Month: October 2018

Maja på RIPE77: DNS og tjenestenektangrep

ripe77

RIPE er, som jeg forklarte i forrige bloggpost, et europeiske nettverk for folk som jobber med IP og IP-adresser. På RIPE77 hadde man som seg hør og bør også representanter fra IP-nettverkene i de andre regionene. Under gjennomgangen til APNIC (Asia-Pacific Network Information Centre) om hva de hadde gjort siden sist, beskrev Paul Wilson en undersøkelse om hva som rører seg hos deres kunder (internettleverandører). Blant dette handlet det også om hva som var de største sikkerhetsutfordringene:

1. Phising, spam, malware…

2. DDoS-attacks

3. Intrusion and other breaches

Når det gjelder phising, spam og malware er så handler det om at folk må slutte å trykke på en link som sier de vinner en gratis iPhone om de trykker på den, eller at de skal få mange millioner dollar på kontoen bare de sender avgårde personnummer, kontonummer, kredittkortummer og CVC-kode, eller at de skal få besøk av en snasen kjæreste bare de sender penger til flybillett. “Intrusion and other breaches” er det de fleste av oss tenker på som tradisjonell hacking: Det er noen som jobber med å få tilgang på systemer eller lokal informasjon på andre sin datamaskin, og utnytter informasjonen man får der. Enten det er å stjele bilder fra noen sin mobiltelefon eller det er å følge med på hemmelige dokumenter i utenrikstjenesten. DDoS-angrep, som på norsk heter tjenestenektangrep, er et langt mer vanlig angrep enn teknologiske innbrudd. Hva er det, og hvorfor skjer det?

Vi kommer til det, jeg skal bare forklare kort hva DNS er.

DNS er domenenavnsystemet. Domenenavnsystemet ligger (som så mange andre funksjoner) på servere. Domenenavnsystemet fungerer som en administrator med kontroll over alle destinasjoner: Du sitter på din datamaskin (pålogget ditt foretrukne nettverk) og skriver inn en nettstedsadresse (for eksempel frkenes.no/blogg). Når du trykker enter sender du en forespørsel om å få tilgang til den siden. Forespørselen går til DNS-en som finner frem rett IP-adresse til nettstedet, og sender trafikken din til riktig nettsted. Datamaskinene kommuniserer ikke med bokstaver og (nettsteds)adresser – de kommuniserer med tall og IP-adresser. DNS gjør at du ikke bare slipper du å gå rundt og huske på IP-adresser, men oppslagene går fort og er nøyaktige, og kort fortalt gjør domenenavnsystemet at datatrafikken på Interentt fungerer som den skal. Du kan forvente å komme til samme nettsted hver gang du skriver samme adresse.

Domenenavnsystemet er en essensiell del av selve Internet, en av grunnsteinene. Det betyr også at teknologien er gammel. Og du vet hva sier om teknologi og sikkerhet? “Ethvert system som ikke er hacket, er bare ikke hacket enda“. Teknologien til domenenavnsystemet er gammel og sårbar, og dette er en stadig økende prøvelse for dagens nettverksoperatører. Arbeid rundt tjenestenektangrep (DDoS-angrep) ble derfor presentert fra forskjellige vinkler i flere foredrag under RIPE77.

Da er vi tilbake til tjenestenektangrep (DDoS-angrep – Distributed Denial of Service). Angrepet foregår slik: Angriperen sender en hel haug forespørsler om å få tak i en IP-adresse. Mange forespørsler på en gang gjør at serveren nettstedet ligger på ikke klarer å håndtere alle forespørslene. Dermed blir nettstedet som angripes utilgjengelig – vi sier det kræsjer. Et slikt kræsj kan også skje dersom veldig mange går inn på en nettside samtidig, uten at det er ment som et angrep. Selv har jeg opplevd slike kræsj flere ganger både på Billettservice og på Altinn. Kapasiteten til disse sidene blir sprengt, og det ender med at ingen kommer inn på siden. Tjenestenektangrep er å kræsje sider med vilje ( – at nettstedene kræsjer tilfeldig fordi de er populære handler om dårlig planlegging).

