qvi.st

Kristoffer Qvists blogg om allt möjligt

Kategori: Säkerhet

Varför man ska vara misstänksam mot online-tjänster

13 juli 2020 / / Inga kommentarer

Under den senaste tiden har användningen av olika samarbetsverktyg ökat markant. De flesta av dem är också så kallade “onlinetjänster”, eller “mjukvara som tjänst” om man översätter frasen Software as a Service ordagrant från engelska. Det är just det som flera idag populära verktyg är.

För att nämna några så kan jag ju ta upp exempelvis Microsoft Teams eller Zoom. Dessa har idag blivit populära verktyg att nå andra människor. Däremot finns det några frågetecken som man bör räta ut först:

  • Var någonstans sparas datan?
  • Vilka har tillgång till datan?
  • Hur säkra är programmen?

Äger man själv hårdvaran, och innehar programvaran i sina egna system, så har man större möjlighet att svara på frågeställningarna.

Säkerhet alltid en viktig aspekt

Om vi riktar in oss på Zoom, så har det dykt upp några säkerhetsincidenter på sistone. De ska visserligen arbeta för att lösa dem – om dessa inte redan är lösta i redan. Insikten bör dock vara en väckarklocka även om utvecklarna har lovat att arbeta mer med säkerheten i Zoom.

Något jag också undrar är om det finns oberoende kodgranskare. Det är nämligen en sak att utveckla ett verktyg, och själva testa så att koden är säker. Det är inte riktigt samma som att låta någon annan testa efter sårbarheter. Som utvecklare kan man förstås använda “defensive programming”. I stort handlar det om att göra kod läsbar, ha hög kvalité och att även ge programmet instruktioner om att bete sig någorlunda förutsägbart vid situationer det står inför oförutsedda händelser.

Nyhetsrapporteringen har ju även tidigare beskrivit Snapchats hantering av användardata hos dem. Mer specifikt hur de anställda hanterar användarnas (okrypterade) data. Nyhetssidor såsom Vice, Macrumors och CNET har berättat om dessa incidenter.

Allra bäst approach är nog att anta att programmen redan är hackade. Även om man gör program så säkra som möjligt utifrån de erfarenheter som man har samlat på sig idag, så kommer det alltid att finnas dem som söker efter nya vägar att ta del av hemlig information.

Alternativa, säkrare verktyg

Säkerhet är i och för sig ett subjektivt ämne. Mycket är möjligt att “komma runt”. I vissa fall kan det kräva djupare teknisk “know-how” för att ta del av den information som man vill komma åt. I andra fall kan en så kallad “script kiddie” komma runt säkerheten. Idag är dock program oftast såpass säkra att “social engineering” är mer populärt hos illasinnade hackare. Då behöver de nämligen inte ha samma tekniska kunskap, utan behöver vara bättre på att känna av människor.

Jag själv har en förkärlek till “open source”. Detta av lite olika anledningar – men kanske främst att koden kan granskas av oberoende. Dessutom kan man ofta hämta hem dessa verktyg och använda dem eller själv vara värd för dem. Det senare alternativet kan visserligen kräva lite mer teknisk “know-how”, men jag tycker att man vinner mycket på om man kan göra det.

Dock är inte verktyg säkra enbart för att de är baserade på öppen källkod. Det har ju funnits incidenter där sådana verktyg har haft sårbarheter också. Ett sådant var Heartbleed, vilket inträffade 2014. Då upptäcktes en bugg i biblioteket OpenSSL, vilket påverkade webbplatser som använde kryptering. Sårbarheten innebar att illvilliga hackare kunde komma åt webbservrars privata krypteringsnycklar, vilket innebar att krypterad kommunikation mellan en dator och en server skulle kunna avlyssnats, utan kännedom för de påverkade.

Fördelen mot proprietära verktyg, eller program som inte är open source, är att man här kan få “gratis” kodgranskare. Dessutom kan man även granska den kod av det program som man vill installera på sina system.

Samarbetsverktyg

Det finns lite olika samarbets- och/eller sociala verktyg med tanke på vad man vill göra. Ett exempel som jag kan tänka på är NextCloud Hub. Systemet fungerar dels som en fillagringsplats – men även som samarbetsverktyg. Man skulle kunna säga att NextCloud Hub fungerar ungefär som Microsofts “Office 365”, eller Googles “G Suite”.

Via NextCloud Hub kan man även köra videokonferenser, om man har appen “NextCloud Talk” installerad. Ibland kräver denna app mer handpåläggning, men det är helt upptill hur servern är konfigurerad. Av egen erfarenhet så har jag fått söka efter information om vissa inställningar som inte klart stod med i dokumentationen av NextCloud. Visserligen kan jag vara bortskämd med andra program som i mångt och mycket är “plug and play”.

Är man enbart ute efter videokonferenser kanske Jitsi Meet kan vara något. Själv har jag provat på verktyget, dock inte fullt it. Om man vill, så kan man också prova skapa ett mötesrum utan att ange namn eller e-postadress via instansen meet.jit.si. Det enda instansen ber om är att namnge mötesrummet. Man kan däremot efter skapandet av mötesrummet även göra det lösenordsskyddat.

Jag har däremot lyssnat en del på YouTube-kanalen “Nerd on the Street – Tech”. Skaparen av den kanalen har bland annat gjort en videoguide om att skapa en Jitsi-instans (på engelska). Som det förklaras i videon kan man även göra Jitsi-instansen helt lösenordsskyddad. Jag har själv (ännu) inte sett någon officiell dokumentation om hur man på bästa sätt konfigurerar skyddade möten. Eventuellt kan jag ha missat den delen från dokumentationen. Helt klart intressant i varje fall.

Säkerhet ska vara ett helhetstänk

Hur tråkigt än “säkerhet” kan låta så är det viktigt att det finns ett helhetstänk här. Oavsett hur många säkerhetsprogram eller prylar man köper, så är frågan i slutändan hur man använder dem, hur tänket kring säkerhet är annars och om dessa instanser är säkra till en början?

Ett exempel: Ett företag har ett passerkortssystem där samtliga besökare skall använda sig av passerkorten. Råkar någon säga sig vara anställd, utan att vara det, men ha “glömt” passerkortet kanske denne blir insläppt av en intet ont anande person som har passerkort. Där fallerade skalskyddet.

Ett annat exempel är mejl som informerar att “man måste återge sina användaruppgifter på tjänst X”. Detta är en vanlig variant av “phising”, där illasinnade personer använder sig av dessa mejl för att få tag på kontouppgifter.

Ett tredje exempel skulle kunna vara “smarta enheter” som man ansluter till hemmet.

På första exemplet bör man inte släppa in personer där besökare skall använda sig av passerkort. I andra exemplet ska man ta bort mejlet och inte ange några kontouppgifter över huvud taget. Vad gäller tredje exemplet så bör man tänka efter om man har behov av dessa. Vidare bör man även undersöka om enheterna använder sig av standardlösenord av tillverkaren och gärna ändra dessa. Jag kan rekommendera att läsa PC för allas artikel “hoten mot ditt smarta hem – och så säkrar du det” för tips.

För att inte bli ett för långt inlägg så tänker jag runda av här. Många smarta hem använder sig av ett moln varför det också inkluderades i slutet av detta inlägg.

Säkerhet och publicitet – mina tankar

21 februari 2020 / / Inga kommentarer

Jag lyssnade för ett tag sedan till en video från YouTube-kanalen Chris Titus Tech som fångade mitt intresse. Själva videon handlade om en säkerhetsforskare som publicerade en s.k. zero-day-bugg som fanns i fönsterhanteraren KDE. Själva buggen patchades inom 24 timmar. Säkerhetsforskaren publicerade säkerhetshålet publikt, antingen utan eller samtidigt som han tog kontakt med utvecklarteamet.

Enligt mig, och även kanalens huvudperson, så var det inte ett jättebra beslut. Framförallt handlar det om att forskaren inte gett utvecklarna tid att täppa till säkerhetshålet innan informationen gjordes publik.

Jag anser att utvecklarna bör få en chans att fixa en patch till säkerhetshålet som uppdagades. Detta innan publikation om fyndet. Jag anser att det handlar om att minimera risken att säkerhetshål inte ska kunna användas av (ondsinta) personer och/eller organisationer så länge säkerhetshålet finns. Det finns andra som (tyvärr) inte riktigt håller med denna åsikt.

Jag tycker att det är i allas intresse att säkerhetshål täpps till snarast möjligt. Samtidigt anser jag att när dessa uppdagas att utvecklaren av mjukvaran uppmärksammas på det privat, via ett meddelande eller e-post. Då minimeras risken att potentiellt ondsinta personer och organisationer får kännedom om sårbarheten innan den är åtgärdad, och därmed ökar risken för att dessa utnyttjar den. Jag säger inte att det är en garanti för att sårbarheterna inte kommer att användas, däremot tänker jag att färre ondsinta personer blir medvetna om det och därigenom blir det färre som riktar illasinnad kod mot sårbarheten.

Bild som visar text i form av datorkod eller loggar i en våg.
Analytics av xresch. Licens: CC0.

Facebook-skandalen: vad gick fel?

7 april 2018 / / Inga kommentarer

I mitt tidigare inlägg skrev jag angående Facebook-skandalen. I inlägget undrade varför alla vaknade nu. Här tänker jag istället gå in på var Facebook, enligt mig, hamnade fel.

1. Facebook ser dig

Företaget samlar mycket data, kanske mer än vad någon utanför har varit införstådd med. Vill man gå med måste man ange namn, e-post eller telefonnummer, ålder samt biologiskt kön. Redan där har företaget fått mycket information om den som registrerar sig.

I jämförelse, om man exempelvis registrerar sig på WordPress.com, ber de om ett användarnamn och e-postadress. Vilket är rätt stor skillnad i information som efterfrågas.

Utöver den tillfrågade informationen kan nämnas att Facebooks ”Gilla” – eller ”Like”-knappar – har använts av många webbsidor. Genom att knappen finns där kan företaget få mer information om surfvanor, vilka företag man gillar och vilka organisationer man sympatiserar med. Då behöver man som besökare inte heller vara en registrerad användare.

Det mest anmärkningsvärda kanske är anekdotiska berättelser om människor, där de fått reklam om vissa produkter bara genom att prata om dem (när man inte använt deras app). I de anekdotiska berättelserna hade de drabbade inte skrivit något om de specifika produkterna. Dock tillbakavisar Facebook detta och vidare i inlägget diskuteras möjligheten om andra appar som kan tjuvlyssna, som Rob Goldman skrev i en Tweet, fritt översatt av mig:

Jag är ansvarig för reklam på Facebook. Vi har inte – och har aldrig – använt din mikrofon för reklam. Det är inte sant.

Man får nog dra sin slutsats själv om vad som är sant och inte.

2. Facebook delar data

Facebook delar data med annonsörer och apputvecklare. Det som hände med Cambridge Analytica, något sammanfattat, var följande:

Apputvecklaren Aleksandr Kogan skapar ett personlighetstest på Facebook 2014. Cirka 270.000 människor deltog i det testet. De som valde att delta gav också Kogan information om deltagarnas vänner, som sammanlagt blev 50 miljoner personer. Datan gav Kogan sedan sin arbetsgivare, Cambridge Analytica (vilket jag hädanefter kallar CA). Av dessa profiler gjorde företaget CA 30 miljoner ”psykografiska” profiler av väljare i USA.

Facebook ska dock ha slutat ge möjlighet till apputvecklare att ta del av användarnas vänner vid 2014. Dock lite sent med tanke på att skadan redan var skedd med CA.

3. Företaget drar sig inte för andra metoder

Det har nämnts att Facebook också ville be sjukhus om anonymiserad data om deras patienter till ett forskningsprojekt. Men med tanke på mediernas rapportering om just CA så har Facebook valt att lägga projektet på is. Om projektet hade startat, hade Facebook fått tillgång till patientdata utan namn. Dessa hade företaget sedan jämfört med personer i sin egna databas genom hashing. Enligt artikeln skulle detta enbart använts i forskningssyfte. Historiskt sett med Facebook vet jag inte om man kan vara lika säker att det bara hade använts i det syftet.

Det jag anser Facebook gör fel är väl egentligen det de tjänar pengar på: all datainsamling över samtliga användare och icke-användare.

Om man inte tycker om det inträffade, och för närvarande är i Facebook tycker jag själv att man bör välja ett annat socialt nätverk. Vissa kanske nämner Instagram, men detta är helägt av Facebook. Snarare bör man kanske kolla på decentraliserade sociala nätverk, som jag nämnde i mitt tidigare inlägg.

Jag drar dock slutsatsen att effekten som all nyhetsrapportering är liten till minimal för gemene man. Jag har inte själv hört någon bekant gå ur Facebook på grund av det inträffade, även om jag har hört rörelsen #deletefacebook.

Orsaken till att väldigt få kommer gå ur är nog följande: man har sina vänner och bekanta i den plattformen redan. Om man väljer en annan plattform måste man övertyga samtliga till att gå över, om man inte vill använda Facebook längre över huvud taget. Det tror jag lär bli väldigt svårt.

Bild på en kvinna som håller i en läsplatta visandes en rapport.
Pill av rawpixel. Licens: CC0.

Facebook-skandalen: Varför vaknar alla nu?

6 april 2018 / / Inga kommentarer

Det har förmodligen inte undgått någon. ”Facebook-skandalen”, som medierna uttrycker det, har varit på tapeten de senaste veckorna. Som IT-intresserad är jag inte förvånad över det inträffade. Det som jag är mer förvånad över är att det är först nu som medierna fått upp ögonen för frågan.

Egentligen har det varit känt av många (om inte alla) IT-intresserade människor angående Facebooks datainsamling. Förmodligen är omfattningen av data nytt, men att de samlat in stora delar av privatliv känt. Bland annat nämndes redan 2013 att forskare kunde härleda användarnas ålder, kön, sexuell orientering, etnicitet och vilka man sympatiserade med politiskt med stor precision. Det kunde härledas enbart genom Facebooks ”Gilla”-knappar. Med mindre precision kunde bland annat intelligens, psykologisk hälsa och hur nöjda människor var med deras liv också härledas.

Det finns förstås även äldre nyheter som nämner Facebooks datainsamling. Någon som har hållt sig borta helt och hållet är Richard Stallman, som är grundare av Free Software Foundation och är en av skaparna till operativsystemet GNU (som ofta kommer med en Linux-kärna, och ofta enbart blir kallat ”Linux”). Stallman har på sin personliga webbsida presenterat många argument för att inte använda Facebook.

De senaste veckorna har bland annat Aftonbladet och Expressen publicerat artiklar om detta. Expressen skrev så sent som igår att 55.000 svenskar kan vara drabbade.

Det finns inget som är ”gratis”

På engelska finns det ett uttryck som går there’s no such thing as free lunch. Översatt till svenska blir det det finns inget som heter gratis lunch. Innebörden av uttrycket är att det inte kommer erbjudanden där man inte förväntar sig en motprestation. I Facebooks fall handlar motprestationen att man som gratisanvändare ger företaget data. Datan använder sedan Facebook för att dels visa riktade annonser och för att kunna sälja vidare till deras egentliga kunder, som är företag.

Liknande kan förmodligen nämnas om andra företag, såsom Google. Hur mycket känner inte de till om sina användare? Förra året slutade de förvisso att automatiserat läsa av mail på deras tjänst. Dock kan de fortfarande se ens sökhistorik om man är inloggad, och om man är inloggad i Chrome, även se sidhistorik. Det samma gäller YouTube, som ägs av Google.

Vad händer härnäst, lämnar folk Facebook?

Folk har redan valt att lämna plattformen. Dock tror jag inte att människor kommer lämna plattformen i såpass stora skaror. Jag tänker på tidigare skandaler som medier skrivit om, nyhetsflödet om Facebook kommer förmodligen att ebba ut och så småningom kommer den stora skaran att fortsätta sina liv som vanligt.

Den största skaran människor som påverkas mer nämnvärt är förmodligen anställda på Facebook. Men jag vill inte på något sätt förminska den omfattning som datadelningen har skett i. Vad jag menar är direkt påverkan i deras vardag, människor kanske väljer att säga upp sig vilket leder till större arbetsbörda för övriga… Det i sin tur är inget som gemene man kommer märka av i sin vardag, i alla fall till en början.

Alternativ till Facebook

För de människor som önskar använda alternativa sociala mediekanaler nämner jag dem här. Några av de större alternativen nämns i punktform nedan:

  • JoinDiaspora*
    Är ett socialt avcentralliserat nätverk. Man behöver inte ansluta sig till en central server, utan kan välja en som passar sig själv. Utseendemässigt likt Twitter, då designen bygger på Bootstrap. Även om man inte kan registrera sig längre på JoinDiaspora (man kan däremot bli inbjuden), finns det andra alternativ som använder samma teknologi.
  • Minds
    Ett projekt som dels kan fungera mikroblogg men även blogg. Säger sig själv vara byggt på frihet, integritet och demokrati. Upplever utseendet som friskt och fräscht. Är uppbyggd med öppen källkod.
  • Friendica
    Ett socialt nätverk som är ”personligt” enligt projektets webbsida. Det är ett decentraliserat socialt nätverk som har flera publika noder. Om man vill kan man även ladda ned och ha en egen instans.

