Transparens och förtroende Så gör vi Internet säkrare Anne-Marie Eklund Löwinder Säkerhetschef amel@iis.se Twitter: amelsec
Icann, domännamnssystemet och nycklarna varför ska vi skydda DNS? Badwill och affärskritiska faror. De mest aktuella hoten.
Det här är.se Stiftelsen för Internetinfrastruktur grundades 1997..SE sköter administration och teknisk drift av det nationella domännamnsregistret under.se. 1 281 127 domännamn (2013-02-08) omkring 800-1000 nyregistreringar per dag. Ca 60 anställda. Ca 150 återförsäljare (Registrarer). Omsättning 2011: 111,5 Mkr 51,5 Mkr till Internetutveckling.SE står under tillsyn av: PTS genom Lagen om nationella toppdomäner på Internet i Sverige (SFS:2006:24). Länsstyrelsen genom Stiftelselagen.
Vad är domännamnssystemet? en katalogtjänst på Internet. sköter om översättningen av domännamn till IPadresser. Om en dator inte kommer åt DNS så hittar webbläsaren inte till några webbplatser och det går inte att skicka eller ta emot e-post. DNS är ett protokoll som använder andra protokoll (IP, UDP och TCP) för att kommunicera.
Hur fungerar det?
Vad är DNSSEC? DNS Security Extensions (DNSSEC) är ett säkrare sätt att göra uppslagningar i domännamnssystemet. Signerade och skyddade mot manipulation. DNSSEC kan användas för distribution av andra säkerhetsattribut. Men. Vad var problemet man ville lösa?
1983 Paul Mockapetris uppfinner DNS och implementerar den första servern: Jeeves. RFC 1033, RFC 1034, RFC 1035 Research: Fredrik, Kirei
1990-1995 1990 - Steve Bellovin beskriver problemet med cache poisoning för första gången, men rapporten hålls tillbaka till 1995. 1995 - Bellovin s artikel publiceras och DNSSEC (som det kom att kallas) blir ett ämne som behandlas inom IETF.
1996-2004 Kloka hjärnor arbetar
2005 Nuvarande RFC:er publiceras: RFC 4033, RFC 4034, RFC 4035 Sverige (.SE) inför DNSSEC och blir den första toppdomänen i världen som signeras med DNSSEC.
2006-2007 Andra *tänker på* att införa DNSSEC
2007-2008 2007- Förutsägbar RNG: Problem kvarstår, svagheter i PRNG:er (pseudoslumptalsgeneratorer) gör det möjligt att gissa genom statistisk analys. Påverkar flera implementationer. 2008 - Dan Kaminsky publicerar sin upptäckt av ännu en brist i DNS-protokollet: Kaminskybuggen.
2009 Domännamnssystemet är i desperat behov av DNSSEC! Lappa och laga löser uppenbarligen inte problemen. Andra *inför* DNSSEC.
2010 Roten blir signerad i juni 2010!. IN DS 19036 8 2 49AAC11D7B6F6446702E54A1607371607A1A41855200FD2 CE1CDDE32F24E8FB5 DNSSEC i rotzonen knyter ihop säcken och är möjliggörare för så mycket mer.
Icann, domännamnssystemet och nycklarna
Design Den vägledande principen bakom designen är att resultatet måste vara tillförlitligt.
Granskning Processer och rutiner granskas mot internationella standarder som exempelvis ISO/IEC 27002:2005
Hög säkerhetsnivå Rotnamnsystemet måste möta alla krav på tekniska säkerhetskontroller som ställs på ett verksamhetskritiskt system och som definieras i NIST SP 800-5.
Internetsamfundets engagemang Trovärdiga representanter från Internetsamfundet bjuds in för att ta en aktiv roll i nyckelhanteringsprocessen.
Åtgärder för att skydda nyckeln till rotzonen
Fysisk säkerhet
Fysisk säkerhet
Mer fysisk säkerhet
Fysisk säkerhet Beväpnade vakter. Dubblerad bemanning. Separation av roller. Extern övervakning. Videoövervakning. Rörelsedetektorer, seismiska sensorer och mer.
Status i världen Just nu är 108 av 316 zoner i roten signerade. 100 av dessa har sina DS poster i rotzonen. RFC 6841 - Title: A Framework for DNSSEC Policies and DNSSEC Practice Statements, Authors: F. Ljunggren, AM. Eklund Lowinder, T. Okubo.
Långsiktiga fördelar En mer robust och mer tillförlitlig Internetinfrastruktur. Inga fler lögner i DNS. Tillitstjänster byggda på DNS som du kan ha stor nytta av.
Badwill och affärskritiska faror.
Lev risk hantera kris! Konsekvenser? Varaktighet? Kostnader? Sannolikhet? Incidenter och kriser måste kommuniceras. Bemöt kritik omgående och direkt. Försök ha en linje för när ni tänker vidta rättsliga åtgärder och när det inte bedöms vara nödvändigt. Etablera direktkontakt med tjänsteleverantörerna. Ha en linje klar för vad som händer när medarbetare bryter mot reglerna.
De mest aktuella hoten eller egentligen vad påverkar oss mest just nu?
Hotbilden Angreppen blir mer avancerade dynamiska, smygande och slår framgångsrikt omkull traditionellt försvar som: Brandväggar IPS:er Antivirus Bryggor/gateways Domäner används bara några få gånger går under radarn för bland annat svartlistor och signaturbaserade filter.
Så vad händer? Massiv ökning av avancerad skadlig kod, plattformsoberoende e-post eller webbaserat. Mönstret för mängden attacker varierar starkt mellan olika branscher; hälso- och sjukvård och energisektorn har det jobbigt. Angripare använder kortlivade domäner för riktade phishingattacker via e-post. Variationen på skadliga bifogade bilagor ökar. Företag med IP-material eller personuppgifter är de vanligast drabbade.
Varför? Använder fortsätter aningslöst att klicka på skadliga länkar. Skadlig kod inbäddad i webbtrafik (http) har visat sig särskilt effektivt för att ta sig igenom befintligt försvar. Som ett resultat av de båda ovan, eftersom angripare ser att deras taktik fungerar ökar antalet attacker kontinuerligt.
Informationssäkerhet 2012 Mobilitet Använd dina egna grejer (BYOD) Molntjänster Vad, hur och varför? Big data konsten att hitta och filtrera rätt information och konsten att utvinna information ur annan information.
https://www.msb.se/ribdata/filer/pdf/2647 5.pdf
Krångla inte till det för mycket Skydda känslig information oavsett hur den förvaras eller kommuniceras. Bestäm vad som är viktigt: Tillgänglighet Spårbarhet Validitet Konfidentialitet
Tack! Frågor?