Vi tyckte detta illustreras väl av två intressanta fall den senaste tiden, ett i Brasilien, ett i USA. I båda har nationella säkerhetsorganisationer misslyckats.

Vi tror på backup och kryptering som ganska mogna tekniker (se t.ex. tyskarnas krypteringsmaskin från andra världskriget ovan).

Antivirus som baseras på svartlistor, det vill säga känd skadlig kod, är alltid steget efter. Heuristiska antivirus är aldrig smartare än sina mänskliga skapare, så de går att överlista av andra människor. Brandväggar fungerar bäst när trafiken inte förändras så mycket som den ofta gör i ett modernt företag. Det samma gäller antivirus baserat på vitlistor, det vill säga i förväg godkända filer.

Intrångsdetekteringssystem som IDS och IPS är på väg att mogna, men är fortfarande lite väl arbetskrävande för ett brett genomslag. De olika tekniker som kallas End Point Protection är i vissa fall bra, men är per definition alltid möjliga att går runt. DRM bygger på kryptering, men är fortfarande mycket krångligt i sin rena form.

Förutsägbarhet är en god egenskap inom informationssäkerhet och just mogen teknik utmärks ofta av just förutsägbarhet. Tekniken gör ytterst sällan några språng och de regler som gällde för fem år sen gäller i regel fortfarande. Detta har illustrerats mycket tydligt av två intressanta fall den senaste tiden.

Det ena är en bankanställd i Brasilien som greps för två år sedan. Samtidigt beslagtog polisen  fem hårddiskar från hans hem. De har ännu inte lyckats dekryptera dem, trots att FBI försökt under ett år.

Diskarna var enligt The Register krypterade med gratis-programmet Truecrypt. Till det ska en variant av AES med 256 bitars nyckel ha använts. Det vill säga helt normal och allmänt tillgänglig teknik.

Det andra fallet är de ryska spionerna som greps i USA nyligen. De hade bland annat ett steganografiskt krypteringsprogram som kunde dölja text i bildfiler utan att det märktes. Programmet fanns inte tillgängligt på den öppna marknaden utan antas vara skapat av den ryska underrättelsetjänsten. En av användarna hade ett lösenord till detta på 30 tecken.

Så det borde ha varit svårknäckt, men polisen hittade det uppskrivet på en lapp bredvid datorn. Game Over, tovarich.

Och ovanstående stämmer ju på pricken in på allt vad alla mer eller mindre självutnämnda experter på kryptering sagt och upprepat de senaste tio åren:

1) Välj en känd algoritm som granskats av många olika människor.
2) Välj sen ett lösenord med så mycket svårgissade tecken som du kan komma ihåg.
3) Om du inte kan komma ihåg det – skriv ner det och förvara lappen/USB-minnet/anteckningsboken på en riktigt säker plats.
4) Försök i görligaste mån att använda ett unikt lösenord för varje tjänst/konto.
5) Dela inte med dig av dina lösenord.

Det liknar till och med en av de mer skämtsamma mantra som sprids om lösenord, att de är som underbyxor, tandborstar eller strumpor.

1) Långa är effektivare än korta
2) Dela dem inte med dina vänner
3) Låt dem inte ligga framme
4) Vi pratar inte om dem
5) Byt regelbundet

Hade de ryska spionerna hållit sig till de reglerna så hade de klarat sig lite bättre.

Bilder: Flickr/Bogdan Migulski, Flickr/msraggle, iwantpants.com

Captcha är tekniken att skapa bilder med lösenord, robotfällor som är förvridna så bara en människa ska kuna läsa dem. Detta för att inte spammare ska kunna registrera sig för en massa konton och sprida spam.

I början fungerade bilder med capthca rätt bra, sen lärde sig spammare att knäcka dem. Nu kommer rörliga bilder som enligt Nucaptcha ska vara mycket svårare att knäcka. Nucaptcha hävdar dessutom att de har en funktion för att analysera beteende som låter dem skicka enkla captcha till legitima användare och svårare capthca till de som misstänks vara angripare.

Spammare använder människor för att knäcka de captcha deras datorer inte klarar. Dessa människor får cirka 50 cent per timme och knäcker en capthca var fjärde sekund. Genom att skicka längre filmsnuttar till de Nucaptcha misstänker är människor som jobbar för spammare kan systemet minska deras produktivitet. Såhär kan den rörliga captchan se ut:

*Från Computer Swedens eminenta ordlista och språkwebb: captcha - inloggningstest – se robotfälla. – Ordet captcha påstås ibland vara en förkortning för ”completely automated public Turing test to tell computers and humans apart”, men det är uppenbarligen en bakronym. Captcha är en ljudenlig stavning av capture, men det anspelar också på gotcha (”där fick jag dig”). – Se också Recaptcha.

