En PC & Nätverksteknikers tankar

Det finns en lång historia av attacker riktade mot DNS. I historien finns bland annat DDoS-attacker, attacker direkt mot vissa root-servrar där man använt specialskrivna program för att kunna utföra attacken.

Det som skrivits mest om under den senare tiden är nog "DNS Cache Poisoning"-attacker (DCP). En sådan attack kräver inte speciellt mycket bandbred, snabba CPU:er eller förfinade tekniker för att genomföras.

DCP kan användas genom att en angripare t.ex. injicerar en falsk IP-adress för en Internet-domän (domain.com) i en DNS. Om DNSen kan luras att acceptera IP-adressändringen så ersätts DNS-cachen med den falska adressen. Följaktligen så får alla förfrågningar om domain.com den falska IP-adressen (som kontrolleras av angriparen) som svar.

Så länge som den falska adressen finns i cachen (TTL-värdet för en domän är vanligtvis några timmar) så skickas surfande användare e-postservrar med mera automatiskt till adressen som servas av den infekterade DNSen.

Den här typen av attack kallas vanligen för "Pharming" och skapar flera problem. En användare tror att han/hon har hamnat på rätt webbplats, URLen är riktig, därför är det svårt att avgöra om något misstänkt som pågår.

Andra problem är att om domänen är populär så skickas hundra- eller tusentals användare till den falska webbservern. Detta kan ställa till stora problem om servern innehåller trojaner eller liknande ondsint kod som laddas ner av den intet ont annande användaren.

Ett annat scenario är att injicera en falsk IP-adress för en e-postserver, vilket innebär att t.ex. en organisations e-post skickas via en server som kontrolleras av en angripare.

...hur går det då till för att lura en "caching DNS server" att acceptera en falsk DNS-post?

När en "caching DNS server" får en förfrågan angående en adress för en domän så tittar den först i sin cache för att se om adressen redan är lagrad (detta för att spara tid och kraft), om informationen inte är lagrad så skickas frågan vidare till auktoritativa DNSer för domänen i fråga.

Innan den senaste beryktade publicerade sårbarheten av DNS-systemet, behövde en angripare tävla med en auktoritativa DNSer för att injicera adress-poster. Skicka ett falskt DNS-svar med rätt parametrar satta i DNS-paketet och hoppas att svaret når målet innan det legitima svaret. Detta gav angriparen en väldigt kort tidlucka att lyckas (det är frågan om hundra- / tiondels sekunder)

I och med den senaste sårbarheten kan tidluckan drastiskt utökas genom att skicka förfrågningar för domäner som - angriparen vet - inte existerar (t.ex b1o2n3n559dzzz.domain.com) till "caching"-servern. Detta genererar mängder av frågor från "caching"-servern, vilket i sin tur öppnar för miljontals möjligheter att skicka falska DNS-svar.

I stället för endast en chans att förfalska svaret får användaren massor av chanser (per tidlucka) att sätta rätt parametrar i DNS-svaren.

Att förfalska en DNS-post för b1o2n3n559dzzz.domain.com är vanligtvis inte användbart eftersom (troligen) ingen kommer att skicka förfrågningar för den domänen - det är då det magiska sker i den sista delen av attacken...

I det falska DNS-svaret pekar angriparen "caching"-servern till en falsk DNS-server för domänen som ska angripas. Denna information sparas av "caching"-servern.

På detta sätt kan angriparen kontrollera för den angripna domänen. Alla förfrågningar som gäller domänen skickas till angriparens server, vilket innebär att angriparen har kontroll över alla sub-domäner för domänen: www.a.domain.com, mail.b.domain.com osv. Angriparen har nu ett kontroll över domänen och kan skicka förfrågningar för alla sub-domäner till en server som är under angriparens kontroll.

Hur kan man då skydda sig mot dessa attacker?
Det finns ett antal olika föreslagna metoder som kan användas till exempel:

• Slumpa fram källportar för DNS-kommunikation (UDP SPR), försvårar för en angripare att gissa rätt parametrar för ett DNS-paket.
• DNSSEC

För att känna sig någorlunda säker vill man kunna svara på frågor som:

1. Hur vet jag att det är rätt DNS-server som svarar på förfrågan?
2. Hur vet jag att DNS-datat inte har blivit förvanskat?

Som det ser ut just nu är svaret på dessa frågor DNSSEC: en standard för autentisering av DNSer och DNS-data genom kryptografiska nycklar samt elektroniska signeturer.

Varför DNSSEC?

• DNSSEC använder DNS för distribution av kryptografiska nycklar, signaturer och certifikat.
• DNSSEC minskar risken för manipulation av namnuppslagningar. T.ex. förfalskningar av webbplatser.
• DNSSEC möjliggör flexibel infrastruktur för distribution av nycklar och certifikat till t.ex. Epost, IPSec, TLS/SSL, VPN, SSH osv.
• DNSSEC skyddar namnuppslagningar och erbjuder nyckeldistribution.
• DNSSEC är flexibelt, enkelt, billigt, skalbart, och interoperabelt.
  

För mer information och länkar kring DNSSEC:
http://www.iis.se/domains/sednssec
http://en.wikipedia.org/wiki/DNSSEC


Förklaringar:
DNS: Domain Name System (Domännamnssystemet)
CACHE: Mellanlagringsminne
DNS CACHE POISONING: Injicering av falsk information i DNS-cache
DNSSEC: Domain Name System Security Extensions
NAT: Network Address Translation (IP-adressöversättning)
UDP SPR: User Datagram Protocoll Source Port Randomization
DDoS: Distributed Denial-Of-Service

Vad är en tillgänglighetsattack?

En tillgänglighetsattack (DoS, Denial of Service) är ett angrepp mot ett eller flera datasystem med syfte att neka legitim åtkomst till de tjänster som systemet tillhandahåller. Dessa tjänster är oftast de som en organisation väljer att göra tillgängliga för allmänheten såsom webb, dns och e-post.

Det finns i princip tre typer av tillgänglighetsattacker. Den först typen koncentrerar sig på de underliggande tjänsterna som angriparen vill störa ut. Genom att överbelasta dessa tjänster med vad som kan se ut som legitim trafik kan publik åtkomst till tjänsterna nekas. Angriparen binder alltså upp de nätverkssessioner som en server tillhandahåller och stör på så sätt ut den legitima trafiken.

Den andra typen av tillgänglighetsattacker går ut på att angriparen genererar så mycket trafik som möjligt till nätet / maskinen som ska störas ut och på så sätt tar upp all bandbredd. Denna trafik kan se ut som legitim trafik eller vara rent slumpartad. Det vanligaste är dock att angriparen använder sig av UDP-baserad trafik eller av TCP-paket med SYN flaggan satt.

I den tredje och sista typen av tillgänglighetsattacker utnyttjar angriparen brister i programvara för att få tjänster att neka legitima användare.

Vad är en distribuerad tillgänglighetsattack?

En distribuerad tillgänglighetsattack (DDoS, Distributed Denial of Service) är en tillgänglighetsattack där en angripare använder sig av flera datorer för att utföra en eller flera av angreppsmetoderna som är beskrivna ovan. Genom att utföra attacken med hjälp av flera olika system ökar angriparen sina chanser att uppnå målet att neka legitim åtkomst till tjänsterna. Vanligtvis brukar en angripare använda sig av datorer som i ett tidigare skede har blivit utsatta för ett dataintrång och nu ingår i ett större nätverk av komprometterade datorer. Ett sådant nätverk brukar kallas för ett botnet, medan datorerna som ingår i ett botnet brukar kallas för zombies.

Ett annat sätt att utföra en distribuerad attack är att få flera personer att manuellt medverka i en tillgänglighetsattack. Det kan handla om att flera personer uppmanas att till exempel skicka e-post till en viss adress eller att besöka en webbplats som i sin tur anropar trafiktunga delar av den webbplats som angriparen vill störa ut.

Hur skyddar jag mig från tillgänglighetsattacker?

Tillgänglighetsattacker är generellt sätt väldigt svåra att skydda sig mot. Det finns dock några åtgärder en organisation kan vidta för att öka sin beredskap.