Jag vill dock att man uppmärksammar en sak vad gäller sociala nätverk: väljer du att dela något i sociala nätverk, kommer de som har tillgång till gruppen att ha tillgång till den informationen. Är gruppen öppen gäller det även de människor som har tillgång till internet. Om man inte uppmärksammar detta, kommer man förmodligen att göra om samma misstag, om man har blivit förskräckt över nyheterna som publicerats med Facebook och Cambridge Analytica.

Bild på ett digitalt hänglås, som en person trycker på.
Säkerhet av Geralt. Licens: CC0.

Skippa säkerhetsfrågorna i kommande projekt

5 april 2018 / / Inga kommentarer

Säkerhetsfrågor har förmodligen varit väldigt vanliga tidigare i olika webbprojekt. Dock finns det fortfarande idag ingen industristandard kring vilka frågeställningar man bör ha. Det i sin tur har lett till kassa frågeställningar (som i värsta fall kan vara enkla att gissa svaren på).

Jag måste använda säkerhetsfrågor…

OWASP, Open Web Application Security Project, skriver angående dessa frågor. Visst nämns några viktiga punkter om man nu behöver använda sig utav säkerhetsfrågor (men det är inget jag själv rekommenderar att ha på en sida över huvud taget):

  1. Minnesvärda säkerhetsfrågor. Om användarna inte kan minnas svaret, vad har man uppnått då?
  2. Oföränderlig. Användarna bör inte kunna ändra svaret. Exempelvis kan den man är förälskad i idag vara någon annan än den för fem år sedan.
  3. Fungera för typ alla. Alla har kanske inte träffat den rätte ännu… Eller så har man valt att vara singel? Det gäller att välja frågor som fungerar helst för alla.
  4. Säkra. Svaret på frågan bör vara svår att gissa och inte enkel att få fram via offentliga register. Vad har de flesta delat om sig på sociala medier, likt Facebook?

Vad kan användas istället?

Tack för att du frågade! Istället för tidigare nämnda saker kan man istället använda olika lösningar, såsom multifaktorautentisering. Exempel är när man använder lösenord i samband med ”Google Authenticator” då man loggar in på deras tjänster. Genom att använda sig av dessa uppfyller man ett säkert inloggningssystem enligt SS-ISO 27001:2014. Jag är medveten om att det har utkommit nyare versioner av nämnd standard 2017, dock har jag inte läst den uppdaterade versionen.

Om man använder sig utav WordPress, Joomla! eller Drupal finns det olika färdiga alternativ man kan använda. WordPress har några (gratis) tillägg i deras katalog som kan användas. Det finns även vissa som har det som premiumtillägg i en säkerhetslösning.

Joomla! har också dokumenterat multifaktorautenticering i deras manual. I och med att jag själv inte fastnat för Joomla! kan jag inte säga något om deras tillägg.

Drupal har också tillägg. I nuläget finns det ett som är stabilt för Drupal 7, men i alpha-fas för Drupal 8.

En bild som visar flera enheter som är uppkopplade mot internet/"molnet".
Network av Jeferrb. Licens: CC0.

Smarta hem (och bilar) osäkra?

3 februari 2018 / / Inga kommentarer

I och med att det skapas allt fler apparater inom IoT, till exempelvis smarta hem, bildas det fler produkter som är sårbara för olika typer av attacker. Hur sårbara produkterna är beror på både tillverkaren och användaren. Här gäller inte heller ”men det kommer ju inte hända mig, jag är ointressant”, eftersom sårbarheterna utnyttjas av automatiserade hot. Detta kan du läsa mer om längre ned i inlägget.

Till att börja med vill jag säga att jag upplyser om eventuella sårbarheter som kan utnyttjas. Jag uppmuntrar på inget sätt till brottsligt agerande. Blogginlägget är menat till för läsaren att ta nödvändiga steg till att säkra sina egna uppkopplade enheter/prylar. Genom detta uppmuntrar jag till proaktivt agerande från läsarens sida.