För att underlätta för de kunder som vill koppla upp sig mot databaser via externa programvaror finns här en guide på hur du via en tunnel kan ansluta externt från Windows med hjälp av SSH klienten ”Putty”.

Vi har som bekant inte extern anslutning öppen till våra databasservrar i Binero 2.0. Detta är både av säkerhetsskäl men också p.g.a. att vi i t.ex. företagspaketet erbjuder obegränsat med både MySQL- och MSSQL-databaser (vilket är extremt sällsynt hos andra leverantörer) och vill att man endast skall kunna använda dessa för sina tjänster hos oss. Att ”låna” ut databaser till andra leverantörer är ett scenario vi helst inte vill ha.

Den negativa effekten det får med sig för våra kunder är att man (utan vidare) inte kan koppla upp sig mot sina databaser via externa programvaror (t.ex. MySQL Query Browser eller SQL Management Studio) vilket är besvärande för många som föredrar att arbeta i dessa istället för via våra webbaserade verktyg. (phpMyAdmin och MyLittleAdmin).

Lösningen på detta är att man använder sitt SSH konto hos oss för att skapa en tunnel man skickar sin trafik genom och på så sätt kunna göra anslutningen från extern plats. Detta är något som kan tyckas ganska komplicerat att göra så därför publicerar vi nedan en guide på hur du gör detta från Windows med hjälp av SSH klienten ”Putty”.

Notering: Nyligen så visade det sig att vi tyvärr missat att lägga in denna begränsning på vissa av våra MSSQL servrar vilket ställde till problem för de användare som redan använde denna typen av extern anslutning, vilket vi såklart beklagar djupt. Vi skulle såklart haft denna guide klar redan när denna begränsning lades in men blev tyvärr tvungna att aktivera spärren direkt av säkerhetsskäl och hoppas ni har överseende med det.

Guide för att etablera en SSH tunnel:

1. Skapa ett SSH-konto i vår kontrollpanel under ”Filer” -> ”SSH”

2. Ladda ned och installera ssh-klienten PuTTy

3. Välj att följa stegen i 3a eller 3b beroende på om du använder MySQL (3a) eller MSSQL (3b).

3a. Konfigurera en SSH-tunnel med portforwarding för MySQL:

1. Starta Putty

2. Lägg till ett konto. I rutan Hostname ska det stå ssh.binero.se och i Saved Sessions väljer du ett namn på anslutningen.

3. Välj i menyn till höger ”Connection”->”SSH”->”Tunnels” och skriv 3306 i Source port

4. Tag reda på vilket IP-nummer din SQl-server har genom att pinga dess värdnamn (eller via t.ex. denna sida).

5. I Destination skriver du in IP-numret på databasservern följt av :3306 (Det ska t.ex. stå 195.74.38.43:3306 där)

6. Klicka därefter på knappen ”Add”.

7. Gå tillbaks till Sessions i vänstermenyn och klicka på ”Save”.

Bild: Skärmdump från MySQL Query Browser

3b. Konfigurera en SSH-tunnel med portforwarding för MSSQL:

1. Starta Putty

2. Lägg till ett konto. I rutan Hostname ska det stå ssh.binero.se och i Saved Sessions väljer du ett namn på anslutningen.

3. Välj i menyn till höger ”Connection”->”SSH”->”Tunnels” och skriv 1433 i Source port

4. Tag reda på vilket IP-nummer din SQl-server har genom att pinga dess värdnamn (eller via t.ex. denna sida).

5. I Destination skriver du in IP-numret på databasservern följt av :1433 (Det ska t.ex. stå 195.74.38.43:1433 där)

6. Klicka därefter på knappen ”Add”.

7. Gå tillbaks till Sessions i vänstermenyn och klicka på ”Save”.

Bild: Skärmdump från SQL Server Management Studio

forts.

4. Öppna putty och dubbelklicka på din sparade session så programmet kopplar upp din SSH-session.

5. Logga in med din SSH användare och tillhörande lösenord.

6. Öppna ditt program och anslut till 127.0.0.1 (localhost) med den port du ska använda (den lokala porten du valde tidigare från det program, för MySQL 3306 och MSSQL 1433 i beskrivningen ovan). Hur du specificerar det exakt kan skilja mellan olika klienter men vanligtvis så finns det en speciell ruta för definition av port, annars så kan du avsluta serveradressen med ”:portnummer”. Om du använder de portar vi skriver om i artikeln så kan det hända att du inte behöver specificera någon port eftersom detta är standardportar.

