Denial of Service for begyndere

I de sidste par dage har forskellige klaphatte købt "Denial-of-Service" angreb mod forskellige danske IT-systemer, NemID, Rejseplanen, KL osv.

Det er ikke helt klart om rejsekortets problemer skyldes et "DoS" angreb eller bare inkompetance, så dem holder vi lige udenfor.

Denial of Service er fundamentalt set ikke et IT problem, det bruges f.eks også i USAnske valghandlinger, hvor republikanere kan finde på at parkere alle deres biler foran overvejende demokratiske valgsteder, for at gøre det så vanskeligt som muligt for demokraterne at stemme.

Men som så i mange andre sammenhænge gør internettets fritagelse for Newtons Anden Lov DoS til et problem af en helt anden kaliber.

Man kunne sagtens have DoS'et KL rent fysisk, et par hundrede mennesker der myldrer op foran hoveddøren kan gøre det umuligt for KLs medarbejdere at komme på arbejde, men i modsætning til et internetbaseret DoS angreb, ville det være trivielt for politiet at sikre den offentlige orden.

Ihvertfald indtil "Ghandigrænsen" for civil ulydighed: Hvis det var 20.000 mennesker ville politiet nok bare lade tingene gå deres egen gang.

Der er mindst et datacenter i Danmark der har en hemmelig indgang, som vil tillade det nødvendige driftspersonale at komme ind og ud, uanset om der står et par hundrede eller 20.000 og råber udenfor. Der er simpelthen lavet en underjordisk tunnel til et sted godt langt borte og den bruges regelmæssigt, så ingen pludselig ville undre sig over at der gik mennesker ind og ud af en ellers ubrugt dør.

Det har ikke alene været dyrt at lave den tunnel, det har også, hidtil, været totalt unødvendigt, men sådan er det jo med alle former for forsikringer.

Mit hus er naturligvis ikke sikret imod DoS angreb på samme vis, jeg har ikke engang kaffe på lager hvis jeg skulle få uventede gæster, for bag enhver forsikring ligger der naturligvis en eller anden form for risiko (= sandsynlighed * konsekvens) vurdering.

Men på Internettet er det andre tal. Der er rutinemæssigt "bot-net" på over 100.000 maskiner og hvis de bare sender et par pakker i sekundet hver, er de fleste danske webservere i problemer.

Det er, som ugen har vist, en trussel man er nødt til at forholde sig realistisk til.

Hvis vi tager NemID først:

Uanset hvilken sandsynlighed for DoS angreb man vurderer der er, er konsekvensen ret drastisk, vi taler f.eks om læger der skal bruge NemID for at logge ind i computere så de kan behandle patienter osv.

I et sådant system skal DoS risikoen håndteres designmæssigt og det bedste middel er decentralisering: Hvis man kunne stille en lokal NemID server i et hjørne af hospitalet, bag hospitalets firewall, eller hos bankerne, bag deres firewall, ville NemID for alle praktiske formål være usårlig overfor DoS angreb.

Det kunne man have gjort, hvis man havde foretaget visse designvalg anderledes og mere korrekt, men fordi alle danskeres "private key" del af den bagvedliggende digitale signatur ligger på NemID's servere, har man afskåret sig den mulighed: Man har lagt alle æg i samme kurv og dermed er man utroligt sårbar for stenkast.

Rejseplanen er en anden boldgade: Der er tale om en magelighedsfunktion, toge og busser kører selvom den er nede.

Hvad er risikoen for DoS-angreb på rejseplanen ?

FDM har en halv million medlemmer, heraf et fåtal temmlig rabiate. Deres raseri er dog ingenting imod pendlere i den offentlige transport når ting ikke virker. Med andre ord: Det er så godt som givet at en eller anden klaphat på et eller andet tidspunkt ser sig sur på rejseplanen.

Rejseplanen har primært legitime besøg fra danske IP numre og derfor kunne man komme meget langt ved at lave traffic-shaping på den internationale traffik.

KL er det klassiske "hvad er et DoS??" tilfælde.

Jeg skulle blive meget forbavset hvis ikke KL har oprustet op til den arbejdskonflikt de selv har startet, ekstra mandskab til presse-overvågning, telefon-lister til beslutningsdygtig ledelse, ekstra bemanding i receptionen osv.

Men det var tilsyneladende aldrig faldet nogen hos KL ind, at man kunne komme i skudlinien på internettet, når man lagde sig ud med personalet og eleverne i det samlede danske skolevæsen.

Formodentlig har de aldrig nogen sinde haft noget der lignede performance-problemer på deres hjemmeside, for hvem pokker går nogensinde ind på KL's hjemmeside til at begynde med ?

Ifølge KL's egne oplysninger har de allerede brugt 250.000 kroner på grund af dette DoS angreb, hvilket er ca. 200.000 mere end det burde have kostet ved rettidig omhu.

Men da rettidig omhu på dette punkt tilsyneladende ikke er ret udbredt, får I her, helt gratis, min opskrift på et ansvarligt setup, i priorieret rækkefølge:

  1. Webserveren skal altid stå i et datacenter ude i byen, så båndbredden hertil ikke påvirker husets internetbehov.

  2. Hvis websiden er baseret på et tungt CMS, skal der altid stå en cache foran og siden designes så de tunge funktioner kun nås når en to-vejs session identitet er etableret. (Det gør DoS angreb meget dyrere og langsommere.)

  3. Køb traffic-shaping fra netleverandøren, således at ikke-danske (eller ikke-nordiske osv) IP-numre shapes til en håndterbar belastning.

  4. Det næste angrebspunkt er forbindelsen til kontoret, som oftest har relativt lille båndbredde. Den solide løsning, er at man stiller en firewall i et datacenter med god konnektivitet og laver et VPN imellem kontoret og denne firewall. Hvis forbindelsen mellem kontoret og firewall'en ikke annonceres offentligt, kan den ikke DoS'es.

  5. Igen kan man overveje at købe traffic-shaping af sin internetleverandør.

Og det er sådan set det: Nu skal et DoS angreb op nord for gigabits per sekund før man overhovedet vil opdage dem og man kan stadig bruge sine IP-telefoner til at diskutere hvad man gør ved det.

phk

Poul-Henning Kamps billede
Poul-Henning Kamp
er selvstændig open source-softwareudvikler. Han skriver blandt andet om politik, hysteri, spin, monopoler, frihedskampe gør-det-selv-teknologi og humor.

Kommentarer (30)

Det kunne man have gjort, hvis man havde foretaget visse designvalg anderledes og mere korrekt, men fordi alle danskeres "private key" del af den bagvedliggende digitale signatur ligger på NemID's servere, har man afskåret sig den mulighed

Og det mest sørgelige er, at den gamle digitale signatur (som IMHO faktisk er en ægte digital signatur) var netop designet rigtigt i dette henseende - så hvis bare man havde bibeholdt det gode design, og så forbedret evt. svagheder, istedet for det mareridt, vi idag kaldet NemID :(

  • 3
  • 0

Det er sådan set rigtigt nok, men på den anden side er der ikke ret meget sikkerhed i en digital signatur der ligger på folks egne maskiner, når op imod en fjerdedel af alle danske privatcomputere er fyldt med malware eller bagdøre i en eller anden variant.

NemID burde være designet omkring en fysisk "dongle" hvori certifikatet var placeret, men det valgte man fra af budgetmæssige årsager.

  • 11
  • 0