De naweeën van de grote storing bij Deutsche Telekom

Storingen waardoor diensten niet kunnen worden afgenomen leiden tot ophef en mogelijk zelfs tot onrust. Om die eerste reden is het makkelijk te volgen wat er aan de hand en te overwegen passende maatregelen te treffen. Als onrust ontstaat zijn de rapen gaat, want dan staat rationeel handelen onder druk.

De grote storing in het netwerk van Deutsche Telekom (DT) die op zondag 28 november circa 900.000 huishoudens van de internet (en ip tv) toegang beroofde leidde in ieder geval tot heel veel ophef en is daarom nauwlettend gevolgd. Onrust van enige omvang was er gelukkig niet, paniek was totaal niet aan de orde.

Terugblikkend is het een stuk makkelijker de stukken van de puzzel op de juiste plek te leggen en zo een compleet beeld te krijgen van dit incident. Wat het in ieder geval was: een verstoring van de dienstverlening. Amper een week na alle internationale ophef over IoT botnets leekt dit een tweede case te zijn van manipulatie van devices op ongekend grote schaal. Echter, als dat al het doel zou zijn geweest dan is dat door ingrijpen van de interne cyberbrandweer van DT effectief en redelijk efficiënt voorkomen. Er was een link met de IoT botnets, maar veel wijst erop dat het hier niet ging om geslaagde besmettingen van routers bij gebruikers thuis via poort 7547 en het TR-069 protocol. Zoals hier terug te lezen is: die zwakte is niet aan de orde bij de routers die DT uitgeeft. Het is wel zo dat de Speedports door die aanvallen onderuit gingen en daardoor automatisch opnieuw probeerden te connecten. Was er weer een verbinding dan werd de quasi nutteloze aanval opnieuw ingezet, Speedport ging weer plat, et cetera.

Het lijkt redelijk onwaarschijnlijk dat dit de bedoeling van de cybercriminelen is geweest. Het creëren van een DOS is namelijk niet echt handig als het echte doel is een botnet opbouwen, daarvoor is namelijk een werkende verbinding nodig en de omvang van het incident was ook dusdanig dat alle bellen bij elke CERT direct afgingen. Overigens is op dat punt wel een kanttekening te plaatsen. De aanval startte rond 15:00 op 28 november. Er zijn echter screenshots en berichten in omloop van mensen in Duitsland die claimen dat dagen er voor al een verhoogd aantal gelijkwaarde aanvallen (poortscans op 7547) zichtbaar was. Als dat klopt, dan kan de cyberbrandweer van DT dus al gewaarschuwd zijn geweest.

Na DT de situatie onder controle wist te krijgen – dat was een omvangrijke maar niet bijzonder complexe klus. Iedere IT beheerder kan en zal op dezelfde wijze zijn netwerk onder controle kunnen brengen – was het probleem ook snel weer van de agenda verdwenen.

Op dat punt aanbeland is het goed stil te staan bij de communicatie en reactie rond dit incident door DT. Die was namelijk in orde. De callcenters bleven overeind, ze waren geen bron van geruchten (beiden een opmerkelijk prestatie!) en door het daags beschikbaar stellen van additionele mobiele bundels werd de impact van het offline zijn deels opgevangen. Dat er draaiboeken waren is duidelijk en dat de investering daarin heeft geloond is dat ook.

De CEO van DT Höttges heeft later die week schijnbaar nog ondernemers toegesproken over het onderwerp IT security en daarbij de toehoorders opgedragen (vertaald): “Als het om veiligheid gaat moeten jullie naar nerds luisteren, niet naar CFO’s”. Hoe die quote tot stand kwam, of dit een voorbereidde tekst was, dan wel een opmerking uit de losse pols. Het laat wel zien dat DT anno 2016 weet hoe de vlag er bij hangt en waar de echte kennis zit.

Onder leiding van de oude digibete generatie (zie de onvoorstelbaar domme quote van Ron Sommer) was de impact van van het incident veel groter geweest omdat dat de mannen waren die alleen maar oog hadden voor de banksaldi en nooit iets wilden horen over security.

Share: