Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 24. februar 2006.
Da muslimer i hele verden så sig gale på Jyllands-Posten, kom jp.dk under heftig beskydning fra hackere. Casper Bruun Møller fra Metropol Online stod for at holde
websiderne i luften, da det gik løs.
Nok er it-folk vant til utilfredse brugere og kunder, men at drive en webside, der har knap en fjerdedel af verdens befolkning på nakken, er ikke hverdagskost.
Det er det efterhånden blevet for 31-årige Casper Bruun Møller, teamleder hos Metropol Online og ansvarlig for den tekniske side af Jyllands-Postens webavis.
- Man kan sige, at vi har fået lavet nogle interessante test af, hvad vores systemer kan klare, smiler han.
Siden 1999 har han været hos Metropol Online, først på deltid ved siden af datalogi- og HD-studierne, og siden 2003 på fuld tid. Og den seneste tid har været "intens", medgiver han, selvom han ser ud til at tage hele balladen med ophøjet ro.
Da utilfredsheden med Muhammed-tegningerne begynder at brede sig globalt i slutningen af januar, blev Jyllands-Postens webavis lagt ned flere gange dagligt af hackerangreb henover en weekend. Det forplantede sig også til andre kunder hos Metropol Online, blandt andet bt.dk og berlingske.dk, der blev revet med i faldet.
Første slag stod fredag aften, hvor trafikken pludseligt stiger voldsomt. Et distribueret denial of service-angreb var sat ind.
- Vi var så heldige, at vi havde en splinterny platform stående parat, fordi vi skulle til at opgradere hardware og internetforbindelse, forklarer Casper Bruun Møller.
Ved at isolere Jyllands-
Postens websider på den nye server, blev kapaciteten forhøjet nok til, at første angreb kan afværges, og jp.dk kommer i luften igen efter et par timers nedetid. Men freden holder ikke længe. Næsten på klokkeslæt vender de virtuelle stormløb tilbage formiddag og aften både lørdag og søndag, med stadig voldsommere styrke. Det bliver en travl weekend i afdelingen, og teamlederen og hans crew er på arbejde næsten i døgndrift i forsøget på at holde webavisen online.
- Heldigvis skulle jeg ikke andet den weekend, lyder det tørt fra Casper Bruun Møller.
Næste trin i forsvarsstrategien var at sætte filtre op, der kunne skille god trafik fra dårlig trafik. Et af forsøgene blev dog lige fintmasket nok, for journalisterne på Jyllands-Postens redaktion blev også sorteret fra. Men stadig lykkes det hackerne at nedlægge jp.dk i flere timer ad gangen.
Efter de første par dages kamp mod hackerne, bliver Metropol Onlines internetudbyder koblet ind over. Angrebene var blevet så massive, at det forstyrrede de andre kunder hos udbyderen.
- Internetudbyderen installerede noget software, der kunne filtrere trafikken, på deres
core-router, altså der hvor de udveksler trafik med andre udbydere. Dermed blev angrebene sorteret fra ikke bare ved fordøren, men helt ude ved stikvejen. Når beskyttelsen ligger helt deroppe i kæden, så skal man gøre sig meget umage for at komme igennem med et DDoS-angreb, som det vi har set, forklarer Casper Bruun Møller.
Softwaren finder automatisk ud af, hvad der er normal og hvad der er ondsindet trafik, ved matematisk at analysere, hvordan trafikkens ‘fingeraftryk' ser ud. Og det virkede. Siden har Jyllands-Postens webavis været online, selvom angrebene er fortsat på livet løs. Ved siden af forsøgene på DDoS-angreb, er der også stadig masser af portscanninger, hvor hackere leder efter eventuelle huller i sikkerheden på serverne hos Metropol Online. Heldigvis uden held.
- Det er jo nogle højt profilerede websider, vi driver, så vores servere var på forhånd pakket ret godt ind i firewalls og proxy-servere, forklarer han.
Siden 11. september 2001, hvor trafikken til nyhedssites eksploderede, har der været meget fokus på uforudsete hændelser og store trafikmængder hos Metropol Online. Det førte blandt andet til udviklingen af et intelligent
cache-system, der har været en stor fordel i de seneste stormomsuste uger. Næsten alt indhold på jp.dk omdannes til statiske websider, der lægges i et stort cache-lager. Så når en besøgende læser artiklerne på siden, sker det uden at involvere backend-serveren.
- Derfor er det svært at overbelaste vores server med trafik, og så har det også den fordel, at de besøgende bliver holdt ude af backend-delen, siger Casper Bruun Møller.
Ugerne efter de første angreb blev sat ind, er gået med at forestille sig, hvad hackerne ellers kunne finde på, og finde på eventuelle løsninger, før problemerne opstår.
I dag, en lille måned efter at det hele begyndte, er der igen faldet ro over jobbet, og Casper Bruun Møller kan begynde at afsætte tid til andre interesser end hackerbekæmpelse. Mere præcist ultimate, der er en frisbee-holdsport, og de seneste rygter om hvem, der spiller på Roskilde Festival. I ti år har han nemlig lyttet på vandrørene i musikbranchen og bestyret en webside, der fortæller om, hvad festivalgæsterne kan vente sig. Lige nu er det højsæson for Roskilde-rygter, men tiden har været knap.
- Det har mest været min medredaktør, der har stået for det på det seneste, indrømmer han.
Billedtekst:
manden
i centrum
- Vi overvejede, om vi skulle ringe efter et it-sikkerhedsfirma, men vi kunne se, hvordan det udviklede sig og fandt hurtigt et mønster
i angrebene, siger Casper Bruun Møller, teamleder hos Metropol Online, der stod for skud, da balladen
om Muhammed-tegningerne udmøntede sig
i massive hacker-angreb mod Jyllands-Postens webavis.