En organisation bör ha väl utarbetade kontaktrutiner till det eller de företag som levererar organisationens Internetförbindelse. Vid en tillgänglighetsattack där angriparen försöker att belasta bandbredden kan internetleverantörens NOC (Network Operations Centre) eller Abuse-avdelning hjälpa till med att filtrera bort viss trafik innan den når det drabbade nätet, sk up-stream filtering. Enskilda maskiner eller större adressrymder kan också filtreras bort så att trafik från dem inte anländer till organisationens nät. Denna teknik kallas vanligen för "null routing". En internetleverantör kan också hjälpa till med att spåra förfalskad trafik (spoofing), när sådan används i en tillgänglighetsattack. Detta görs då vanligen med hjälp av en teknik som heter NetFlow.

När det handlar om sessionsbaserade tillgänglighetsattacker kan en systemadministratör ställa in antalet samtidiga uppkopplingar varje IP-adress får ha. Detta kan minska den skada varje enskild dator kan göra mot ett system men inte stoppa en distribuerad attack. Denna skyddsåtgärd kan också skapa problem om mycket legitim trafik kommer från stora proxy-servrar hos ISP:er och företag, då flera datorer delar på samma IP-adress.

Vidare kan TCP/IP-stacken ställas in så att nätverkssessioner blir mer kortlivade. Många sessioners time-out:er är satta till värden som är onödigt höga och att ställa ned dessa kan göra det svårare för en sessionsbaserad tillgänglighetsattack att lyckas. Tänk dock på att om detta görs måste det göras på alla applikationer och all nätverksutrustning som trafiken passerar för att få full verkan.

SYN-cookies är en annan teknik som kan användas för att skydda sig mot TCP-baserade SYN-attacker. SYN-cookies använder sig av en teknik för att vänta med att sätta upp en TCP-socket tills hela handskakningsproceduren är avklarad.

Att dela upp stora dokument eller bilder på flera servrar är ytterligare en teknik för att försvåra vid en sessionsbaserad tillgänglighetsattack. Genom att alla stora filer placeras på externa webbhotell eller på separata interna servrar, blir TCP-sessionen betydligt kortare och det kan göra det svårare för angriparen att lyckas med attacken. En version av hemsidan som inte innehåller varken bilder, PDF-dokument eller några andra stora filer kan också förberedas. Vid en eventuell sessionsbaserad tillgänglighetsattack kan denna version användas istället och på så sätt göra det svårare för attacken att lyckats.

Vidare kan en version av hemsidan som inte innehåller varken bilder eller stora dokument förberedas så att den kan användas.

Lastbalanserare är produkter som har till enda uppgift att fördela trafik mellan olika servrar och kan hjälpa till vid sessionsbaserade tillgänglighetsattacker. Var dock noga med att lastbalanserarna i sig själva inte blir systemets flaskhalsar.

Se till att i din organisations policy för incidenthantering ha ett avsnitt som definierar en plan för att kunna öka organisationens serverkapacitet. Externa leverantörer kan tillhandahålla sådana lösningar med kort varsel. Genom att öka antalet webbservrar vid ovanligt hög last kan en sessionsbaserad tillgänglighetsattack försvåras. Detta förutsätter dock att organisationen använder sig av någon teknik för att kunna fördela trafiken mellan servrarna, såsom DNS round-robin.

Vad gör jag om min organisation blir drabbad av en tillgänglighetsattack?

Ta reda på så mycket fakta som möjligt om attacken, vilka protokoll och portar används, från vilka IP-adresser attacken kommer från osv.

Kontakta din ISP och berätta vad det är som händer. Även i fall då problemet inte kan åtgärdas inom operatörens verksamhet, kan operatören ofta hjälpa till med många goda tips och råd.

Sårbarheter

I likhet med första halvåret 2007 har det efterföljande halvåret innehållit publicerade
sårbarheter i allt från mediaspelare till managementsystem. Klientprogramvaror som
webbläsare och antivirus program samt backupprogramvaror tycks fortfarande vara
under luppen. Inget operativsystem har heller utmärkts sig för att vara särskilt befriat
från säkerhetshål.

Andra halvåret 2007 har i jämförelse med första halvåret skonats från signifikanta
"zero day"-sårbarheter. "Zero day"-sårbarheter av allvarlighets graden som drabbade
Microsoft Office/Word under första halvåret har lyst med sin frånvaro. Förhoppningsvis
är det ett tecken på att programmen blivit betydligt motståndskraftigare efter första
halvårets händelser. Men då dessa sårbarheter figurerade internationellt i riktade
attacker leds pessimisten till att tro att marknaden för dessa sårbarheter snarare gått
under jorden än krympt.

