"Termostatenes grusomme hevn" er tittelen på Morgenbladet sin omtale av det IoT-baserte DDOS-angrepet (Ill: Kristoffer Nilsen) |
Eit av dei siste angrepa var retta mot domenenamn-tenesta (Domain Name System - DNS) Dyn. Det spesielle med angrepet var at Internett-dingsar (Internet of Things - IoT) vart nytta som angrepshær, og at angrepet vart retta mot ei namneteneste. Dette set søkjelys på to viktige og sårbare område:
- Den sentraliserte domenenamn-tenesta på nettet (organiseringa av DNS-systemet)
- Dei sårbare "dingsane" som blir kopla til nettet i stor skala (Tingas Internett - IoT)
Majoriteten av Internett-dingsar var overvakingskamera. Angrepet var like enkelt som det var sofistikert, i følgje pcmag.com: Angriparane leita seg fram til overvakingskamera og heime-ruterar av merket Hangzhou Xiongmai Technology, som har Linux i botnen. Dei prøvde seg med standard-innstillingane frå fabrikken, og dei lukkast i stor grad å logga inn på utstyret med det (!).
Sentralisert domenenamn-teneste
Angrepet på DNS-tenesta Dyn set søkjelyset på eit problem med dagens Internett: Den sentraliserte delen DNS som held styr på koplinga mellom ip-nummer og namn. Internett vart designa som eit distribuert nettverk nettopp for å unngå eitt eller nokre få sentrale og sårbare punkt (single point of failure). DNS-systemet har dessverre ikkje den same distribuerte strukturen og blir difor meir sårbart fordi angrep kan setjast inn på sentrale DNS-serverar.
Tingas Internett - Internet of Things (IoT)
Tingas Internett der alle slags dingsar skal koplast til nettet, er eit av dei store og viktige utviklingstrekka på nettet. På same tida som det opnar for spennande mulegheiter opnar det også for nye sårbare punkt, som dette DDOS-angrepet ettertrykkeleg har fått fram. Det er særleg to ting som gjera at IoT blir ekstra sårbare:
- Utviklinga har gjort at det er enklare og billegare å bruka komplette datamaskiner (fullverdig prosessor ++) på bittesmå dingsar enn nedskalerte versjonar (det som blir kalla "embedded hardware"). Det gir dingsane meir kraft og mulegheiter, men gjer dei også like sårbare for misbruk som vanleg IT-utstyr.
- Dei små dingsane kjem ikkje med eigne skjermar og blir vanskelegare å setja opp og kontrollera. Dei må typisk setjast opp via eit web-grensesnitt. Det fører til at mange berre pluggar i utstyret og brukar fabrikkinnstillingane. Det siste DDOS-angrepet har vist at det finst ganske mange dingsar som ikkje har endra desse innstillingane og som difor er vidopne for inntrenging.
Kva har dette med Bitcoin og blokk-kjede å gjera?
Mykje av spam-problemet er knytt til at det er så å seia gratis å senda meldingar på nettet, og prisen er den same om du sender ei melding eller 100 mill. Dette gjeld særleg spam knytt til e-post, men også DDOS-angrep. Mange forslag til løysing for e-post har komme opp gjennom åra, og dei har ofte vore baserte på økonomiske straffemekanismar. Men det er først med "Internet of Money", særleg Bitcoin, at ei praktisk løysing ser ut til å vera mykje nærmare. Teknologien bak kryptovaluta opnar for mikrotransaksjonar, noko som er heilt nødvendig for å få betaling til å fungera i denne samanhengen. Dagens betalingssystem er for dyre til at det gir meining å krevja nokre øre, for ikkje å seia fraksjonar av eit øre.
Det må kosta å senda spam
Dersom det hadde kosta eitt øre å senda ein e-post, ville ordinær bruk av e-post knapt merkast økonomisk. Men om du prøver å senda ein million e-postar, ville det ha kosta kr 10 000,-. Det ville straks ha lagt ein dempar på iveren etter å spamma.
Betalingssystem for mikrotransaksjonar er her snart, den store utfordringa blir å integrera det i e-postprotokollen.
DDOS-angrep må også kosta
For DDOS-angrep er det andre mekanismar som må på plass. Her vil ei mikrobetaling for http-oppslag kanskje vera ei løysing. Det er mykje som må på plass for å få dette til å verka, men betaling via kryptovaluta vil sakte, men sikkert bli integrert i stadig fleire delar av Internett.
Distribuert DNS på blokk-kjeda
Endeleg er ei desentralisering av DNS-systemet påkrevd. Også her gir Bitcoin og blokk-kjedeteknologi god grunn til håp. Det finst alt Bitcoin-tenester for å handtera DNS (registrering m.m.), t.d. Dot-Bit som byggjer på Bitcoin-kopien Namecoin. I tillegg til å vera sikrare mot DDOS-angrep, vil blokk-kjedebaserte DNS-system også vera motstandsdyktige mot sensur. Du blir i praksis din eigen Internett-registrar om du brukar ei slik teneste.