Viren angriff auf SBB

sit ich am morge im gschäft bin lauft mis internet chum
noch dem ich wie jede morge s virusprogi abgruefe und updatet han, bini mol ins intranet go luege was so lauft
jetzt isch noch em mb blast no en neue virus cho wo über memos das sind emails intern verteilt werdet
han mol alli infos vo eusne siiite do postet
gseht glaub chli noch starkem agriff us :skull1 Viren-Attacken (Portscans) "Blaster"
____________________________________

Datum Fr. 22. August 2003 12:00

Die Viren-Attacken gegen unsere Systeme bei T-Systems (und Rechnern
weltweit) halten unvermindert an.
Mit den bisherigen Gegenmassnahmen in den Firewalls werden im Verhältnis 10
Meldungen aus dem Internet verworfen und 1 Meldung zur Weiterverarbeitung
weitergereicht.
Für Benutzer die von Aussen via Internet mit Applikationen wie CIS-Online,
Railticketing etc. arbeiten wollen, manifestiert sich dieses Verhalten als
Timeout in bis zu 80 % der Sessions.
Betroffen sind aber auch Intranet Anwendungen die von Dritten gehostet
werden, da auch dieser Verkehr über die Firewalls abgewickelt werden.

T-Systems hat einen Krisenstab einberufen in welchem unter Anderem die
Teams von Internet, Firewall und Netz vertreten sind.
Seitens SBB sind Mitarbeiter der Z-IT Security sowie des Problem
Managements von I-TC und Z-IT vertreten.

Heute Fr. 12:00 findet die erste Sitzung des Krisenstabs bei T-Systems
statt. Zielen sind:

- Auflisten aller möglichen Massnahmen die zu einer Beruhigung der Lage
beitragen könnten.
- Beurteilung des Kataloges durch das Gremium.
- Gemeinsamer Beschluss einzuleitender Massnahmen und sofortige Umsetzung.

Das Systemverhalten wird mit jeder eingeleiteten Massnahme beobachtet.
Je nach Auswirkungen werden die Massnahmen rückgängig gemacht oder weitere
Aktionen werden umgesetzt.

Bei der Aktivierung solcher Massnahmen ist mit vereinzelten Unterbrüchen
bei der Systemverfügbarkeit von bis zu 15 Minuten zu rechnen.

Nächste Informationen um 14:00 im Intratnet des Z-IT-Problem-Managements.
Alle weiteren Informationen erfolgen ebenfalls über diesen Kanal.

Wir bitten Sie die damit verbundenen Unannehmlichkeiten zu entschuldigen.

Problem Management Z-IT

*******************************************
nächste nachricht

TSS-Info vom 21.8.03 / 23:30
----------------------------

Seit 15:45 werden immer wieder massivste Attacken auf die Firewall SBB aus
dem Internet gefahren.

Diese führen zu Hochlasten und Situationen in welchen auch Timeouts in
gewissen Applikationen entstehen können.

Das Verhältnis der Drops zu den zugelassenen Paketen ist zeitweise mit 10
Drops zu 1er Zulassung.

Normal ist etwa 1 drop auf 100 Zulassungen.

Die Attacken haben die Unterschiedlichsten Ausprägungen und wir können von
zwei Grundtypen sprechen.

Der eine bombardiert die Port 135;137;138;139 welche zu NBT Funktionen
verwendet werden.

Diese Attacke konnten wir mittels Filter im Paketshaper abschwächen.

Der Zugriff auf den Paketshaper war durch den hohen Traffik auch
problematischer als üblich.

Gegen 20:20 kamen weitere Attacken (Portscans) hinzu, welche mit speziellen
Filteranalysen die Protokolle und deren Source-Port bearbeitet wurden.
Danach wurde eine weitere Regel auf der Firewall an zweiter Stelle auf diese
Protokolle und Source Ports implementiert. Auch diese Regel hat eine gewisse
Beruhigung gebracht.

Die Attacken haben trotz Filter und Drop Regeln zu einer merkbaren
Verlangsamung geführt.

Seit 23.15 gab es eine merkliche Beruhigung und der Rücklauf zu einer
Situation mit 1:1 Verhältnis der Drops und Zulassungen.

******************************************
nächste nachricht

Viren-Angriffe über das Internet
________________________________

< Seit mehreren Tagen wird das SBB-Internetportal durch massive
Virenangriffe belastet. Vorderhand konnte ein Eindringen in die
Netzwerke der SBB verhindert werden. Die Kommunikationswege über
das Internet werden jedoch zeitweise stark beeinträchtigt. Dies
betrifft Applikationen wie CIS-Online oder Railticketing, das
Surfen im Internet sowie den externen Mailverkehr.

< Eine Beruhigung dieser Angriffe kann kuzfristig nicht erwartet
werden.
< Wir suchen zusammen mit T-Systems mit Hochdruck nach Lösungen, um
die Auswirkungen auf die Business-Applikationen zu minimieren.

