Selv it-kriminelle med adgang til lille båndbredde kan nu forvolde stor skade som følge af svaghed i servere, der bruges til at fortælle eksempelvis operativsystemer, hvad klokken er. Ingen har det præcise tal, men nettet vrimler formentlig med de sårbare NTP-servere (Network Time Protocol), som de kaldes. Ikke mindst fordi serverne også er indbygget i flere typer hardware, herunder firewalls.
En funktionalitet i serverne, der i mange tilfælde er aktiveret som standard, bruges til at forstærke datamængderne i et DDoS-angreb med mere end 500 gange, hvilket vil kunne få selv velpolstrede hjemmesider og andre webservices til at gå i knæ. Det vil altså sige, at en datastrøm sendt fra en angriber på 10 Mbit/s bliver til omkring 5 Gbit/s, når det har været forbi en sårbar NTP-server.
Dermed er det altså ikke nødvendigt at kommandere et botnet på mange hundrede tusinde maskiner for at kunne forvolde stor skade, påpeger Version2-blogger og netværksekspert ved Solido Networks Henrik Kramshøj, som beskriver angrebet som skræmmende let at udføre.
»Det, der gør det rigtigt alvorligt, er, at man skal bruge få maskiner,« siger han.
De it-kriminelle har for længst fået øje på potentialet i denne form for angreb, der forleden blev rettet mod flere europæiske servere, som blandt andet Version2 kunne berette om.
Uden at sætte et eksakt tal på, hvor mange sårbare NTP-servere, der er derude, vurderer Henrik Kramshøj, at sårbare NTP-servere er udbredte, baseret på de scanninger og kundehenvendelser, Solido Networks selv har foretaget.
»Hvis kunden har haft en NTP-server, så er den blevet misbrugt. Så hvis man sætter en NTP-server ubeskyttet på nettet, vil den blive misbrugt. Det kan jeg godt garantere,« siger han.
Også hardware
Udfordringen er blandt andet, at den berørte NTP-software også er installeret i flere hardwareprodukter, som dermed også bliver sårbare.
»Det er mange forskellige typer udstyr, der bliver ramt af denne her type sårbarhed,« siger han.
Solido Networks har inden for de seneste par måneder fået flere kundehenvendelser, hvor netop NTP-servere er blevet misbrugt til DDoS-angreb. I et af tilfældene var det en NTP-server i en firewall, som blev misbrugt, og kunden opdagede, at der var noget galt, da firewall'en kollapsede under trafikmængderne, som den altså sendte videre mod et offer.
»Det er vi selvfølgeligt kede af, men vi sendte kortvarigt 600 Mbit/s ud i verden fra vores kunde,« siger Henrik Kramshøj.
Den statslige amerikanske it-sikkerhedsvarslingstjeneste US-CERT har for nylig også beskrevet angrebsformen som værende på vej frem. Den amerikanske myndighed forklarer i en bulletin, at sårbarheden skyldes en debug-funktionalitet, der er slået til per default i ældre, men udbredt NTP-software.
NTP understøtter en monitoreringstjeneste, der gør det muligt for administratorer at forespørge serveren om antallet af forbundne klienter. Ved at sende en kommando, som får en åben NTP-server til at returnere den såkaldte monlist, svarer serveren tilbage med en liste over de seneste 600 ip-adresser, der har været forbundet til den. Problemet er, at det er muligt at få serveren til at sende til listen til målet for et DDoS-angreb i stedet for til afsenderen af kommandoen. Og resultatet kan altså blive en forstærkning af datatrafikken fra angriberen til målet på mere end 500 gange. Og derfor bør alle med berørt software slå debug-funktionen fra.
»Denne her feature er meget, meget farlig,« siger Henrik Kramshøj.
DRDoS
Typen af angreb kalder US-CERT for Distributed Reflective Denial of Service, eller DRDoS, modsat gængse (Distributed) Denial of Service. Det reflekterende element består, som flere nok har gættet, i, at angrebet reflekterer på en anden tjeneste, i dette tilfælde en NTP-server, hvor det samtidigt bliver forstærket sammenlignet med inputtet. Og det distribuerede element kommer ind i forhold til, at der jo godt kan anvendes mere end en NTP-server til at udføre angrebet, som Henrik Kramshøj påpeger.
DRDoS-angrebene forudsætter, at de udnyttede tjenester bruger UDP-protokollen. Her er der i udgangspunktet ingen validering af source - altså afsender - ip-adressen, og derfor kan pakkerne relativt let manipuleres, så de fremstår med en falsk-source-ip - i dette tilfælde offerets.
Og det er altså denne manipulation, der bevirker, at en forespørgsel sendt til en NTP-server efter monitoreringslisten kan resultere i en sværm af data rettet mod et vilkårligt offer.
It-profil med indsigt i NTP-protokollen Poul-Henning Kamp mener grundlæggende, at protokollen er dårligt designet, og så burde internetudbyderne slet ikke tillade, at der kan sendes UDP-pakker med en falsk afsenderadresse.
»Det burde ikke være muligt at sende IP-pakker med afsender-IP-nummer forskelligt fra ens eget IP-nummer, men ISP'er har ikke implementeret disse filtre for at spare penge. Dernæst burde denne tudsegamle debug-/forskningsfacilitet være fjernet fra NTPD-softwaren for 20 år siden,« skriver han i en e-mail.
Når misbruget af NTP-servere til DRDoS-angreb lader til at tage til netop nu, mener Henrik Kramshøj, at det skyldes, at andre tjenester, der tidligere muliggjorde såkaldte amplifikationangreb - sidste år var det DNS - efterhånden er blevet lukkede, så de ikke kan misbruges. Men til forskel fra tidligere DRDoS-sårbarheder, så lader ingen, jf. en opgørelse, som US-CERT har lavet, til at kunne slå NTP's mere end faktor 500. Nærmere bestemt faktor 556.9 målt på forskellen i mængden af UDP-data sendt til serveren og UDP-data returneret fra serveren.
Det er uvist, hvor mange berørte NTP-servere, der er tale om, men teknisk direktør i sikkerhedsvirksomheden CSIS Jan Kaastrup påpeger, at det er nemt at scanne sig frem til, om en åben NTP-server kan misbruges som led i et DRDoS-angreb.
»Jeg kan tilslutte mig, at det er en alvorlig situation. Man kan sidde ene mand og lave et angreb på stort set hvad som helst,« siger han.
Svært at forhindre
Og det er svært at beskytte sig mod den form for angreb, påpeger Henrik Kramshøj. For selvom der i firewall'en er blokeret for alt andet end port 80 og TCP-trafik til eksempelvis en webserver, så forslår det som en skrædder et sted, hvor sneen angiveligt aldrig bliver liggende, hvis firewall'en, der håndterer trafikken, går i knæ.
»Forbindelsen hen til serveren kan blive fyldt op. Og det kan være et problem, at firewall'en ikke kan håndtere pakkerne,« siger Henrik Kramshøj.
Anbefalingen fra ham og fra US-Cert er at tjekke sit netværk for åbne NTP-servere med debug-funktionaliteten aktiveret.
Det kan netscanningsværktøjet nmap eksempelvis bruges til med scriptet ntp-monlist.
Derudover anbefaler US-Cert, hvis muligt, at opdatere NTP-software til mindst version 4.2.7, hvor debug-funktionaliteten ikke er aktiveret som default.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
