvarade för det svenska vägnätet där tidningsbilarna körde ut nyheter till folket, och att det idag finns ett digitalt vägnät för distribution av nyheter. Ygeman menade då på att det är upp till medierna att ställa krav på operatörerna för det digitala vägnätets duglighet. Idag måndag 4/7 arrangerade TU ett seminarium i Almedalen med titeln ”IT-attack via Ryssland – nya tidens hot mot medier” där Anders Ygeman deltog så jag passade på att ställa några frågor till honom kring luckorna i hans resonemang. Då tiden var knapp och Ygemans svar avvikande skriver jag därför detta inlägg som Anders Ygeman istället kan läsa och besvara när han får tid.

Delat ansvar = inget ansvar

Det Ygeman beskrev på Rosenbad och nu senast i Almedalen är ett distribuerat ansvar där olika leverantörer utan samordning eller oberoende granskning ska komma överens med sina kunder om vilket grundansvar de bör ta. Eftersom båda parter har ekonomiska egenintressen är denna dialog bakbunden från start. För att inte tala om hur märkligt detta blir om inte initiativen och åtgärderna samordnas mellan olika operatörer?

Påsken 2016 var det ett stort antal svenska medier som slogs ut, vad händer nästa gång när det är bankerna som är måltavla, eller kanske någon kulturinstitution, hälsocentralerna eller skolorna? Vilken omfattning krävs för att inspirera regeringen till konkreta åtgärder? Ska skolorna också gå ihop och upprätta egna tekniska säkerhetsråd som vi medier har gjort? Ska vi alla utöva individuell lobbyverksamhet mot varje enskild operatör? Det vore intressant att höra Anders Ygeman förklara mer om hur han tänker sig att detta distribuerade ansvar utan samordning skall fungera i praktiken och vilken effekt han ser framför sig.

Det finns ett naturligt första steg

På Rosenbad fick Ygeman stöd från PTS som menade på att staten inte kan övervaka datapaketen som skickas genom det svenska nätet. Har man låg teknisk kunskap är det lätt att bli tystad av ett sådant argument, speciellt om man är ett mediehus som är livrädda för att staten ska snoka i ens trafik. Har man däremot hängt med i den nationella och internationella debatten står det klart och tydligt att det finns ett alternativ för filtrering av internettrafik som inte alls kränker integriteten på internet. Förslaget lades fram av Internet Engineering Task Force redan år 2000 och har sen dess blivit känt som BCP-38.

Förslaget går ut på att operatörerna inte ska tillåta spoofade paket i sina nät eftersom datorer som skickar spoofade paket har en felaktig konfiguration av två skäl: Misstag eller ont uppsåt. För att kunna utföra en DDoS-attack behöver du ett botnet hostat i ett subnät där man tillåter IP-spoofing. Att filtrera ut sådana paket har ingen som helst påverkan på nätneutralitet utan är enbart av godo. Sunet kommer inom kort ut med en längre skrivelse kring detta i samband med BEREC-förslagen i EU.

Det behövs nya riktlinjer

Om man som operatör anser sig vara duglig att bära en för “samhället viktig tjänst” skall en viss nivå av teknisk minimumkvalitet kunna garanteras. Det finns redan liknande riktlinjer från PTS vad gäller tv och det har fungerat positivt. Vi behöver etablera liknande om än mer ambitiösa, nationella riktlinjer för internet som ju är Sveriges huvudmedium och de hårdaste kraven skall komma från staten för att hjälpa operatörens kunder att handla rätt sak!

Det mandat PTS har idag är för omodernt. De hanterar fiber, passiv infrastruktur, frekvenstilldelning, osv. men inte ”internetlagret”. PTS bör få i uppdrag att tillsammans med stora operatörer och utvalda nyckelkunder ta fram förslag på nationella riktlinjer. Riktlinjer där det ställs krav på att operatörerna följer en ”least-effort modell” för hur man till kunder av särskilt intresse bygger redundans, överbelastningsskydd, kapacitetsplanering över tid, m.m. Det är ytterst få kunder som har kompetens att själva ställa dessa krav på operatörerna. För en tillräckligt djup kravställning krävs operatörsbakgrund, det kan vi i Mediernas Tekniska Säkerhetsråd bestyrka.

Vems är egentligen ansvaret för det digitala vägnätet?

Det anordnades ett mycket bra seminarium kring överbelastningsattacker på PTS i maj som en postmortem av påskens attacker. Där stod klart att attackerna på svenska medier inte var av tillräcklig omfattning för att upptäckas av Netnod vilket använts som ett argument från PTS och vissa operatörer för att medierna överreagerat. För mig talar detta snarare för att det krävs en annan typ av monitorering. I påsk handlade det nämligen inte om våldsamma Gbps-volymer utan om stora mängder paket. Det är operatörernas ansvar, inte Netnods, att hålla koll på dylika mönster och varsko varandra via upprättade, gemensamma riktlinjer. Tyvärr är så icke fallet, och följden är att operatörerna ligger efter skurkarna. De DDoS-ramverk som finns därute har blivit bättre och bättre, och idag behöver du inte ens särskilt hög kunskap för att utföra denna typ av attacker. Ramverket gör själv en sårbarhetsanalys och granskar operatören efter svaga punkter samt kartlägger hårdvara, mjukvara, konfigurationer, osv. Därefter väljs lämplig attackstrategi och denna kan precis som i påsk förändras över tid.