Bakgrund

Svenska YLE (en del av ett finländskt public service-bolag) skrev redan 2016 om problemet. I artikeln kan man dels läsa om ett finländskt bolags äldre automatiseringssystem som fortfarande används för värme och ventilation. Många av dessa system skall enligt artikeln använda sig utav standardlösenord och användarnamn. I artikeln nämndes även en bostadsrättsförening i Linköping som hade blivit offer för en attack. Attacken gjorde att varmvattnet stängdes av för samtliga boende i föreningen.

För några år sedan kunde säkerhetsforskare styra bilen genom uppkopplade laptops, skrev cbc.ca. År 2016 visade ett kinesiskt forskningsteam hur de kunde ta över kontrollen över en Tesla. Enligt artikeln skall Tesla ha fått kännedom på detta i förhand och därefter åtgärdat säkerhetshålen innan publicering.

Men jag bör väl inte vara intressant?

Som jag tidigare skrev, så används automatiserade system för att hitta sårbarheter. Systemen kan vara del av botnät, som skickar ut automatiserade förfrågningar. Därefter vid träff kan ”ägaren” av botnäten gå vidare med mer detaljerade attacker. Även om man inte är intressant som person , enligt sig själv, så kan ens enheter vara måltavlor för att användas i botnät.

Har du hört talas om Mirai? Det är en mjukvara som har använts för DDoS-attacker via IoT-prylar. Programvaran riktade sig in på sådant som fortfarande hade standardanvändarnamn och -lösenord satta från fabrik. Dessa enheter användes sedan för att utföra DDoS-attacker mot olika mål som ondsinta hackers kunde ha.

Skydda smarta hem (och bilar)

Vad gäller smarta bilar…

En sak som är viktig att peka ut i sammanhanget med smarta bilar, som Scientific American skriver, är att det inte är enkelt att utnyttja sårbarheter i moderna bilar. Det har tagit tid och mycket arbete för forskare att undersöka nämnda fel. Om samtliga bilmodeller som var sårbara har uppdaterats med de senaste uppdateringarna bör alltså forskarna inte kunna återskapa sina undersökningar. Det samma gäller förstås ondsinta hackers.

…och smarta hem

Vad gäller ens smarta hem så finns det viktiga steg man själv kan göra som användare. Till att börja med kan man fråga sig om man verkligen behöver den uppkopplade funktionaliteten? Om inte, så är det bättre att låta bli att koppla upp enheten mot internet.

Om du nu skulle behöva ha funktionalitet, kan det vara en bra idé att skapa ett ytterligare nätverk för enheterna. Inom nätverk kallas detta för en ”demilitariserad zon”, DMZ. Detta nätverk bör inte ha någon åtkomst till ditt huvudnätverk. Hur man kan åstadkomma separata nätverk kan ske på två sätt; dels genom ett gästnätverk om routern stödjer det, eller genom att använda en ytterligare router.

Det är förstås bra (och viktigt) att alltid ändra lösenordet på samtliga sina IoT-enheter efter att man köpt dessa.

Ett bakgrundsbelyst tangentbord, med två händer på tangentbordet i ursprungsläge. Bokstaven "U" trycks ned.
Bild av Colin via Wikimedia Commons. Licens: CC BY-SA 4.0.

DDoS – inte enkelt att skydda sig emot

23 mars 2016 / / Inga kommentarer

DDoS (Distributed Denial of Service), eller distribuerade överbelastningsattacker, är något som alla egentligen bör vara förberedda på skulle kunna ske. Det finns många verktyg som illasinnade personer kan använda i syfte att ta ned viktiga samhällsfunktioner eller sajter som ägs av åsiktsmotståndare. Att skydda sig emot DDoS är inte direkt enkelt, eftersom att det handlar om en stor mängd trafik som riktas mot ett visst mål. Denna trafik kan verka legitim för enklare nätverksbrandväggar, och det kan vara svårt att skilja mellan en DDoS-attack och en trafik-topp.

Det finns diverse olika metoder för överbelastningsattacker – vilka jag inte tänker gå igenom – men det handlar kort och gott om att en person har kontroll över ett stort nätverk med ”zombie”-datorer, även kända som ”botnät”, som sedan riktar trafik mot deras mål. Ett nätverk med 50 000 zombie-datorer kan sägas vara ett litet botnät. För att jämföra kan BredoLabs botnät nämnas, som 2009/2010 hade omkring 30 miljoner botar[1, 2]. Att ens hemnätverk skulle gå ned om en sådan attack skulle ske skulle nog inte vara förvånande.