En typ av sårbarheter som fick extra uppmärksamhet förra halvåret var sårbarheter i
hanteringen av URI:er (Uniform Resource Identifier). Uppmärksamheten berodde
delvis på att det uppstått debatt när det skulle avgöras vilken systemkomponent som
felat – URI-protokollhanteraren i operativsystemet1 eller den klientprogramvara som
ofiltrerat skickade förfrågan vidare? Sannolikt ligger felet i såväl operativsystem som
klientprogramvara, men oavsett vem som egentligen bär skulden påvisar det
komplexiteten i frågan.

Skadlig kod
Tiden för massiva utbrott av skadlig kod verkar sedan länge vara förbi. Skadlig kod
som utan användarinteraktion sprider sig mellan publika tjänster är i dag sällsynt.
Primärt destruktiv kod får inte heller det utrymmet den en gång hade. Nu för tiden
används skadlig kod allt oftare i syfte att tjäna pengar. Skadlig kod som inte kan
undvika att bli upptäckt riskerar också att rensas bort av användaren. En rensad
maskin betyder en förlorad potentiell inkomstkälla för busen. En följd av detta är att nu
mer än tidigare har diskretion blivit en dygd.

Sedan januari 2007 har Storm Worm (även känd som W32.Peacomm, Nuwar, Tibs,
CME-711 och Zhelatin) spridits genom e-postbilagor och webbplatser. Storm inledde
sin spridning i anslutning till en period av turbolent väder i Europa. Ämnesraden i
meddelandena var då "230 dead as storm batters Europe", men sedan dess har epostmeddelanden med en mängd olika ämnesrader förekommit. Inte sällan har
ämnesraderna rört vid tillfället aktuella händelser eller andra typer av ämnen som
lyckats locka användare att klicka på bilagor eller länkar i e-postmeddelanden.

Klienter som infekterats har ofrivilligt fått bli del i ett botnet. Under det senaste halvåret
har detta botnet innefattat ett stort antal klienter. Uppskattningarna har skiftat kraftigt
över tid och källa. Allt mellan 160.000 och 50 miljoner har förekommit.

Storm-nätet har bland annat använts för att skicka skräppost eller utföra
tillgänglighetsattacker (DDoS). Som vi noterade i föregående lägesrapport är
användningen av "peer-to-peer"-teknik i botnets ett faktum. Storm-nätverket är ett
exempel på just detta. Genom en decentraliserad struktur blir ett sådant nät mindre
sårbart än ett traditionellt botnet. Förutom användningen av rootkit teknik,
decentraliserad struktur och krypterade kontrollkanaler har Storm-nätverket under
sommaren implementerat ännu en teknik - Fast-flux.

Fast-flux är en teknik som använder DNS för att skydda vissa tillgångar, såsom
nätfiskesidor eller sidor som hyser skadlig kod, bakom ett rörligt mål bestående av ett
stort antal infekterade maskiner. Metoden bygger på att ett domännamn byter IPadress
väldigt frekvent, så ofta som var 3:e minut. Genom att associera ett
domännamn med ett stort antal IP-adresser samt bruka låga TTL:er (Time-To-Live)
och ”round robin” kan denna snabba "flux" åstadkommas. För ytterligare skydd agerar
ofta dessa infekterade maskiner proxyservrar. Istället för att själva bära på den
skadliga koden eller nätfiskesidan förmedlar de istället trafik till och från en
bakomliggande server. Denna bakomliggande server är den som då står för allt det
fula innehållet medan de infekterade maskinerna endast agerar ombud, något som
försvårar en nedsläckning av exempelvis en nätfiskesida.

Händelser
En av förra halvåret mest uppmärksammade händelse i IT-säkerhetsvärlden rörde
anonymiseringsnätverket Tor. Genom att hysa ett antal egna Tor-noder kunde en
svensk hackare samla in en stor mängd inloggningsuppgifter. Uppgifter tillhörande
bland annat anställda på ett stort antal ambassader och utländska myndigheter läckte
ut8. Som bekant kan all trafik som lämnar Tor-nätverket skärskådas av nodägaren
(exit-nod) och okrypterade inloggningsuppgifter till exempelvis e-postkonton är då helt
oskyddade.