Att tänka på:
Det är max  2 samtidiga anslutningar per SSH konto som tillåts så för att göra fler anslutningar än så krävs ytterligare SSH konton.
Har du lokala mysql/mssql servrar snurrande så är det inte lämpligt att använda standardportar utan du bör då definera andra portar att köra trafiken över.

Har du den minsta fråga kring detta så hör av dig till oss i supporten så försöker vi gärna hjälpa till.

Ditt Support(er) Team,

Binero

Bild: Flickr/Sam Ilic

Tanken är hellre inte ny. År 2004 gavs boken Stealing the Network – How to own a continent ut av Syngress förlag. Den handlar om flera storskaliga hack som riktas mot just afrikanska mål.

Hacken riktas mot afrikanska datorer dels för att de är dåligt skyddade. Dels för att de tillsammans skapar så pass stort kaos att en tillhörande spekulation i börsnedgång blir mycket lönsam.  Boken är en av de bättre i serien om fyra böcker (undvik fyran).

Men att Afrikas IT-infrastruktur skulle vara ett hot mot oss är långsökt. För ett tag sen ringde vi runt till flera internetleverantörer i Sverige för att utreda hur mycket bandbredd som skulle krävas för att slå ut Sverige. Det svar vi fick från alla som kunde ge relevanta svar var att det inte är realistiskt. Sverige har mer kapacitet internt än det finns kapacitet till Sverige. Och linorna till Sverige kan svälja mer än vad deras egna ingångar kan mata på av trafik. Signalerna skulle helt enkelt snubbla över sig själva innan de kom iväg.

Men det hindrar inte att artikeln på Foreign Policy är intressant.  Men idag är spam och datavirus från Afrika ett större problem. Så får du Nigeriabrev – var glad för att det inte är värre.

Gör bredband och oskyddade datorer Afrika till ett gigantiskt botnäthot? Är det en fara för länder och företag? Har vi rätt eller fel? Vad tror du? Kommentera gärna nedan.

Bild: Syngress publications

På webben används SSL/TLS för att skapa krypterade tunnlar för trafiken. Med verifiering säkerställer även detta att du som slutanvändare kan veta att data mottages från rätt sändare och vice versa. SSL/TLS används också inom OpenSSH och OpenVPN.

På Binero erbjuder vi för tillfället SSL som extratjänst till befintliga kunder i vårt gamla system. Vi arbetar aktivt på att släppa SSL för vårt nya system och återkommer med vidare information inom ett par veckor.

Båda delarna är avgörande för att vi ska kunna ha en driftjour dygnet runt, alla dagar, och för att att du som kund alltid ska kunna slå upp din domän på http://www.binerodrift.se och kolla serverstatus.

Nätverk
Vi har sedan länge två Internetoperatörer, Telia och Phonera, båda används samtidigt men linan mot varje operatör är dimensionerad för att klara av belastningen från båda linorna om en operatör skulle få problem.

All hårdvara samt att all ström är redundant. Serverhallen har även två dieselaggregat om strömmen skulle gå. All hårdvara har ström från två olika uttag som har skilda proppar.

Hela vår miljö är förberedd för framtidens nya IP-nät, IPv6, och vi har redan skaffat 79228162514264337593543950334 st adresser.

Övervakning
Vi övervakar idag samtliga tjänster på samtliga servrar och om något går ner så larmas den person som har beredskapen inom tre minuter via SMS. Om detta mot all förmodan skulle missas så ringer vår telefonväxel upp den som har beredskap samt backup(vanligtvis jag) och meddelar om problemen, detta sker 30 min efter att första larmet gått ut.

Vi använder oss av svenska Pingdom för övervakning som även hanterar den helt externa sidan Binerodrift åt oss (driftssidan och dess information är alltså helt oberoende av Bineros egen struktur).

För att vara riktigt säkra på att allt fungerar så har vi internt satt upp systemet Nagios som även den övervakar och larmar via SMS och telefon vid problem. Vår befintliga Nagios byts ut inom kort mot svenska OP5.

Op5s lösningar bygger på öppen källkod såsom Nagios, Cacti, Syslog-ng med flera. Detta medför att man tar det bästa från flera världar. Man får en Communitybaserad mjukvara med en flora av färdigskrivna plugins. Mjukvaran är flexibel och anpassningar av lösningen går snabbt och enkelt då det finns ett otal projekt som går att integrera med.