Applikationsbrandväggar kan vara bra

Visst finns det möjlighet att använda sig av så kallade applikationsbrandväggar som är något mer noggranna än vanliga brandväggar som enbart blockerar vissa portar. Dessa kan konfigureras till att känna av om vissa typer attacker sker, och därigenom eventuellt kunna minska lasten för det utsatta systemet. Dock måste man komma ihåg att detta inte är en universell lösning som kommer att fixa allt som har med DDoS att göra, men det finns en möjlighet för dessa att se till att ofullständiga packet stoppas innan de når destinationen.

Molnbaserat försvar mot DDoS bör utvärderas

Som jag tidigare nämnde, så kan man behöva ha stora resurser för lastbalansering. Dock kan det vara något som inte är rimligt för en mindre organisation, med tanke på alla system som måste vara igång. Det finns molntjänster som går att använda eftersom att man förmodligen inte har alla resurser som krävs. Dessa brukar vara så kallade CDN, Content Delivery Networks, är många globalt distribuerade proxy-servrar som visar exempelvis en hemsida för slutanvändaren nära denne. Bilden nedan exemplifierar detta.

En bild föreställande två olika scenarion gällande hur webbresurser kan fördelas. I den vänstra visas en webbserver i "molnet" som visar fem klienter samma innehåll. I högra "molnet" ger fem olika webbservrar fem klienter samma innehåll.
”Vanlig” server till vänster, CDN till höger. CC BY-SA 3.0. Av Kanoha, källa: https://en.wikipedia.org/wiki/File:NCDN_-_CDN.png

Slutsats

Det enda sättet att faktiskt kunna skydda sig emot DDoS är genom att ha infrastruktur som klarar av belastningen utav en sådan attack. Dock är det inte ekonomiskt rimligt idag för ett företag att själva äga hela den infrastrukturen, i och med alla enheter som skulle krävas för lastbalansering och även konfigurationen av dessa enheter. Däremot finns det lösningar som går att använda, molntjänster såsom CDN är ett utav dem som man bör kolla på.

Källor

[1]: http://www.infosecurity-magazine.com/news/bredolab-downed-botnet-linked-with-spamitcom/

[2] https://www.helpnetsecurity.com/2010/11/02/the-aftermath-of-the-bredolab-botnet-shutdown/

Kriminella utpressar med DDoS

7 december 2015 / / Inga kommentarer

Idag skrev Computer Sweden att alltmer kriminella pressar ut företag som har stor IT-användning. Företagen skall få ett krav att betala ungefär 15 – 20 bitcoin till de kriminella, skriver Computer Sweden. Hur många som faktiskt har fallit offer för detta fenomen framkommer inte i texten, dock är det gemensamma för alla offer att alla har stor användning av IT; bland annat banker, mjukvaruföretag och epost-leverantörer. Det står även att alltfler anmälningar har kommit till polisens bord som är relaterad till DDoS-attacker.

För att motarbeta den inverkan på DDoS-attacker gäller det att göra en riskanalys om sin IT-miljö samt värdera huruvida tåligt IT-strukturen är. Jag har tidigare skrivit lite angående DDoS-attacker och hur vad man bör tänka på för att mitigera åverkan.

Licensinformation

All information (förutom datorkod), om ej annat står skrivet, är gjort av mig och licenserat i enlighet med Creative Commons Erkännande-IngaBearbetningar.

All publicerad datorkod är gjord av mig och licenserad i enlighet med Apache-licensen, version 2, om inte annat står skrivet.

Om Kristoffer

Kristoffer är en teknikintresserad ung man, som tycker att det är roligt att blogga om diverse saker han är intresserad utav. I denna blogg handlar det främst om IT samt datorrelaterade ämnen.

Han skriver i perioder, vilket betyder ibland att det kan vara färre publicerade inlägg. Misströsta dock inte, han är snart på hugget igen med att skriva nästa inlägg.

Om sajten qvi.st

Sajten är tänkt att vara dels en resurs med användbara script och konfigurations-inställningar, men också en plats där tankar publiceras. Du som besökare får mer än gärna kommentera, men tänk då gärna på att hålla en god ton och även det som står i sajtens integritetspolicy.

Väljer du att kommentera i bloggen kan det ta en stund innan den blir synlig, då alla kommentarer modereras. Jag ber dig som kommenterar att ta hänsyn till detta.

© 2024 qvi.st

Tema av Anders NorenUpp ↑