Kiedy estońskie władze przystępowały do usunięcia pomnika Brązowego Żołnierza z parku w Tallinie, spodziewały się gwałtownych ulicznych protestów Estończyków pochodzenia rosyjskiego. Wiedziały też z doświadczenia, że - jak mówi Hillar Aarelaid, dyrektor estońskiego Komputerowego Zespołu Szybkiego Reagowania - "jeśli toczą się walki na ulicach, będą też walki w internecie".
Dla Estończyków dostęp do sieci internetowej jest równie ważny jak bieżąca woda; używają jej do głosowania, płacenia podatków, a przez telefony komórkowe płacą za zakupy czy parkowanie.
To, co się stało, niektórzy określają mianem pierwszej wojny w cyberprzestrzeni. Przez miesiąc maleńki kraj bałtycki bronił się przed powodzią bajtów, która, jak twierdzą władze, zalała go na rozkaz Moskwy lub estońskich Rosjan w odwecie za usunięcie pomnika. Estończycy przekonują, że adres komputera biorącego udział w atakach należał do urzędnika administracji prezydenta Władimira Putina. Rząd rosyjski zaprzeczył swemu udziałowi.
Ataki nieomal sparaliżowały internetową infrastrukturę kraju. Zawiesiły się strony prezydenta, premiera, parlamentu oraz innych urzędów państwowych, największego banku Estonii i kilku gazet codziennych. - Narodowe bezpieczeństwo Estonii zostało zagrożone - uznał minister obrony Jaak Aaviksoo. - To jak blokada portów morskich.
Eksperci komputerowi z NATO, Unii Europejskiej, Stanów Zjednoczonych i Izraela zebrali się w Tallinie, by zaoferować pomoc, a zarazem zbadać możliwości walki z cyberatakami, które w erze informatycznej są coraz częstsze.
- To może być zimny prysznic, który uświadomi nam, jak bardzo podatne na ataki jest skomputeryzowane społeczeństwo - mówi Linton Wells II, specjalista ds. sieci komputerowych z Pentagonu. - Sytuacja Estonii przyciągnęła uwagę wielu ludzi.
Jak hakerzy to zrobili Kiedy 26 kwietnia o godz. 22 pierwsi hakerzy wdarli się do estońskiej cyberprzestrzeni, Aarelaid był gotowy. Wzniósł kilka zapór ogniowych (firewalli) wokół rządowych stron internetowych, ustawił parę dodatkowych serwerów i kazał personelowi szykować się na gorący tydzień.
Władze oczekiwały odwetu za usunięcie pomnika, pod którym zbierała się rosyjskojęzyczna mniejszość Estonii. Pomnik został przesunięty z centrum na trudniej dostępny cmentarz wojskowy.
29 kwietnia na ulicach Tallina po dwóch dniach zamieszek znów panował spokój. Lecz elektroniczna Linia Maginota kruszała. W jednym z pierwszych uderzeń fala spamu, czyli niechcianych e-maili, unieruchomiła serwer obsługujący pocztę elektroniczną parlamentu. W innym hakerzy włamali się na stronę Partii Reform i umieścili na niej fałszywy list od premiera Andrusa Ansipa, w którym miał on przepraszać za decyzję o usunięciu pomnika.
Wówczas Aarelaid, były
policjant, zebrał ekspertów od bezpieczeństwa pracujących dla estońskich dostawców internetu, banków, urzędów państwowych i policji. Skontaktował się też z Finlandią, Niemcami, Słowenią i innymi krajami, by pomogły mu wyśledzić i zablokować podejrzane adresy internetowe pochodzące z państw tak odległych jak Peru czy Chiny.
Większość ataków wykorzystywała technikę zwaną DoS. Bombardując strony internetowe danymi, napastnicy mogą zatkać nie tylko serwery, ale też routery i przełączniki, czyli urządzenia kierujące ruchem w sieci.
By zwiększyć siłę ataku, hakerzy przeczesują komputery na świecie za pomocą specjalnych programów i grupują je w sieci. Te komputery stają się bezwolnymi żołnierzami albo tzw. zombie i wspólnie dokonują włamań na zlecenie tego, kto przejął nad nimi kontrolę.
W jednym przypadku napastnicy początkowo wysłali jednorazowo ogromną porcję danych, aby zmierzyć wytrzymałość atakowanego systemu. Kilka godzin później dane wysyłane z wielu źródeł szybko przeciążyły routery i przełączniki.
Pod koniec pierwszego tygodnia Estończycy, z pomocą władz innych krajów, wprawili się w filtrowaniu wrogich danych. Aarelaid wiedział jednak, że najgorsze dopiero nastąpi. 9 maja przypada rosyjski Dzień Zwycięstwa. W tym dniu Rosjanie upamiętniają zwycięstwo Związku Radzieckiego nad hitlerowskimi Niemcami i oddają cześć poległym żołnierzom Armii Czerwonej. To dobra okazja, żeby pokonać estońską sieć internetową.
Aarelaid naradził się z szefami ochrony banków, mobilizując ich do utrzymania działania usług internetowych. Polecono mu też chronić stronę informacyjną rządu. Inne strony, np. prezydenta, poświęcono, uważając je za mniej ważne.
Hakerzy użyli do ataku gigantycznej sieci zombie - może nawet miliona połączonych komputerów w miejscach tak odległych jak
USA i Wietnam. Wynajęli też gotowe ich zbiory, tzw. botnety, co świadczy o tym, że dysponowali funduszami.
- Pomnożenie wielkich pakietów informacji przez tysiące maszyn to recepta na niszczący atak DoS - mówi José Nazario, specjalista z Arbor Networks, amerykańskiej firmy zajmującej się bezpieczeństwem internetowym.
Rankiem 9 maja ruch w sieci wzrósł kilka tysięcy razy. Jeszcze gorzej było następnego dnia. Największy bank Estonii musiał zamknąć swój serwis internetowy na ponad godzinę. Hansabank wciąż jest atakowany, choć zablokował dostęp z 300 podejrzanych adresów. Wyliczył straty na co najmniej milion dolarów.
Po południu 10 maja skończył się opłacony przez hakerów czas najmu botnetów i siła ataku gwałtownie spadła.