< Um die interene Sicherheit der Informatiksysteme nicht zusätzlich
zu gefährden, bitten wir Sie dringend, bei eingehenden Mails
höchste Vorsicht walten zu lassen: Öffnen Sie Attachments (Anhänge)
mit unklarem Inhalt nicht, sondern löschen Sie sie ungelesen.

< Wir danken Ihnen für Ihr Verständnis.

22.8.2003
Interne Kommunikation

so das wärs i glaub si hend trozdem chli meh anig als ich immer denkt han
naja, ich surfe zwar jetzt wie mit em 56k modem aber wenigstens lauft no alles bi mir

ka
aber vorher isch es sogar im radio cho, zwar nöd so gnau vowege traffik und so aber isch öffentlich
i finds geil, sit dem monet sind scho 3 arbeitstäg kaotisch gsi, tuet eifach fast nix

hm mjetzt hend die arme infos über de mittag e krise sitzitg gha
gad protokoll übercho

Ausgangslage

Seit Donnerstag, 15:45 Uhr werden immer wieder massivste Attacken auf die SBB aus dem Internet durchgeführt. Der ganze Internetverkehr ist langsam, dies betrifft den normalen Surfverkehr der SBB Benutzer als vor allem auch die B2B Applikationen CISonline und Railticketing.

Das Verhältnis der Drops zu den zugelassenen Paketen ist zeitweise mit 10 Drops zu einer Zulassung. Normal ist etwa 1 Drop auf 100 Zulassungen. Die Attacken haben die unterschiedlichsten Ausprägungen und wir können deren Herkunft nicht klar rückverfolgen, da die Absender gespoofed sind. Zusätzlich gibt es Portscans, welche die Firewall zusätzlich belasten. Es besteht eine denied of service Attacke

Es wurden bisher die folgenden Massnahmen eingeführt:
- diverse Regeln auf der Firewall angepasst, damit die Drops schneller durchgeführt werden
- die Attacken auf die Netbios-Ports (Port 137-139) werden bereits auf dem Paketshaper (vor der Firewall) gedropt (dies sind die typischen Nachwehen des Blaster Virus)
- der Internetverkehr wurde von TC-SBB über das ERZ2 (Outgoing) und das ERZ3 (Ingoing) auf beide Router gesplittet
- der Loadbalancer wurde ein- und ausgeschaltet

Nachdem sich die Situation in der Nacht beruhigt hat, sind diese Attacken seit heute Morgen ca. 08:00 Uhr wieder aktiv. Grundsätzlich können wir nur eine Symptombekämpfung machen, da die Angriffe von den verschiedensten Providern her kommen. Die identifizierbaren Provider wurden informiert, dies sind jedoch die wenigsten.

Da keine Entspannung der Situation in Aussicht ist, wurde diese Taskforce einberufen, um die weiteren Massnahmen zu definieren und hinsichtlich ihrer Risiken zu klassieren.
. Stand Fläche SBB
Gemäss Helpdesk gibt es nicht viele Anrufe, was vor allem darauf zurückzuführen ist, dass die Endbenutzer des CISonline und Railticketing nicht SBB-Mitarbeiter sind. Gemäss SBB IT-Problemmanagement ist das Arbeiten mit diesen Applikationen praktisch unmöglich.

2. Stand Technik
Aktuell hat sich die Situation leicht entspannt, es gibt aber immer noch massiv viele Drops. Während der ganzen Attacke sind solche Wellenbewegungen festzustellen.

3. Weiteres Vorgehen
Die Möglichkeiten werden vorgezeigt und diskutiert:
- IP Range verringern, dh. auf dem Paketshaper alles droppen ausser Anfragen für HOST, Mailserver und NAT
Vorteile:
- schnell realisierbar und rückbaubar
- ‚nur’ Regeln anpassen, an HW wird nichts gemacht
- abgehend von SBB kann gesurft werden
- B2B Applikationen werden entlastet
- Firewall wird entlastet
- KDB funktioniert
Nachteile:
- Risiko, dass einzelne Services nicht mehr funktionieren.
Firewallverkehr In- und Outgoing aufteilen
- Nutzen relativ gering
- Outgoing SBB würde wieder funktionieren
- Ingoing Situation unverändert

Die IP-Range verringerung wird ab ca. 13:30 Uhr eingeführt

3. Alternativ Szenario
Stärkere Firewallmaschine evaluieren, falls die Attacken weitergehen

4. Weiteres Vorgehen
Ab 13:30 Uhr wird die IP-Rangeverringerung eingeführt und die Auswirkungen beobachtet.

Um 16:00 Uhr ist die nächste Taskforce Sitzung.

5. Nächste Informationen
- nach der Taskforce um 16:00 Uhr

für alli wo meinet ich posti do ssache wo niemert söt wüsse, ich han mol alles useglöscht wo d algemeinheti nüt agoht
aber i hoffe natürli das nöd eifach jede tweaker jetzt goht go umeverzelle
find das abe no cool das gad d sbb so massiv agriffe wird :/