På Binero är vi nöjda med öppenheten då vi får tillgång till all källkod. En stor del av Op5s kod är också släppt som under GPL-licens. De öppna projekt som Op5s produkter bygger på har genom sin öppenhet en erkänd kvalitet och stabilitet. Det gillar vi!

Vi har en länge letat efter alternativ och nu har vi i svenska Halon Security hittat någonting som vi verkligen brinner för, och som vi tror kommer att bli en väldigt stor förbättring. Lösningen införs i juni (pressmeddelande).

Från Chalmers

Den nya lösningen är Halon Virtual Spam Prevention (VSP) från Göteborgsbaserade Halon Security, som bland annat tillverkar antispamlösningar i samarbete med Chalmers och israeliska och amerikanska företag. Rent tekniskt skiljer sig den här lösningen ganska mycket från mer traditionella filter (läs: Spamassassin).

Mönsterigenkänning

Där det traditionella filtret går in och analyserar innehållet i mailet och jämför det med lokala definitioner på vad som är spam och inte, tar den här lösningen steget längre. En hash av mailet skickas vidare till ett centralt datacenter och jämförs där med andra mail som cirkulerar på internet, och vi får ett svar på hur troligt det är att mailet är spam.

Detta är väldigt likt det sätt som Gmails spamfilter arbetar på, kommer samma mail (eller snarlika mail) in till väldigt många mottagare så är det troligtvis spam.

Ett plus är att denna metoden är lika effektiv mot nya virus som skickas ut, dessa kan till och med stoppas långt innan ett traditionellt virusfilter har uppdaterats med definitioner för det.

Kontroll på IP-nivå, in och ut

Med Halon VSP stoppas huvuddelen av skräpposten och virusena redan på IP-nivå, genom detektorer på anslutningsnivån. På så vis minskar vi trafikbelastningen i systemet.

Halon detekterar spam och virus både på in- och utgående kommunikation, vidare är den mer energisnål och miljövänlig än en hårdvarulösning då den körs i en virtuell miljö.

Hög träffsäkerhet

Vi har redan tjuvstartat integrationen av det här systemet på vår vidarebefordringstjänst (som ingår i vårt kostnadsfria domänpaket) för att förhindra att spam skickas ut från vårt nät. Vi har i våra tester uppmätt en träffsäkerhet på närmare 99%, utan att några legitima mail har klassats felaktigt. Här är ett litet cirkeldiagram på hur fördelningen ser ut på vår vidarebefordringstjänst (det är efter den första rensningen, där 80-90 procent av den inkommande trafiken identifierats som spam och stoppats).

Bilder: Halon Security, Binero.

Vi tror på mönsterigenkänning såsom Halon som en del av den ideala antispamskyddet. Vad tror du? Kommentera gärna härnedan.

Vi trodde vi hade räknat med allt. Vi hade inte räknat med Bengt.

Bengt kan vara en vägarbetare som jobbar med att reparera vägar eller dylikt någonstans nära Kista. Idag har han eller någon av hans kollegor råkat gnaga av vår internetkabel till kontoret. Tills han knutit ihop kablarna igen så ligger vår IP-telefoni och telefonsupport nere. Tills vidare erbjuder vi support via e-post och live chatt, när vi nu är uppkopplade via 3G-dongel.

Detta omfattar supporten, som går via kontoret. Våra tjänster och kunders åtkomst till system såsom kundcenter, kontrollpanel och mail berörs överhuvudtaget inte, då vår datahall har flera fungerande internetuppkopplingar.

Ett enhälligt beslut har idag fattats om att köpa ytterligare en internetlina även till vårt kontor. Dock tar det några veckor tills den levererats. Imorgon räknar vi med att telefonsupporten ska vara igång igen.

Vi beklagar det inträffade och eventuell olägenhet den kan orsaka.

Vår 42-tums upptidsskärm.

NERTID – att betalande kunder plötsligt inte kan använda sina webbplatser – är varken acceptabelt eller kul. Men i den verkliga världen där mänskliga och tekniska fel alltid kan inträffa så kan det hända. Och det gör det.

På Binero har vi idag en god tillgänglighet (upptid) och vi siktar på att bli bäst inom området, men så har det inte alltid varit.

Väckarklockan – mars 2008

För ett drygt år sedan var läget ett annat. Det nya Binero hade växtvärk, personal söktes och ny teknik introducerades, bl.a. infördes Linux på alla webbservrar. När allvarliga buggar samtidigt dök upp i FreeBSD så minskade tillgängligheten snabbt och i mars hade vi vår sämsta upptid någonsin.

Vi hade stirrat oss blinda på andra saker och missat fundamenta. Då blev jag fast besluten att hädanefter måste Binero sträva efter att ha den bästa upptiden i Sverige, helt enkelt.

