Över 1 700 svenska .SE-domäner kör sin DNS hos den igår angripna amerikanska DNS-leverantören DYN. Över 1 300 av dessa är helt beroende av DYN som single-point-of-failure inklusive den svenska regeringens officiella webplats regeringen.se.
Flitens lampor är redan släckta hos regeringen och Rosenbad. Återstår bara att släcka regeringen.se. |
Fram till igår körde MSB:s msb.se och krisinformation.se en redirect hos DYN och var alltså helt beroende av resurser utomlands för att kontaktas.
Sammanlagt över 1 700 domäner i svenska .SE har sin DNS helt eller delvis hos DYN. Över 1 300 är helt beroende av DYN och saknar alltså backuper.
En av Sveriges viktigaste webplatser vid allvarlig kris, regeringens officiella regeringen.se, är helt beroende av DYN och kommer ej gå att nå vid t ex avbrott i Internetförbindelsen mot USA och DYN, eller vid en DDOS-attack mot DYN. Vem som än angrep DYN sitter nu med facit.
På regeringens webplats publiceras bland annat regeringens uttalanden, pressmeddelanden, kallelser till presskonferenser och filmade presskonferenser. Vid en allvarlig kris kan man förvänta sig att kritisk information kan vara publicerad där, t ex som offentliggörande att regeringen beslutat om höjd beredskap (“krig”) eller att krigslagar som t ex förfogandelagen ska aktiveras.
Till detta kommer förstås svenska domäner under .NU, .COM mfl som också lagts ut på DYN.
MSB har nu bytt till en svensk DNS-leverantör. Det är lämpligt när målgruppen för myndighetens krisinformation sitter just i Sverige och man inte kan vara säker på att kommunikation mot utlandet fungerar tillfredsställande vid kris.
MSB har dock inte lärt sig av sitt misstag, utan har fortfarande bara en leverantör och därmed en single-point-of-failure på sin DNS och kan sänkas i ett riktat angrepp. Dessutom ligger en massa vilande MSB-domäner kvar hos DYN, t ex riktade domäner för fågelinfluensainformation, omdirigering av gamla Räddningsverket mm.
Bland de över trettonhundra svenska kunderna som enbart använder DYN hittas Aktiespararna, Bohusbanken, Clas Ohlson-sfären, Danske Bank, Danderyd kommun, Groupon, Kustbevakningen, Lunds kommun, Malmö Aviation, Netflix, Paypal, Sida, Svedala kommun ochTradera.
Bakom mycket av införsäljningen av DYN som enda DNS-leverantör ligger ett enskilt svenskt företag, Excedo, som bland annat marknadsför sina tjänster för bland annat websäkerhet. Kanske lite feltänkt att lägga sina viktigaste ägg i samma korg?
Det är inte så att det kostar några stora pengar att ha mer än en DNS-leverantör. Fakturerings- och bokföringskostnaden är antagligen större än själva priset…
Tillägg:
Ryska UD:s hemsida hackad av amerikanska th3j35t3r https://t.co/awfR0KS03c som replik på DYN-angreppet. Skärmdump. pic.twitter.com/IbOx5ySdCf
— Lars Wilderäng (@Cornubot) October 22, 2016
7 kommentarer
Avbrott i internetförbindelsen mot USA ska väl inte kunna påverka alls? Lever du på 1900-talet? Så här skryter ju DYN själva: "Enjoy the redundancy of our top-level DNS servers with a diverse blend of Tier 1 bandwidth networks across four locations in Asia, North America and Europe."
Stort ditt nederlag för ditt älskade USA och all den skit dom medför runt omkring i världen.
http://edition.cnn.com/2016/10/20/asia/china-philippines-duterte-visit/
Det hela förvärras ju dessutom att det inte ens går att ansluta till web-platsen om man känner till IP-addressen.
~$ lynx https://193.182.190.234
Looking up 193.182.190.234
Making HTTPS connection to 193.182.190.234
UNVERIFIED connection to 193.182.190.234 (cert=CN<*.msb.se>)
Certificate issued by: /C=BE/O=GlobalSign nv-sa/CN=GlobalSign Domain Validation CA – SHA256 – G2
Secure 256-bit TLS1.2 (ECDHE_RSA_AES_256_GCM_SHA384) HTTP connection
Sending HTTP request.
HTTP request sent; waiting for response.
HTTP/1.1 302 Found
Data transfer complete
HTTP/1.1 302 Found
Using https://www.193.182.190.234/
Looking up http://www.193.182.190.234
Unable to locate remote host http://www.193.182.190.234.
Alert!: Unable to connect to remote host.
lynx: Can't access startfile https://193.182.190.234/
Nån IT-mupp som virrat till det totalt här uppenbarligen.
En DNS kopplar bara ihop domännamn med IP-nr.
Ett alternativ är att offentliggöra IP-nr. Och knappa in det i webbläsaren.
Nja, det är ganska vanligt att webbservrar har ett IP för en massa olika siter, så ska man göra nåt sånt är det troligt att man måste lägga in namn+IP i sin lokala hosts fil.
Dessutom kan webbplatsen ha en mängd olika länkar till interna domännamn. Då fungerar det ändå inte
Det är i alla lägen bättre tillgänglighetsmaskigt för en tjänst att köra sin egen DNS för tjänsten ifråga hos tjänsten själv. (Om man vill vara riktigt lurig kan man med glurecords slippa även det.) Om man vill ha redundans med multipla tjänster för att hantera partiella routingfel kan man köra DNS vid varje tjänst och peka den på tjänsten den sitter vid. Samma princip som anycast men men enklare medel och kan göras av alla som vill.