Det som er urovekkende for gjengen på RIPE77 er at tjenestenektangrepene får stadig flere verktøy for å gjøre angrepene både enklere å gjennomføre og mer effektive. En type verktøy er “amplifiers” som går ut på en angriper later som om de sender en forespørsel fra en IP-adresse, for eksempel min (altså ikke sin egen). Og ikke bare sender de en forespørsel, de ber også om å få svar mange, mange ganger. Når DNS da svarer på denne forespørselen vil siden som blir angrepet – min side – kræsje. Kompetente angripere er målbevisste og følger med på angrepet, og endrer strategi i løpet av angrepet dersom det viser seg at angrepet blir møtt eller stanset underveis av de som forsøker å beskytte nettverket.

At deler av Internett blir utilgjengelig vil for deg og meg (Internettbrukere) være frustrerende, men det kan bli alvorlige konsekvenser av slike angrep. For bedrifter som har nødvendig kommunikasjon over Internett – la oss si Politiet, Nødnettet eller et sykehus – vil et angrep kunne bety kritiske situasjoner. For politiske institusjoner, rettsystemer, valgsystemer etc. er slike angrep et demokratisk problem.

Det er så langt ikke kommet noen løsning på hvordan hindre at slike angrep skjer (be folk om å være greie og slutte å angripe?), så derfor rettes fokuset mot hva man kan gjøre for å møte angrepet og begrense skadeomfanget. Det finnes ingen fasit på hva som kan gjøres – uttrykket “en enkel løsning kan få kompliserte konsekvenser, mens en komplisert løsning kan få enkle konsekvenser” ble brukt for å tydeliggjøre hvorfor det ikke finnes enkle løsninger på dette (en kort, veldig fornøyelig lightning talk som ble kalt “wrong, wrong, WRONG! Methods of DDoS mitigation” om hvordan man ikke skal hindre tjenestenektangrep ligger ute på RIPE sine sider).

Toma Gavrichenkov

Om du forventet en konklusjon og en løsning på dette innlegget, får du ikke det. Arbeid med sikkerhet rundt DNS er pågående og blir forsøkt løst fra forskjellige vinkler. I tillegg til lightning talken til Töma Gavrichenkov (som jeg nevnte over her) var det også andre foredrag om DNS i plenum på RIPE77. De fleste foredragene på RIPE77 kan i større eller mindre grad knyttes til DNS på en eller annen måte. Jeg mener – det er tross alt et møte i det europeiske IP-nettverket (og jeg forklarte forholdet mellom DNS og IP-adresser, sant?). Foredragene er rimelig tekniske, men jeg vet at jeg har noen lesere som er mer teknologisk kompetente enn det målgruppa mi egentlig tilsier. Så her er en liten oversikt over foredragene som tydeligst handlet om DNS:

Steinthor Bjarnason: Withstanding the Infinite: DDoS Defense in the Terabit Era – Handler om utviklingen i tjenestenektangrep.

Sara Dickinson: It’s DNS Jim, But Not as We Know It – Handler om en ny måte å bruke DNS over nettlesere (HTTPS) istedenfor via nettverket (TLS).

Giovane Moura: When the Dike Breaks: Dissecting DNS Defenses During DDoS – Handler om cache under et tjenestenektangrep.

I tillegg var det en egen DNS working group, altså et eget gjeng, som kun snakket om DNS. I tre timer. Her er en liste over foredragene i denne gruppa.

 

Forsidebildet på bloggposten er ventebildet fra RIPE77 sine videoarkiv

Maja på RIPE77: Hva er RIPE?

ripe77.png

Den europeiske organisasjonen RIPE er en organisasjon som har møter to ganger i året,  rundt om i Europa – med andre ord ikke spesielt utilgjengelige. Jeg har da blitt ganske kunnskapsrik de siste årene, og jeg har skrevet om RIPE i Internett-boka. Jeg har “full kontroll” over hva RIPE er og hva RIPE gjør. Denne reisen har likevel vært faglig utfordrende å delta på, og jeg har hodet såvidt over vannet på denne konferansen.

RIPE står for Réseaux IP Européens, og er et regionalt Internettregister (kjenninger forkorter dette til RIR, i motsetning til lokale Internettregistre, som kalles LIR – og er aktører som administrerer en blokk eller flere med IP-adresser, som Internettoperatører, akademiske institusjoner, store helseforetak og så videre). Et regionalt Internettregister er et knutepunkt for fordeling av Internettressurser (som for eksempel IP-adresser). Det vil med andre ord si; rundt om i verden finnes det regionale knutepunkt for nettverksoperatører, hvor disse møter, diskuterer og krangler om temaer som er relevante for dem. Dette kan være utfordringer med angrep på domenenavnsystemet (DNS), generelle tjenestenektangrep (DDOS-angrep), innføringen av IPv6 og tømmingen av IPv4. RIPE har et administrativt styre som er delvis uavhengig selve organisasjonen RIPE. Dette styret heter RIPE NCC og jobber med mange av de administrative oppgavene – som å faktisk fordele IP-adresser, registrere nye lokale Internettregistre og så videre. RIPE er mer en diskusjonsarena for arbeid med – og utvikling av – de områdene på Internett som omhandler adressering og ressurser i Europa.

