Cornucopia?

2016-10-22 11:20

Regeringens DNS sårbar - kör enbart hos angripna DYN

Över 1 700 svenska .SE-domäner kör sin DNS hos den igår angripna amerikanska DNS-leverantören DYN. Över 1 300 av dessa är helt beroende av DYN som single-point-of-failure inklusive den svenska regeringens officiella webplats regeringen.se.
Flitens lampor är redan släckta hos regeringen och Rosenbad. Återstår bara att släcka regeringen.se.


Fram till igår körde MSB:s msb.se och krisinformation.se en redirect hos DYN och var alltså helt beroende av resurser utomlands för att kontaktas.

Sammanlagt över 1 700 domäner i svenska .SE har sin DNS helt eller delvis hos DYN. Över 1 300 är helt beroende av DYN och saknar alltså backuper.

En av Sveriges viktigaste webplatser vid allvarlig kris, regeringens officiella regeringen.se, är helt beroende av DYN och kommer ej gå att nå vid t ex avbrott i Internetförbindelsen mot USA och DYN, eller vid en DDOS-attack mot DYN. Vem som än angrep DYN sitter nu med facit.

På regeringens webplats publiceras bland annat regeringens uttalanden, pressmeddelanden, kallelser till presskonferenser och filmade presskonferenser. Vid en allvarlig kris kan man förvänta sig att kritisk information kan vara publicerad där, t ex som offentliggörande att regeringen beslutat om höjd beredskap ("krig") eller att krigslagar som t ex förfogandelagen ska aktiveras.

Till detta kommer förstås svenska domäner under .NU, .COM mfl som också lagts ut på DYN.

MSB har nu bytt till en svensk DNS-leverantör. Det är lämpligt när målgruppen för myndighetens krisinformation sitter just i Sverige och man inte kan vara säker på att kommunikation mot utlandet fungerar tillfredsställande vid kris.

MSB har dock inte lärt sig av sitt misstag, utan har fortfarande bara en leverantör och därmed en single-point-of-failure på sin DNS och kan sänkas i ett riktat angrepp. Dessutom ligger en massa vilande MSB-domäner kvar hos DYN, t ex riktade domäner för fågelinfluensainformation, omdirigering av gamla Räddningsverket mm.

Bland de över trettonhundra svenska kunderna som enbart använder DYN hittas Aktiespararna, Bohusbanken, Clas Ohlson-sfären, Danske Bank, Danderyd kommun, Groupon, Kustbevakningen, Lunds kommun, Malmö Aviation, Netflix, Paypal, Sida, Svedala kommun ochTradera.

Bakom mycket av införsäljningen av DYN som enda DNS-leverantör ligger ett enskilt svenskt företag, Excedo, som bland annat marknadsför sina tjänster för bland annat websäkerhet. Kanske lite feltänkt att lägga sina viktigaste ägg i samma korg?

Det är inte så att det kostar några stora pengar att ha mer än en DNS-leverantör. Fakturerings- och bokföringskostnaden är antagligen större än själva priset...

Tillägg:
Nedanstående kommentarer är inte en del av det redaktionella innehållet och användare ansvarar själva för sina kommentarer. Se även kommentarsreglerna, inklusive listan med kommentatorer som automatiskt kommer raderas på grund av brott mot dessa.

7 kommentarer:

  1. Avbrott i internetförbindelsen mot USA ska väl inte kunna påverka alls? Lever du på 1900-talet? Så här skryter ju DYN själva: "Enjoy the redundancy of our top-level DNS servers with a diverse blend of Tier 1 bandwidth networks across four locations in Asia, North America and Europe."

    SvaraRadera
  2. Stort ditt nederlag för ditt älskade USA och all den skit dom medför runt omkring i världen.

    http://edition.cnn.com/2016/10/20/asia/china-philippines-duterte-visit/


    SvaraRadera
  3. Det hela förvärras ju dessutom att det inte ens går att ansluta till web-platsen om man känner till IP-addressen.

    ~$ lynx https://193.182.190.234

    Looking up 193.182.190.234
    Making HTTPS connection to 193.182.190.234
    UNVERIFIED connection to 193.182.190.234 (cert=CN<*.msb.se>)
    Certificate issued by: /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Domain Validation CA - SHA256 - G2
    Secure 256-bit TLS1.2 (ECDHE_RSA_AES_256_GCM_SHA384) HTTP connection
    Sending HTTP request.
    HTTP request sent; waiting for response.
    HTTP/1.1 302 Found
    Data transfer complete
    HTTP/1.1 302 Found
    Using https://www.193.182.190.234/
    Looking up www.193.182.190.234
    Unable to locate remote host www.193.182.190.234.
    Alert!: Unable to connect to remote host.

    lynx: Can't access startfile https://193.182.190.234/

    Nån IT-mupp som virrat till det totalt här uppenbarligen.

    SvaraRadera
  4. En DNS kopplar bara ihop domännamn med IP-nr.
    Ett alternativ är att offentliggöra IP-nr. Och knappa in det i webbläsaren.

    SvaraRadera
    Svar
    1. Nja, det är ganska vanligt att webbservrar har ett IP för en massa olika siter, så ska man göra nåt sånt är det troligt att man måste lägga in namn+IP i sin lokala hosts fil.

      Radera
    2. Dessutom kan webbplatsen ha en mängd olika länkar till interna domännamn. Då fungerar det ändå inte

      Radera
  5. Det är i alla lägen bättre tillgänglighetsmaskigt för en tjänst att köra sin egen DNS för tjänsten ifråga hos tjänsten själv. (Om man vill vara riktigt lurig kan man med glurecords slippa även det.) Om man vill ha redundans med multipla tjänster för att hantera partiella routingfel kan man köra DNS vid varje tjänst och peka den på tjänsten den sitter vid. Samma princip som anycast men men enklare medel och kan göras av alla som vill.

    SvaraRadera

Related Posts Plugin for WordPress, Blogger...