Denial of Service for begyndere

I de sidste par dage har forskellige klaphatte købt "Denial-of-Service" angreb mod forskellige danske IT-systemer, NemID, Rejseplanen, KL osv.

Det er ikke helt klart om rejsekortets problemer skyldes et "DoS" angreb eller bare inkompetance, så dem holder vi lige udenfor.

Denial of Service er fundamentalt set ikke et IT problem, det bruges f.eks også i USAnske valghandlinger, hvor republikanere kan finde på at parkere alle deres biler foran overvejende demokratiske valgsteder, for at gøre det så vanskeligt som muligt for demokraterne at stemme.

Men som så i mange andre sammenhænge gør internettets fritagelse for Newtons Anden Lov DoS til et problem af en helt anden kaliber.

Man kunne sagtens have DoS'et KL rent fysisk, et par hundrede mennesker der myldrer op foran hoveddøren kan gøre det umuligt for KLs medarbejdere at komme på arbejde, men i modsætning til et internetbaseret DoS angreb, ville det være trivielt for politiet at sikre den offentlige orden.

Ihvertfald indtil "Ghandigrænsen" for civil ulydighed: Hvis det var 20.000 mennesker ville politiet nok bare lade tingene gå deres egen gang.

Der er mindst et datacenter i Danmark der har en hemmelig indgang, som vil tillade det nødvendige driftspersonale at komme ind og ud, uanset om der står et par hundrede eller 20.000 og råber udenfor. Der er simpelthen lavet en underjordisk tunnel til et sted godt langt borte og den bruges regelmæssigt, så ingen pludselig ville undre sig over at der gik mennesker ind og ud af en ellers ubrugt dør.

Det har ikke alene været dyrt at lave den tunnel, det har også, hidtil, været totalt unødvendigt, men sådan er det jo med alle former for forsikringer.

Mit hus er naturligvis ikke sikret imod DoS angreb på samme vis, jeg har ikke engang kaffe på lager hvis jeg skulle få uventede gæster, for bag enhver forsikring ligger der naturligvis en eller anden form for risiko (= sandsynlighed * konsekvens) vurdering.

Men på Internettet er det andre tal. Der er rutinemæssigt "bot-net" på over 100.000 maskiner og hvis de bare sender et par pakker i sekundet hver, er de fleste danske webservere i problemer.

Det er, som ugen har vist, en trussel man er nødt til at forholde sig realistisk til.

Hvis vi tager NemID først:

Uanset hvilken sandsynlighed for DoS angreb man vurderer der er, er konsekvensen ret drastisk, vi taler f.eks om læger der skal bruge NemID for at logge ind i computere så de kan behandle patienter osv.

I et sådant system skal DoS risikoen håndteres designmæssigt og det bedste middel er decentralisering: Hvis man kunne stille en lokal NemID server i et hjørne af hospitalet, bag hospitalets firewall, eller hos bankerne, bag deres firewall, ville NemID for alle praktiske formål være usårlig overfor DoS angreb.

Det kunne man have gjort, hvis man havde foretaget visse designvalg anderledes og mere korrekt, men fordi alle danskeres "private key" del af den bagvedliggende digitale signatur ligger på NemID's servere, har man afskåret sig den mulighed: Man har lagt alle æg i samme kurv og dermed er man utroligt sårbar for stenkast.

Rejseplanen er en anden boldgade: Der er tale om en magelighedsfunktion, toge og busser kører selvom den er nede.

Hvad er risikoen for DoS-angreb på rejseplanen ?

FDM har en halv million medlemmer, heraf et fåtal temmlig rabiate. Deres raseri er dog ingenting imod pendlere i den offentlige transport når ting ikke virker. Med andre ord: Det er så godt som givet at en eller anden klaphat på et eller andet tidspunkt ser sig sur på rejseplanen.

Rejseplanen har primært legitime besøg fra danske IP numre og derfor kunne man komme meget langt ved at lave traffic-shaping på den internationale traffik.

KL er det klassiske "hvad er et DoS??" tilfælde.

Jeg skulle blive meget forbavset hvis ikke KL har oprustet op til den arbejdskonflikt de selv har startet, ekstra mandskab til presse-overvågning, telefon-lister til beslutningsdygtig ledelse, ekstra bemanding i receptionen osv.

Men det var tilsyneladende aldrig faldet nogen hos KL ind, at man kunne komme i skudlinien på internettet, når man lagde sig ud med personalet og eleverne i det samlede danske skolevæsen.

Formodentlig har de aldrig nogen sinde haft noget der lignede performance-problemer på deres hjemmeside, for hvem pokker går nogensinde ind på KL's hjemmeside til at begynde med ?

Ifølge KL's egne oplysninger har de allerede brugt 250.000 kroner på grund af dette DoS angreb, hvilket er ca. 200.000 mere end det burde have kostet ved rettidig omhu.

