- Door
- Arnout Veenman
- geplaatst op
- 29 september 2008 08:03 uur
Vijf dagen lang werd van 14 tot en met 19 september de Summer School on Network Information Security op Kreta georganiseerd door de European Network Information Security Agency (ENISA) en het Griekse researchinstituut FORTH. Tijdens de summer school zijn er verschillende, voor ISPam.nl lezers interessante lectures gegeven en een aantal daarvan ga ik in een aantal artikelen samenvatten. In dit tweede artikel is het thema: DNSSEC & Security Economics.
Best practices van DNSSEC pioniers .SE
Anne-Marie Eklund, security & quality manager van The Internet Infrastructure Foundation (het .SE-registry) vertelde over hun ervaringen met DNSSEC, als één van de eerste registries die de beveiliging van de DNS hebben uitgerold.
Om de .SE-rootzone te signeren is er allereerst een key nodig. .SE een eigen Key Singing Key (KSK) die het elke twee jaar vervangt met een overlap van één jaar, waardoor er altijd twee geldige KSK’s zijn. Verder wordt er elke maand een nieuwe Zone Signing Key (ZSK) gegenereerd die wordt gesigneerd met alle geldige KSK’s.
Voor de KSK en ZSK wordt beide gebruik gemaakt van symmetrische RSA encryptie (private / public key). De KSK maakt gebruik van 2048 bits en de ZSK 1024 bits. Beide keys worden gegenereerd op een server die enkel wordt gebruikt voor de generatie van keys en geen netwerkverbindingen heeft. De KSK wordt gegenereerd met het programma OpenSSL en de ZSK met het ISC BIND programma dnssec-keygen, beide programma’s worden van random data voorzien door een hardwarematige random data generator.
De gegenereerde KSK wordt rechtstreeks naar drie identieke actieve smartcards gekopieerd en wordt daarna verwijderd uit het geheugen van de server. Twee van de smartcards worden bewaard in een bankkluis en één wordt veilig opgeslagen ten kantore van .SE. De ZSK wordt met behulp van de alle geldige KSK’s met het programma pkcs15-dnssec gesigneerd en daarna opgeslagen op een harde schijf van de zone signing machine (deze is verantwoordelijk voor het signen van de .SE-zonefile).
Gedurende het hele proces waarbij de keys (KSK als ZSK) worden gegenereerd moeten er altijd twee geautoriseerd personen aanwezig zijn in de ruimte waar dit gebeurt en mogen er geen ongeautoriseerde personen in de ruimte aanwezig zijn.
Gezien de rootzone nog niet gesigneerd is moet er aan ISP’s die gebruik maken van DNSSEC worden gecommuniceerd dat er een nieuwe KSK is. Dit doet .SE via een mailinglist, ISP’s zijn er zelf verantwoordelijk voor om zich hier op te abonneren zodat ze op de hoogte blijven van de introductie van nieuwe KSK’s. Normaliter zijn KSK’s twee jaar geldig en zijn er twee KSK’s die elkaar met één jaar overlappen.
Wat nou als de private KSK uitlekt (door diefstal, verlies of crypto-analyse, etc), in dat geval wordt er meteen een nieuwe KSK gegenereerd en blijft de gelekte private KSK nog 30 dagen geldig en daarna wordt deze uit de roulatie genomen. In het geval dat een private ZSK uitlekt wordt er meteen een nieuwe ZSK gegenereerd en worden zonefiles vanaf dat moment enkel nog met de nieuwe ZSK gesigneerd.
Hoe wordt nou toch de zonefile zelf gesigneerd. Allereerst wordt er een zonefile gegenereerd door het DRS-systeem van .SE. De zone signing machine haalt deze nieuwe zonefile op en signeert deze met de Zone Signing Key (ZSK) en plaatst de gesigneerde zonefile op een lokale nameserver, waarvan de zonefile weer verder wordt verspreid.
Eklund gaf aan dat .SE graag wil dat de rootzone ook gesigned wordt, omdat nu ISP’s alle losse keys van verschillende registries moeten bijhouden en dat is de reden dat verschillende grote access ISP’s in Zweden DNSSEC nog niet omarmt heben. Wie de rootkey krijgt maakt volgens Eklund niet veel uit, dat mag prima de Amerikaanse overheid zijn. Het belangrijkste is dat de rootzone gesigned wordt. Nu ook de .gov-domeinnamen binnenkort verplicht DNSSEC moeten hebben verwacht Eklund dat de druk om de rootzone te signen flink zal toenemen en het waarschijnlijk daardoor snel zal gebeuren.
“Security Economics” and “Network Security”
De lecture van Dr. Richard Clayton van de Cambridge University bestond uit twee delen. Allereerst een theoretisch deel over “security economics” en in het tweede deel over “netwerk security” behandelde Clayton een onderzoek dat hij en zijn collega’s voor ENISA hebben uitgevoerd, waarin hij een aantal gewaagde aanbevelingen aan ENISA (en daarmee de Europese Commissie) doet over de rol van ISP’s en IXP’s.
Security economics is het benaderen en oplossen van beveiligings kwesties vanuit een economisch perspectief. Veelal wordt met technische analyse het probleem geïdentificeerd en met economische analyse wordt de oorzaak blootgelegd zo stelde Dr. Clayton. In het verleden dachten we dat het internet onveilig was door het gebrek aan features en het gebruik aan cryptom authenticatie en filtering. Als internetters een checklist zouden afwerken met beveiligingsoplossingen dan zouden we allemaal veiliger zijn. Echter in 1999 begonnen we ons te realiseren dat dit niet voldoende is.