Inom programmering finns något som kallas “teknisk skuld” som uppstår när man spenderar för mycket tid på nyutveckling och för lite tid på underhåll. Eftersom oberoende tillsyn saknats har operatörerna genom åren skapat en sådan teknisk skuld och det är dags att vi gör något åt det. För trots att internet är Sveriges absolut viktigaste medium saknas uppenbarligen en nationell strategi för att förebygga omfattande attacker likt den som drabbade mediebolagen i påsk. Eller är det så, Anders Ygeman, att regeringen på fullaste allvar hellre ser att det digitala vägnätets ägare och brukare individuellt och utan samordning skapar godtyckliga överenskommelser för framkomlighet och åtkomlighet på Sveriges viktigaste kommunikationsnät?

Skrivet av:

Mittmedia

Mer team

Stefan Wallin
Feb 13, 2017

In this first episode of the monthly Hack Day Review, I’ll give you a background on our Hack Day approach and you’ll get to read about what inspiring things our developers and designers explored on their “paid free time”.

Beatrice Nilsson
Jan 13, 2017

Mobbprogrammering - The DMU Way

Korrigering 2016-03-20 12:31: I min originaltext påstod jag felaktigt att Aftonbladet.se som också drabbades av gårdagens DDOS-attack driftas på Basefarm. Har korrigerat detta men poängen som jag vill trycka på i denna text kvarstår. Kuriosa: Schibsted som äger Aftonbladet sålde Basefarm 2009.

Norrland. Denna mytomspunna, näst intill exotiska landsända. Besjungen, bespottad och ständigt aktuell. Fredag den 4 november även omnämnd i Breakits podcast som hemvist för MittMedia. Det stämmer att vi på MittMedia bevakar Norrland, tillsammans med andra duktiga lokalmediekoncerner som t.ex. VK, Norran och NTM. Vi täcker upp knappa hälften av Norrland eftersom Dalarna ej kan räknas in då det tillhör Svealand.

Mathias Nylén
Nov 5, 2015

Behovet att bryta vardagen var förmodligen en av de sämre motiveringar jag kunnat använda i mitt försök att förklara varför vi numera var ett av de inplanerade stoppen på Lennart’s journeyman tour. En kort reflektion av tiden sedan sommarsemestern visade att den s.k. vardagen aldrig riktigt infunnit sig för DMU, Mittmedias enhet för digital medieutveckling. Sedan augusti hade vi välkomnat 10 nya kollegor, formerat nya utvecklingsteam, påbörjat experiment kring arbetsätt och teknik med målet att bli än vassare på att leverera nya digitala upplevelser.

För några veckor sedan pratade jag om vikten av okonventionell erfarenhet på mässan Karriär och Framtid och på allmän begäran kommer hissversionen här som ett blogginlägg.

Oct 2, 2015

Jag loggade in på Medieutredningens forum härom dagen. Under sektionen Teknologi fanns mötesnoteringar rörande vikten av bredband och mobiltäckning. Det värmde. Jag hoppas att dessa två frågor kommer högst upp på Medieutredningens agenda. I det här inlägget tänkte jag trycka på varför tillgång till internet är en central demokratifråga och varför stöd till tidningsdistributionen inte får överskugga detta.

Sep 23, 2015

Herakleitos skrev något i stil med “Det enda konstanta är förändring” och jag har väl aldrig varit så benägen att hålla med honom som nu. Den 26 februari fick min dotter två energiska enäggsbrorsor och sen dess har jag levt i konstant förändring. I små iterationer. Det är även svaret på de frågor jag fått om var de tre sista inläggen i Kringlan-serien tagit vägen…

Peter van der meulen
Aug 27, 2015

Hello world! That’s the term you would normally see in the very first post of a Blog. What then is this text doing in a blog filled with 2 year older articles you ask?

Värdet hos en produkt skapas när den används. Ett paraply blir ett skydd mot regnet när du fäller ut det, en påse blir förvaring när du lägger saker i den. En nyhetssajt består av innehåll och funktionalitet men det är när besökaren använder sajten som värdet skapas. Värde i form av kunskap, idéer och tankar. Engagemang och känslor. Företagskunden använder också sajten för att skapa värde – t.ex. via varumärkesprofilering eller utbudsannonsering.

Torsdag 18/12 2014 var en historisk dag. Inte bara för att vi äntligen kunde presentera nya, förbättrade Mittmedia.se, utan för att vi därmed släckte den sista av våra Polopoly-sajter. Det här inlägget handlar om varför det är viktigt för en mediekoncern att ha stor kontroll över den tekniska plattformen samt ha egen utveckling.

Totalt 16 dagars julledighet blev det denna gång, inte illa! Sexton dagar av julmat och släkt men framför allt av hemmasoftande i mysbyxor, av Pippi Långstrump, häpnadsväckande byggnadsverk i Duplo och massor av böcker. Inte bara barnböcker som tur är utan jag hann även läsa Lee Iacoccas klassiska självbiografi och framför allt The Renaissance Society av Rolf Jensen och Mika Aalto som jag tänkte reflektera lite över i detta blogginlägg.