Om DoS angreppen

7/15/2009

Jag har flera gånger nyligen sett argumentet att det faktum att säkerhetshål som utnyttjades i DoS-angreppen var äldre talar för ett irrationellt angrepp. Vad som stämmer här går inte med trovärdighet bedöma men jag såg detta som ett argument för motsatsen. Vill angriparen göra ett angrepp som döljer ett mer rationellt angrepp (t.ex. mot någon finansiell funktion i Sydkorea eller amerikanska sociala medier så som Twitter) är det vettigt att hellre "bränna" resurser vars denial of service möjlighet ligger i gamla säkerhetshål. Efter angreppet är det ju så att en väldig stor andel av övertagna hemdatorer och företagsdatorer kommer bli uppdaterade. Betänk här också att det inte bör vara något problem att skapa ett nätverk med klienter som utnyttjats via nyare säkerhetshål.

Gamla säkerhetshål räcker: Det är bara avledning. I en operation som bara ska uppta resurser tömmer angriparen givetvis först klienter vilka ändå väldigt snart oavsett angreppet kommer uppdateras, kasseras eller få helt nytt OS.

Kring det här såg jag förövrigt en uppgift som jag tyckte var underligt rapporterad där UK plötsligt pekas ut som ursprungsland för angreppet. Det verkar naturligtvis utmärkt och inte en dag förtidigt att UK (liksom hela Västerlandet och övriga världen med internet) ska ha infört sådan övergripande säkerhetsarkitektur att en aktör i Sydkorea kan avgöra det. Trots avlyssningsskandalerna tror jag dock knappast att de hunnit så långt. D.v.s. denna m.fl. datorer i UK vilka någon undersökare i Sydkorea tolkat som ursprung kan mycket väl (rent av troligen) vara angripen i sin tur och det är vad jag håller som troligast.

Det skulle förvåna mig om aktören bakom detta inte finns i Asien (sedan lägger ju vissa av dessa numera "välgjorda" spår efter sig för att peka ut andra). Eftersom jag nu tror på ett finansiellt mål i Sydkorea verkar det logiskt. En amerikansk eller brittisk aktör skulle knappast gå efter detta mål på detta sätt eftersom jag tror de kan se kan se mål närmare håll vilka skulle kännas för dem mer naturliga därför att de bättre förstår affären och kulturen. Men nu har jag gissat väldigt mycket med nästan inga fakta alls.

Koreatimes.co.kr som "bevakat" detta har jag heller ingen erfarenhet av och tror knappast de har någon expertis:

'Source of Cyber Attacks Originated From Britain'

Av intresse kan även denna RFI vara. DOD vill ha förslag på lösningar som kan detektera DoS-angrepp. Kanske något för George på Upstream att titta på? Går vi ett antal år tillbaka när jag konsultade i det segmentet har jag goda minnen av produkterna Upstream var generalagent för. Hög kvalitet. Vad de säljer numera vet jag inte och jag gör här en chansning på att de fortfarande existerar.

Distributed Denial of Service Detection and Reaction

Faktiskt är det inte så himla svårt att ge DOD ett väldigt bra och kostnadseffektivt förslag. Kritiskt här är egentligen bara uppdatering av databas för angreppsmönster (ska ha bredd och vara tillräckligt snabb) och ha förmåga att hantera blandad nätverksmiljö. Här finns utmärkta alternativ inom open-source. Bra kommersiella alternativ finns också som C Claus (jag kommer ihåg hur han snällt läxade upp mig 1994 för att ha skrivit om ett säkerhetshål runt ping där flera @ gav DOS utan att refererat till honom) företag ISS (om det ännu finns men jag tror hans säkerhetsskanner blev ganska känd och sålde bra) hade något liksom eEye.

Vad jag själv skulle satsa på och utan tvekan rekommenderar DOD är ledande lösning i öppen-källkod kombinerat med eEye. Det är så långt som går att nå med standardprodukter tror jag. Dessa två kompletterar varandra teknik-mässigt mycket elegant och ger tilltalande detektions-redundans. Och just denna typ av redundans är i den här typen av kritiska användningsområden viktigt och går utanför detta:

  • Kommersiell uppdatering av databas -> Snabbt.
  • Uppdatering i öppen-källkods-samhället -> Långsam men mer "djup".

  • Teknik där man försöker pusha gränsen för vad direkt detektering kan ge.
  • Teknik där man inriktat sig på direkt detektering.

  • Ett sätt att rent tekniskt uppdatera.
  • Ett ganska annorlunda sätt att uppdatera.

Den där listan går att fortsätta. Och eEye är här kritiskt jfr andra kommersiella alternativ (om inte ett teknik-skifte skett jag inte skulle ha uppmärksammat men det är direkt otroligt). Skillnaden mellan kommersiella alternativ och öppen-källkod är i allmänhet väldigt liten och ligger just i initial hastighet av uppdatering vid nytt problem. Här försöker eEyee gå utanför det med annan teknik. För den här typen av användning är sådana försök bra nog och adderar viktig redundans.



Försvarsfilosofi
1 kommentar
Swedish Research sa...

Det här pekar på att jag har rätt om UK:
http://www.siliconrepublic.com/news/article/13409/comms/eircom-hit-by-another-suspected-hacker-attack

Men kan i och försig vara ett argument mot min teori om målet.

2009-07-15 05:52

Kommentera