Hier zijn een aantal redenen voor. Dr. Clayton noemde een aanval voorbeelden.
- In het Verenigd Koninkrijk (VK) zijn banken in mindere mate aansprakelijk voor fraude dan in de VS, waardoor de banken in het VK minder zorgvuldig te werk ging, wat er toe leidde dat er meer fraude gevallen in het VK waren dan in de VS. Economen noemen dit “morele blootstelling” (moral hazard).
- DDoS-aanvallen: virussen vallen niet langer geinfecteerde machines zelf aan, maar vallen derden aan. Waarom zou een klant $20 aan anti-virus software uitgeven als het niet zijn data is die vernietigd wordt? Economen noemen dit een “externiteit” (externality).
- Gezondheidsgegevens: Ziekenhuizen, niet de patiënten, kopen computersystemen, dus gaan de belangen van de ziekenhuizen voor op het privacy belang van de patiënt. Dit wordt “stimulerings” en “aansprakelijkheids” fouten genoemd (incentive en liability).
Verder hebben maken van software soms ook reden om zich niet sterk op beveiliging te richten. Volgens Dr. Clayton is het zelfs zo dat Microsoft haar marktdominatie te danken heeft aan het feit dat beveiliging in het verleden geen issue was. Door zuiver op de featureset te richten was de time-to-market laag, waardoor de markt snel veroverd kon worden.
Uiteindelijk krijg je een soort van lock-in op het product, dat voor hoge overstapkosten zorgt, waardoor klanten je product (en upgrades blijven gebruiken. Overigens voegde Dr. Clayton daar aan toe dat, wanneer Microsoft dat niet gedaan, er een ander bedrijf die het wel deed nu in de zelfde positie als Microsoft geweest. Bij de Apple iPod zie je nu het zelfde, op het moment dat je bij iTunes 1.000 liedjes voor je iPod hebt gekocht, ben je niet snel geneigd om een andere MP3 speler te gaan gebruiken waar je die liedjes niet kan afspelen en is het dus goedkoper om een nieuwe iPod te kopen, omdat je dan de liedjes al hebt (gekocht).
Deel twee van de presentatie van Dr. Clayton ging over een onderzoek dat hij en zijn collega’s in opdracht van ENISA hebben uitgevoerd. Het eerste probleem dat door het team van Dr. Clayton is geïdentificeerd is het gebrek aan goede informatie (statistieken) over aanvallen/cybercrime. Er zou daarom Europese regelgeving moeten komen die bedrijven verplicht om inbraken te rapporten bij een bepaalde autoriteit. Verder zou ENISA informatie moeten verzamelen en publiceren of de hoeveelheid spam en andere kwaadaardig dataverkeer verschillende Europese ISP’s versturen.
Er zou daarom een soort van boete systeem moeten komen voor ISP’s die niet adequaat optreden tegen klanten die geïnfecteerd zijn met trojans en daardoor onderdeel uit maken van een botnet. Dat gecombineerd met het recht van klanten om weer te worden aangesloten onder de voorwaarde dat ze volledig aansprakelijk worden voor hun eigen dataverkeer. Dr. Clayton erkend dat dit controversieel is, maar vraagt zich daarbij af, wat het alternatief is?
Ook voor software fabrikanten (ISV’s) stelt Dr. Clayton aansprakelijkheid voor, ISV’s die hun software niet snel genoeg patchen moeten aansprakelijk worden gesteld voor de schade die er door is veroorzaakt. Daarnaast moeten ISV’s security patches gratis beschikbaar stellen en geen onderdeel maken van (betaalde) upgrades. Dr. Clayton maakte dit idee helemaal controversieel door te stellen dat het ook voor open source software zou moeten gelden, want zo stelde hij “waarom zouden open source ontwikkelaars een gratis lunch moeten krijgen?”.
Nu wordt het helemaal interessant, want ook de rol van Internet Exchange Points (IXP’s) zoals de AMS-IX zijn door Dr. Clayton en zijn collega’s onder de loupe genomen. IXP’s zijn volgens Dr. Clayton duidelijk onderdeel van de kritische netwerk infrastructuur, waarbij er in vrijwel alle landen één dominante IXP is, waar voor kleinere ISP’s in grote mate van afhankelijk zijn voor de uitwisseling van dataverkeer. Dr. Clayton adviseert ENISA dan ook om een onderzoek te doen/financieren naar de effecten van het uitvallen van IXP’s. En daarnaast adviseert hij telecom regulators (zoals de OPTA) best practices op te stellen voor IXP peering continuïteit.
Dr. Clayton gaf aan op dit advies veen kritiek te hebben gekregen van IXP’s die stelden dat regulering een slecht idee is, maar die kritiek wijfde hij weg met het feit dat hij dat helemaal niet heeft voorgesteld. Al mag duidelijk zijn dat de aanbevelingen van Dr. Clayton indirect wel die richting op gaat. Dus de IXP’s hebben zeker wel een punt.
Als laatste adviseert Dr. Clayton om een EU-agentschap in het leven te roepen naar het model van de NAVO, dat facilitieert in de internationale samenwerking tegen cybercrime.