I februari 2008 införde den svenska toppdomänen .se DNS Security Extensions
(DNSSec). Under året som gått har ett 80-tal företag valt att signera sina domäner.
Under hösten släppte Krisberedskapsmyndigheten och Stiftelsen för
Internetinfrastruktur undersökningen "Nåbarhet på nätet: Hälsoläget i .se 2007". Den
visade hur myndigheter, börsnoterade företag och andra samhällsviktiga
organisationer använder IT-teknik. Resultatet visade att 64% av
organisationerna hade allvarliga säkerhetsbrister. Detta kommer att följas upp under
det kommande året.

Sedan halvårsskiftet har schweiziska WabiSabiLabi drivit en marknadsplats för
sårbarheter. Genom denna marknadsplats kan säkerhetsforskare sälja
sårbarhetsinformation, med eventuellt tillhörande exempelkod (PoC), till registrerade
köpare. Marknadsplatsen erbjuder bland annat ett traditionellt auktionsförfarande där
sårbarheten under klubban säljs till högstbjudande.

WabiSabiLabi uppger att de kontrollerar giltigheten hos upptäckterna samt att de noggrant granskar såväl säljare som köpare. Marknadsplatsen har sedan lanseringen fått en del uppmärksamhet och diskussioner har uppstått. Vissa hävdar att det är osunt och befarar att värdefull sårbarhetsinformation riskerar att hamna i orätta händer utom räckhåll för berörda
leverantörer. WabiSabiLabi har försvarat sig med att deras verksamhet håller
sårbarhetsinformation borta från den svarta marknaden.

Aktörsperspektiv
Hösten har innehållit en mångfald av aktörer med såväl politiska som religiösa och
ekonomiska motiv. I denna mångfald har vi valt att fokusera på en aktör.
Russian Business Network (RBN) är ansedd som den största kriminella
organisationen på Internet. Vissa hävdar att de är inblandade i så mycket som 60% av
alla Internetbrott. RBN är en Internetleverantör för kriminella vars tjänster lär kostar
10 gånger så mycket som hos en vanlig ISP.

I utbyte får de kriminella så kallad "bulletproof hosting", vilket innebär att servern inte stängs ner trots påtryckningar av polisiära myndigheter i andra länder. Hittills har ryska myndigheter inte visat någon vilja att ta tag i problemet. Från RBN:s servrar sprids skräppost, skadlig kod,
upphovsrättsskyddat material, barnpornografi, nätfiske med mera. Storm har delvis
spridits med hjälp av RBN.

På senare tid har RBN fått mycket publicitet, exempelvis finns en blogg, vilket har
inverkat negativt på deras ljusskygga verksamhet. Vissa företag har blockerat all trafik
som från kommer från RBN:s nät. Det största bakslaget torde vara att två
uppströmsleverantörer, Tiscali.uk och C41, har avslutat kontraktet med RBN som
numera endast har en uppströmsleverantör kvar.

Dessa problem har lett till att RBN stängt ner stora delar av sitt nät i Ryssland. Det finns indikationer att verksamheten har flyttats till andra länder, till exempel Kina och Panama. År 2008 får utvisa ifall RBN dra ner på verksamheten eller om de behåller sin position som Internetbuse nummer ett. Helt klart är att det finns en marknad för de tjänster RBN erbjuder, och det finns många hungriga entreprenörer i exempelvis Kina och forna Sovjetrepubliker
som kan fylla RBN:s tomrum.

Utvecklingsperspektiv
Internationellt sett innehöll 2007 ett antal anmärkningsvärda dataläckage, såsom TJ
Maxx i januari och HM Revenue and Customs i oktober . I Sverige hann den nya
året knappt börja förrän en rad fall av dataintrång och spridning av personuppgifter
uppmärksammades. Svaga lösenord och därtill synkroniserade över flera tjänster
gjorde att den bittra eftersmaken höll i sig. Stark autentisering är som alltid ett aktuellt
ämne.