RIPE er som sagt et møte som arrangeres to ganger i året, rundt om i Europa. Mellom møtene lever diskusjonen videre i diverse mailinglister. RIPE77, som jeg har vært med på, har vart mandag til fredag 15-19 oktober 2018. De to første dagene var det felles foredrag i store rom, med videooverføring til siderommet. De to neste dagene var dedikerte til arbeidsgruppemøter. Dette er møter hvor deltakere i de forskjellige e-postlistene møtes. Hva som kom først av arbeidsgruppe og e-postliste er for meg uklart og egentlig uinteressant. Poenget er at det blir opprettet nye arbeidsgrupper etter behov, og disse arbeidsgruppene har gjerne e-postlister hvor saker blir diskutert, og på RIPE-møtene har de fysiske presentasjoner med ønske om innspill til konkrete tema. Siste dagen, fredagen, er hovedsakelig dedikert til oppdateringer fra de andre regionale Internettregisterne og Nummerrssursorganisasjonen (ok, dette var en organisasjonsbenevning jeg fant på for å unngå å bruke så mye engelsk, men det er altså snakk om The Number Resource Organization), som er en samleorganisasjon hvor alle de regionale Internettregisterne samler seg og har en samlet front ut mot resten av (Internett)verdenen.

Det var det praktiske om møtet. Men hvilke saker ble diskutert? I en samtale jeg hadde i gangen med en av deltakerne blir jeg fortalt at han ikke deltar noe særlig på foredragene. Begrunnelsen er at de er for spredte i tema. Han får mer ut av å snakke med folk enn å høre på foredragene. Selv en kort sammenfatning av de forskjellige problemstillingene som blir tatt opp vil med andre ord ende som en veldig lang tekst. Jeg mottar gjerne innspill om det er noen tema jeg skal skrive litt mer om – det er jo derfor jeg er her på RIPE77 i det hele tatt. Få input som jeg kan oversette og sende ut til verden til alle dere andre som ikke er inneforstått med hva LIR, RIR, NRO, BGP og IPv6 er. Det siste der burde dere egentlig få med dere med en gang – jeg oppfordrer herved til å google IPv6 for å få en forståelse av dette om dere ikke har det allerede. (Jeg har to klistremerker på Macbooken min, en av dem er en gepard hvor man kan skimte IPv6 i prikkene dens. Dette er et veldig morsomt og ironisk klistremerke #nerdehumor. Førstemann til å finne ut hvorfor det er morsomt får en mention på sosiale medier #gavedryss.)

macbook lokk

Temaene på RIPE77 er relaterte til adressepolitikk, som DNS, ruting og ikke minst IPv6, Internet Exchange Points og nettverk. Men det er også diskusjoner rundt videre utvikling av RIPE sine verktøy eller RIPE som organisasjon. Diskusjonene er, for meg som har deltatt på forskjellige Internet Governance-konferanser tidligere, overraskende… temperamentsfulle. Om jeg skal driste meg til en liten observasjon gjelder det i teknologien litt det samme som i akademia – folk som er skikkelig flinke i sitt fag har en tendens til å ha sterke personligheter og en viss territoriell følelse over temaet sitt. Det er ikke alltid det slår heldig ut – samtidig er det også deilig forfriskende å være sammen med mennesker som er så intenst opptatte av det de driver med – Internett – at de aggressivt ønsker å beskytte det.

Alle foredragene skal meg bekjent ut på video etter hvert, enn så lenge er det bare en håndfull som er tilgjengelige som opptak. Du vil isåfall finne de på denne siden etter hvert.

Det kommer flere blogginnlegg fra RIPE etter hvert. Jeg har to til på draft, men jeg kommer ikke til å bruke tid på å beskrive alle tema jeg har vært borti her. Som sagt er det mulig å komme med ønsker. Jeg skal prøve å akkommodere.

© 2021 FRK. ENES

Theme by Anders NorenUp ↑