Spam, phishing og DDoS-angreb. Det hovedløse monster har mange navne.
Hos landets største internetudbyder, TDC, er man klar til at tage kampen op mod alle de farer, der lurer i internettets mørke kroge.
Manden, der kigger efter under sengen, så vi trygt kan ligge os til at sove, hedder Lars Højberg. Han er uddannet datalog og skriver teknisk sikkerhedschef på sit visitkort.
Det er ham, der samler trådene bag TDC's sikkerhedsberedskab. Og når meldingen kommer om, at ondsindede cyberkriminelle truer den danske netsikkerhed, er det blandt andre ham, der sørger for, at at truslen bliver bekæmpet.
Beredskab på flere niveauer
Meldingen kan komme mange steder fra. Det kan være fra en international samarbejdspartner. Fra et af de store sikkerhedsfirmaer. Det kan være en alarm i en driftsovervågningsenhed. Måske hører kundeservice noget. Nogle gange ringer telefonen, og andre gange dumper der en mail ned i indbakken.
Hos TDC består internet-sikkerhedsberedskabet af flere forskellige niveauer. Særligt skelnes der mellem det operationelle og det kommunikative niveau.
Det kommunikative niveau består dels af kundeservice, som har den primære kontakt med firmaets kunder, og som kan informere direkte om en bestemt trussel. Og dels af kommunikationsafdelingen hvor der er ansat en række journalister, der hurtigt kan kommunikere den relevante information.
På det operationelle plan befinder sig en række folk, der beskæftiger sig med driften af de centrale servere samt en abuse-desk afdeling, der tager sig af sager om misbrug af firmaets tjenester. Det er blandt andet sager om spam og phishing.
Hvis eksempelvis en sværm af phishing-mails udgør truslen, er der typisk være behov for at informere om den konkrete trussel så hurtigt som muligt. Derved kan man som regel dæmme op for den værste skade.
"Det skal gå rasende stærkt. Informationen om truslen skal ud straks," siger TDC's tekniske sikkerhedschef Lars Højberg.
Henover sommeren oplevede TDC en række phishing angreb rettet mod firmaets kunder, hvor it-kriminelle har forsøgt at fravriste kundernes brugeroplysninger og passwords.
Også her var TDC hurtigt ude for at informere om angrebet.
"I starten af august kunne vi se, at der kom flere og flere af de her phishing-mails i omløb, ligesom de blev mere og mere professionelle i deres udformning. Derfor valgte vi at gå i pressen med det," siger Lars Højberg.
Døgnberedskab spiller vigtig rolle
TDC's døgncenter indtager en helt særlig plads i beredskabet. Det er nemlig dem, der sidder klar på alle tider af døgnet til at kaste sig imellem de cyber-kriminelle og TDC's kunder.
Et DDoS angreb mod firmaets centrale komponenter kan komme på alle tider af døgnet. Og i det tilfælde betyder reaktionstiden uendeligt meget.
"Hvis døgncentret bliver opmærksomme på et DDoS angreb, så er der et beredskab, der går i gang. Hvis de ikke selv kan håndtere det, så tager de fat i de folk, der kan. Også selvom det er midt om natten," siger Lars Højberg.
Samarbejde er et nøgleord
TDC deltager i flere forskellige internationale samarbejder for internetudbydere. Blandt andet i det europæiske ETIS og det verdensomspændende MAAWG, hvor der er cirka en milliard mailbokse repræsenteret.
"Trusler kan komme indefra, men de kan i særdeleshed også komme udefra, og så skal de helst håndteres så tæt på kilden som muligt," siger Lars Højberg.
For ham er samarbejdet med andre internetudbydere et helt centralt nøgleord i kampen mod internettets mange trusler.
"Bot-pc'ere er jo ligeglade med, hvad for et net de er placerede i, og derfor er det vigtigt, at vi kan tale sammen med de andre internetudbydere, hvis angrebet kommer derfra," siger han.
ISP'ernes sikkerhedsråd
Udover at deltage i forskellige internationale samarbejder, har de danske ISP'er deres eget samarbejdsforum. Det hedder ISP Sikkerhedsforum og repræsenterer cirka 98 procent af det danske privatmarked for internetbrugere.
For at internetudbyderne kan blive opmærksomme på en trussel så hurtigt som muligt, har ISP Sikkerhedsforum sit eget beredskab, der er bygget op omkring et alarmsystem.
Alarmsystemet bruges til at alarmere de andre internetudbydere om en trussel, og til at give instrukser om hvilke forholdsregler, der bør tages.
"Et typisk scenarie vil være at informere om truslens art og så samle folk så hurtigt som muligt," siger Lars Højberg.
Lars Højberg understreger, at når alarmen går hos ISP Sikkerhedsforum, så er det fordi truslen er meget alvorlig, og at et fælles fodslag er nødvendigt for at komme truslen til livs.
"Vi kan være konkurrenter på alle andre områder, men lige præcis om sikkerhed, der samarbejder vi. Der er kun ét internet, og vi har et fælles ansvar for sikkerheden," siger Lars Højberg.
Der har heldigvis ikke har været behov for at iværksætte beredskabet ret mange gange, fortæller han. Men i et par enkelte tilfælde, har det været nødvendigt.
Han vil ikke give nærmere detaljer om hændelserne, men han fortæller, at truslen i alle tilfælde er kommet fra bot-pc'er. Og så kan det være en lang og sej kamp.
"Et angreb kan sagtens stå på over flere dage. De kriminelle er enormt dygtige, og bevæger sig hele tiden rundt. Så selvom vi lukker adgangen til én server, kan de styre angrebet fra en anden maskine et øjeblik senere," siger han.
Vigtige erfaringer
Udveksling af erfaringer spiller også en vigtig rolle i samarbejdet.
ISP Sikkerhedsforum består af en styregruppe, der tager sig af det koordinerende i forbindelse med en akut trussel.
Under styregruppen sidder også en teknikgruppe, der har ansvaret for det operationelle i forbindelse med en trussel. Teknikgruppen holder derudover regelmæssigt møder for at finde ud af på hvilke måder, ISP'erne kan samarbejde rent teknisk. Det er blandt andet i det forum, at det børneporno-filter, som internetudbyderne bruger, er udviklet.
Der også et abusedesk-forum. Her bliver udvekslet informationer, om eksempelvis phishing-mails, og hvad de forskellige abusedesk-folk ellers bliver opmærksomme på.
"Det er egentlig meget lavpraktisk. I første omgang handler det bare om, at have et netværk med kontaktpersoner hos de andre udbydere. Et beredskab skal være lavpraktisk og konkret, fordi det ofte skal gå så stærkt," siger Lars Højberg.
Lang sej kamp mod bot-net
Meget tyder på, at der også i fremtiden vil være hårdt brug for et sikkerhedsberedskab på tværs af internetudbydere. Lige som der vil være behov for at udvikle nye metoder til at bekæmpe de kriminelle.
Der er i hvert fald ikke meget optimisme at spore hos TDC's sikkerhedschef, når snakken falder på om, hvorvidt kampen mod bot-pc'erne kan vindes.
"Det er jo et våbenkapløb. Dem, vi er oppe imod, er meget kreative. Og selvom vi gør alt, hvad vi kan, må vi nok indstille os på, at det er en kamp, vi kommer til at kæmpe et godt stykke tid endnu," siger Lars Højberg.