Men da rettidig omhu på dette punkt tilsyneladende ikke er ret udbredt, får I her, helt gratis, min opskrift på et ansvarligt setup, i priorieret rækkefølge:

  1. Webserveren skal altid stå i et datacenter ude i byen, så båndbredden hertil ikke påvirker husets internetbehov.

  2. Hvis websiden er baseret på et tungt CMS, skal der altid stå en cache foran og siden designes så de tunge funktioner kun nås når en to-vejs session identitet er etableret. (Det gør DoS angreb meget dyrere og langsommere.)

  3. Køb traffic-shaping fra netleverandøren, således at ikke-danske (eller ikke-nordiske osv) IP-numre shapes til en håndterbar belastning.

  4. Det næste angrebspunkt er forbindelsen til kontoret, som oftest har relativt lille båndbredde. Den solide løsning, er at man stiller en firewall i et datacenter med god konnektivitet og laver et VPN imellem kontoret og denne firewall. Hvis forbindelsen mellem kontoret og firewall'en ikke annonceres offentligt, kan den ikke DoS'es.

  5. Igen kan man overveje at købe traffic-shaping af sin internetleverandør.

Og det er sådan set det: Nu skal et DoS angreb op nord for gigabits per sekund før man overhovedet vil opdage dem og man kan stadig bruge sine IP-telefoner til at diskutere hvad man gør ved det.

phk

Poul-Henning Kamps billede
Poul-Henning Kamp
er selvstændig open source-softwareudvikler. Han skriver blandt andet om politik, hysteri, spin, monopoler, frihedskampe gør-det-selv-teknologi og humor.

Kommentarer (30)

Det kunne man have gjort, hvis man havde foretaget visse designvalg anderledes og mere korrekt, men fordi alle danskeres "private key" del af den bagvedliggende digitale signatur ligger på NemID's servere, har man afskåret sig den mulighed

Og det mest sørgelige er, at den gamle digitale signatur (som IMHO faktisk er en ægte digital signatur) var netop designet rigtigt i dette henseende - så hvis bare man havde bibeholdt det gode design, og så forbedret evt. svagheder, istedet for det mareridt, vi idag kaldet NemID :(

  • 3
  • 0

Det er sådan set rigtigt nok, men på den anden side er der ikke ret meget sikkerhed i en digital signatur der ligger på folks egne maskiner, når op imod en fjerdedel af alle danske privatcomputere er fyldt med malware eller bagdøre i en eller anden variant.

NemID burde være designet omkring en fysisk "dongle" hvori certifikatet var placeret, men det valgte man fra af budgetmæssige årsager.

  • 11
  • 0

Jeg mener at det er et bevidst valg at NemID lägger alle de virtuelle äg i kurven hos DanID.

Når man lägger et privat firma, DanID, som proxy for stat- og borger kortslutter man både ubehagelige processer som aktindsigt og man undgår at Ministeren bliver fedet ind i ansvar hvis noget ikke fungerer.

Problemerne skyldes at NemID helt fra begyndelsen er tänkt, specificeret, udviklet og designet for "systemet"s skyld, ikke så meget for borgerens.

  • 11
  • 0

Jo, det er præcis, hvad jeg mener. Straf fjogene (de IT-ansvarlige) bag og ikke teenagerne (de ansvarlige for angrebene). Det vil vi i hvert fald få mere ud af i længden ift. at bure et par unge mennesker inde, der ofrede en halvtredser af lommepengene på, hvad de troede, blot var at more sig lidt.

  • 3
  • 1

Nu har de gængse DoS-angreb efterhånden været et kendt fænomen længe, at det burde være ren logik og mere end almindelig kendt, hvordan man laver et fornuftigt setup. Så som sådan kunne man lige så godt straffe fjogene bag, som de ansvarlige teenagere, i min bog.

Det er vist i øvrigt snart på tide, at vi får os et decideret internet-ministerium her i landet, så vi kan få bare nogenlunde ordentligt fokus på det her åbenbart ubegribelige område...

  • 0
  • 1

  • men opgaven fra Telestyrelsen gik på, at løsningen skulle være 'laveste fællesnævner' (citat slut), og det må man så efterfølgende konstatere, at det blev det sandelig også.

M.h.t. omkostnings overvejelserne gjaldt de ikke porto (som prompte sted til 8,- på samme tidspunkt) for udsendelse af millioner af papkort hvert år.

Undertegnede påpegede før starten af NemID i al beskedenhed faren for Man-in-the-Middle attacks og det vanvittige i at eksekvere et tredieparts produkt (Java) på klient maskinen med admin rettigheder, men på det tidspunkt havde NETS/DanID allerede fået 5 mia.(!) for løsningen.

Problemet er jo nok i den sidste ende, at politikerne i almindelighed og de bevilgende myndigheder i særdeleshed ikke begriber en brik af, hvad IT sikkerhed går ud på. Corydons udtalelser om, at det var platformsuafhængigheden, som var kerne design parameteren (hvorfor virker NemID så ikke på min iPhone eller iPad?) bekræfter blot uvidenheden, der hersker i magtens korridorer.