Det sägs ju att med allt ont kommer något gott. Förhoppningsvis får händelserna
människor i allmänhet att reflektera en eller två gånger över sin lösenordshantering.
Och sedan ta steg för att förbättra den. Huruvida detta leder till en permanent
förbättring är dock långt från självklart. Intressant att se är om även tillhandahållare av
tjänster (som kräver inloggning, såsom webbmail och forum) agerar under 2008. Med
tanke på den bristfälliga hanteringen av inloggningsuppgifter som förekommit ser de
möjligen en öppning för att utveckla eller utnyttja alternativa inloggningsförfaranden.
Något annat som sannolikt kommer aktualiseras av dessa händelser är betydelsen för
en organisation att ha en fungerande hantering av incidenter. En funktion för
incidenthantering ger förutom den reaktiva förmågan även viktig ingångsdata till att
förbättra den proaktiva förmågan. Beroende på en organisations storlek och struktur
kan en sådan funktion se lite olika ut. Den kan vara fast bemannad eller virtuell. Ett
alternativ är också att ha funktionen inhyrd. Oavsett hur funktionen ser ut är det dock
viktigast att den kan agera efter fullgoda premisser. Vilka som har och vilka som inte
har en funktion för hantering av incidenter är något som troligen kommer bli tydligt
under 2008.

Källa: Sitic

Cross-site scripting, XSS, är ett datorrelaterat säkerhetsproblem. Ofta handlar det om att stjäla information som annars inte visas, eller förstöra en webbsidas utseende.

XSS kan också användas för att "lura" till sig information. Exempelvis kan vi tänka oss en community där man kan skicka meddelanden till varandra. Om sajten inte är skyddad mot XSS så kan användaren X skicka ett meddelande till användare Y och få honom att klicka på en länk som automatiskt skickar hemlig information om användaren Y till användaren X. Med den informationen kan exempelvis användare X logga in som användare Y och därmed förstöra.

---

DoS är en förkortning för Denial of Service i datasäkerhetstermer. Dvs. en överbelastningsattack mot ett datasystem i syfte att se till att inte någon annan får tillgång till systemet. Det finns tre olika tillvägagångssätt att genomföra ett överbelastningsangrepp: att man missbrukar en sårbarhet eller svaghet som får systemets programvara att krascha; att man sänder (överbelastar) så mycket trafik att deras system eller applikation kollapsar; att man sänder så mycket skräptrafik så att legal/giltig trafik hindras att komma fram. De första kända överbelastningsangrepp är de mot Ebay, Amazon och CNN under februari 2000. Därefter har överbelastningsangrepp drabbat olika sektorer som spel/bettingföretag, banker och finansiella institut.

---

DDoS (Distributed Denial of Service) är en teknik som används mot ett datorsystem eller nätverk för att konsumera all tillgänglig bandbredd. Detta orsakar en uppkopplingsstörning för användarna genom att överbelasta resurserna på det utsatta systemet. Oftast kommer denna attack från datorer som blivit infekterade av en Trojan. Trojanen används sedan för att "anfalla" ett specifikt system. Detta orskar en Denial of Service (DoS), vilket leder till att nätverket slås ut.

En DDoS-attack bygger på att en stor mängd anrop, med en relativt liten mängd data, samtidigt och kontinuerligt från flera datorer skickas till ett datorsystem eller nätverk. Det utsatta systemet överbelastas av den stora mängden anrop vilket "stryper" övrig kommunikation.

Det enda som behövs för en attack är målvärdens IP-adress, vilken är relativt enkel att få tag på när datorn väl kopplat upp sig mot Internet.

---

Internetmask är en form av omformaterande datorprogram, som själv sprider sig från dator till dator över Internet, utan att behöva hjälp från någon oförsiktig användare. Detta är vad som skiljer en mask från ett datorvirus. Maskar är därför oftast beroende av någon form av säkerhetshål för att kunna spridas.

Många maskar gör inget annat än att sprida sig själva, men har i princip full kontroll över den infekterade datorn. Bara genom sin spridning kan de dock orsaka stor skada och höga kostnader. Ibland har maskar använts för att utföra DoS attacker mot stora webbplatser från infekterade datorer.

Den första Internetmasken var den så kallade Morrismasken, som spreds den 2 november 1988.

---

En trojansk häst eller trojan är ett datorprogram som utger sig för att vara till nytta, men som orsakar skada när det lurat en användare att installera det. Det kan vara frågan om ett program skrivet för ändamålet eller en modifierad version av ett annat program.