Den offentlige serviceportalen norge.no har vært nede for telling. Nettstedet har vært utilgjengelig for besøkende siden mandag ettermiddag.
Akkurat i det denne artikkelen skulle publiseres kom nettstedet opp igjen.
Dette skjer samtidig med en av de største masseutsendelsene av e-post, som noensinne er gjort av det offentlige, der staten ber 2,8 millioner innbyggere velge seg en sikker digital postkasse.
Dermed skulle en tro at det er masseutsendelsen som førte til nedetid, for meldingen fra Direktoratet for forvaltning og IKT (Dif) lenker til nettopp norge.no.
I virkeligheten var det et massivt tjenestenektangrep (DDoS) og ren sabotasje som mandag ble innledet mot nettportalen.
Ledelsen i IT-direktoratet satt tirsdag morgen i et første ledermøte med ny direktør, og har foreløpig ikke kommentert våre opplysninger, utover en kort melding fra avdelingsdirektør Torgeir Strypet.
– Litt nedetid på norge.no har ingenting med epostutsendelse å gjøre, skriver han.
digi.no har fra andre kilder fått bekreftet at det dreier seg om et tjenestenektangrep, altså en bevisst sabotasje ved typisk å overbelaste nettstedet med store datamengder, slik tjenesten blir treg eller slutter å svare.
Opplysningene sammenfaller med påstand fra nettaktivister som kaller seg «Anonymous». I en twittermelding i går ettermiddag tok de på seg ansvaret for DDoS-angrep mot norge.no. Det blir oppgitt at angrepet er ledd i en protest mot Norges hvalfangst.
Flere angrep
Kommunikasjonsdirektør Mona Strøm Arnøy i Nasjonal sikkerhetsmyndighet (NSM), som gjennom sin datasentral NorCERT er Norges fremste forsvar mot dataangrep, bekrefter at de kjenner til tjenestenektangrepet.
– Vi kjenner til angrepet som Anonymous bekrefter eller hevder å stå bak. Vi mottar en del informasjon, men det er de tekniske leverandørene til norge.no som selv jobber med gjenoppretting, sier Arnøy til digi.no.
– Vi har hørt at det er flere norske nettsteder enn norge.no som har vært rammet av tjenestenektangrep. Kan du bekrefte det?
– Det kan dreie seg om flere, som har vært inne i loopen før, er alt NSMs kommunikasjonsdirektør kan si om det.
Som en direkte konsekvens av driftsforstyrrelsene valgte Difi ikke å sende ut dagens planlagte masseutsendelse av e-post, hvor de ber innbyggere velge mellom de to alternativene e-Boks eller Postens Digpost. Disse forsendelsene har vært porsjonert ut over mange dager nettopp for å begrense trykket mot norge.no.
DDoS kan ikke hindres, det må lindres
Avdelingsdirektør Hans Christian Pretorius i NSMs operative avdeling bruker å si at tjenestenektangrep ikke kan hindres, de må lindres. Han antar at angrepet mot norge.no var en nokså standard variant.
En vanlig metode for å lindre et tjenestenektangrep er ved å filterere vekk søppeltrafikken, for eksempel ved å sperre ute IP-adresser som inngår i angrepet. Slike kan det være mange av.
– Det er helt sikkert utført med et stort botnett, altså en mengde klientmaskiner som er infisert og under kontroll. For å få trafikkvolum nok holder det typisk ikke med bare norsk infrastruktur. Det betyr at det i de fleste tilfeller er tilstrekkelig å sperre for utenlandstrafikk inn mot den angrepne serveren, sier Pretorius.
Hos IT-direktoratet mener man at rutinene er gode ved slike forsøk på sabotasje.
– Dette ble håndtert 100 prosent etter boka fra vår side. Vi ble utsatt for et angrep i går kveld og har klare sikkerhetsrutiner som slo inn umiddelbart. Dette ble avledet med en gang. Vi har gjort noen grep, men valgte selv å holde nettstedet nede en periode. Nedetiden har veldig liten betydning for epostkampanjen vi startet i forrige uke og kjører over to uker, sier Difs avdelingsdirektør Torgeir Strypet.