NemID i sin nuværende udformning burde udløse en fyreseddel til systemdesigneren, der har begået alle de fodfejl, som overhovedet er mulige. Og dog - der skal nok være nogen vi ikke har set endnu.

dDoS attacks er jo den simple form, som ikke i sig selv udgør en egentlig sikkerhedsrisiko, men blot er besværlig. Det er blot tåbeligt, at man har opbygget en net topografi, som er følsom over for dette attack, som er det mest almindelige - har selv SYNflood på firewall'en fra Kina i hundredevis hvert døgn, men p.g.a. load sharing og remote caching har de ingen effekt: 1. semester lærdom.

MitM, som dette one-tier system indbyder til, er potentielt værre: Lænsning af konti og identitets tyveri er indlysende muligheder - og det sker allerede med jævne mellemrum, og de myndigheder, son har hengivet sig til NemID, kan ikke give dig et nyt CPR nummer. Du er fortabt, hvis det sker.

Et challenge system med en dongle/code device og krypteringsnøglen baseret på en selvvalgt pass-phrase, som DanID ikke opbevarer, ville løse problemerne, og der findes dusinvis af efterprøvede bank- og certifikat løsninger verden over, som har bevist deres stabilitet og immunitet over for såvel dDoS og MitM samt inficerede maskiner - men man skulle med djævlens vold og magt genopfinde hjulet.

Lige som i forbindelse med med Rejsekortet har man ladet hånt om eksisterende løsninger og andres gode/dårlige erfaringer. Men det er måske det, man i visse kredse mener er synonymt med innovation?

  • 12
  • 0

Køb traffic-shaping fra netleverandøren, således at ikke-danske (eller ikke-nordiske osv) IP-numre shapes til en håndterbar belastning.

Kunne NemID ikke også med fordel bruge traffic-shaping. Jeg tænker at dem der evt. forsøger at benytte NemID fra udlandet, kunne være forstående overfor at man ikke kommer igennem under et DoS angreb. Alt imens tjenesten kørte videre indenfor landets grænser.

Kunne måske endda være en form for quick-fix?

  • 0
  • 0

Yep - lige præcis min pointe: Se på andres erfaringer - denne løsning eller kombineret med en smartphone med NFC for ikke at skulle slæbe rundt med mere end højst nødvendigt. NFC/USB terminaler er stærkt på vej ned i pris.

SMS challenge/respons kan også bruges i en snæver vending.

I det hele taget er alle løsninger, der anvender sig af to mekanismer, sikrere end NemID, selv uden SSL. Dagen, hvor plastickort af enhver art erstattes af smartphones, er alligevel ikke fjern.

  • 1
  • 0

Det er uden synderlig overraskelse, at jeg læser nedenstående citat Fra Søren Winge fra Nets. Det viser jo klart, at det har været endog særdeles uansvarligt af de ansvarlige myndigheder at overlade driften af en så vigtig infrastrukturkomponent til Nets. I min verden ligner det kriminel uansvarlighed, som f.eks. en militær chef, der ikke opbevarer farlige komponenter forsvarligt og derved kan pådrage sig ansvar ved f.eks. indbrud.

"Der skal ikke herske nogen tvivl om, at vi gerne ville have haft arbejdsro til at sikre os mod DDoS-angreb, som har været højt på vores agenda i et halvt år," udtaler Søren Winge. - bragt i Computerworld.

Suk !

  • 11
  • 0

...det bruges f.eks også i USAnske valghandlinger, hvor republikanere kan finde på at parkere alle deres biler foran overvejende demokratiske valgsteder, for at gøre det så vanskeligt som muligt for demokraterne at stemme

  • noget sådant kunne demokrater så åbenbart ikke finde på? Eller de er måske overvejende B-mennesker? Eller de har slet ikke råd til biler?? :)
  • 2
  • 4

Hvilken software man kan installere, for at sikre sin computer mod at blive udnyttet til DoS angreb?

Er det nok med Avast og/eller McAffee, eller findes der noget mere effektivt?

  • 0
  • 0

Well MS-DOS kunne faktisk køre netværk via TCP-IP, så den er velheller ikke sikker (og alt under DOS kørte jo som 'root', jeg kan huske at jeg lavede et program i basic som var noget i stil med:

for x =0;x<65000;x++)
{
print x;
poke x,0
}

jeg kan ikke huske hvor langt den kom før den frøs.....

  • 0
  • 0

For at komme på NemID skal man have javasoftware som er godkendt af Oracle i USA.
Oracle misbruger det til at 'sælge' crapware som ADD toolbar. (Et totalt overflødigt stykke software. Men det har måske også et skjult formål?). Hver eneste gang java skal opdateres skal man igennem et dialog hvor 'Install ask.toolbar' er markeret pr default. Et diskret lille hak skal fjernes hvis man vil undgå det.. mange overser det i farten.
I øvrigt er det Oracle selv som bestemmer hvor tit Java skal opdateres. -Man opfinder nemt kritiske svagheder. Et par linier er nok til at få hele danmark til at opdatere Java hver gang.
http://www.zdnet.com/a-close-look-at-how-o...
nets danID burde ikke kunne tillade sig at være med til denne klamme fidus.

  • 2
  • 0