Medvetenheten – man måste upp

För ett webbhotell som Binero är redan grundkraven höga. Vi har en datahall med hög säkerhet och redundant strömförsörjning, överlappande batterier, dieselmotorer, brandväggar och uppkopplingar ut ingår. Allt inom strömförsörjning testas live varje månad. Nu gällde det att nå ännu längre.

Som småföretagare var det inte speciellt svårt för mig att se driftsstörningarna ur ett kundperspektiv. Jag började försöka påminna kollegorna om hur kunden kan uppleva en driftsstörning om han är vd för ett företag med tio anställda och tusentals kunder när hemsida och e-post går ner under en arbetsdag mitt i högsäsongen – en dyr katastrof.

Totalt transparent tillgänglighet

För att visa att vi menar allvar med öppenhet och driftssäkerhet så lanserade vi redan i mars något som inget annat webbhotell i Sverige haft varken förr eller senare: en driftssida, www.binerodrift.se, där upptidsdata för varje individuell server levereras av en extern leverantör och visas upp helt öppet tillsammans med historik.

Sidan ligger hos en extern leverantör och drabbas inte om Bineros egna sidor skulle få problem. Här döljs inte problemen, utan alla kan se exakt vad som händer och när. För att säkerställa att verkligen alla ser detta har vi också satt upp en 42-tums skärm med upptids- och supportdata tre meter från hela support- och driftpersonalen. Vid störningar både låter och blinkar det.

Drift, teknik och miljö

Att Fredrik kom in och fick jobba som en dedikerad drifttekniker med ett helhetsansvar för detta gjorde också en stor skillnad. Strikta rutiner infördes för alla ändringar i systemet. Vad gäller systemet togs beslut om en stor investering för att virtualisera merparten av servrarna. Det gör att resurser omedelbart kan flyttas runt servrarna för att täcka upp vid behov.

Ovanstående åtgärder genomfördes och började ge effekt till hösten. Innan dess kom en nedgång under juni-juli då tekniska problem sammanföll med semestrarna. Jag införde krav på detaljerad rapportering vid varje avbrott. Vi skapade också en mer enhetlig miljö, där alla Windows- respektive Linux-servrar ska ha en exakt likadan struktur för större tillförlitlighet.

Med tiden har åtgärderna gett resultat och sedan september 2008 har branschtidningen Internetworlds definition av ”bra” upptid, 99,90% aldrig underskridits. Sedan december 2008 har upptiden varit över 99,96%.

Framtiden – tillgänglighet till tusen

Fel kan som sagt alltid smyga sig in – och på Binero varken kan eller kommer vi att vila på lagrarna om vi vill försöka att bli bäst inom upptid. Här finns en mängd åtgärder planerade, bland annat en helt lastbalanserad servermiljö, mer driftpersonal med konkreta ansvarsområden – nätverk, lagring, lastbalansering.

Till detta kommer regelbunden och utökad utbildning om varför, hur och när (alltid!) vi ska arbeta för att få en ännu högre tillgänglighet. På sikt kommer flera större åtgärder för att öka säkerheten och redundansen ytterligare.

Detta är en del av de saker som vi gjort, några vi ständigt gör och några vi kommer att göra. Men det är naturligtvis inte allt. Vår väg mot att bli ännu bättre är lång och detta är inte slutet, inte ens början på slutet – men kanske slutet på början.

• switchar
• brandväggar
• routrar
• internetlinor (Phonera/Telia)
• dieselaggregat, skarpa tester görs en gång per månad

Vi har till och med gått så långt att våra servrar har ström från två olika nät och vår virtuella miljö är i sig redundat, en server kan gå sönder men alla virtuella servrar fortsätter att fungera.

Lite kort information om vår serverhall:

Redundant Internetaccess, elkraft och UPS
Datorhallarna är uppkopplade till Internet via vårt stamnät genom flera redundanta nät vilket borgar för hög pålitlighet. Det ingår redundant framföring av fiber, elkraft, UPS (inkl. dieselgeneratorer för kontinuerlig drift vid längre strömavbrott), temperatur och luftfuktighet övervakas i realtid. Videoövervakning finns också. Datacentret har förstklassiga skal- och brandskydd.

Hi-Fog system brandsläckningssystem
Brandsläckningssystemen är avancerade och vi använder ett Hi-Fog system. Systemet producerar vattendimma med olika droppstorlek som slungas in mot brandhärden. Vid brand skapar rökgaserna frätande ämnen med Hi-Fog sugs rökens frätande ämnen ut och den tunna fuktfilmen fungerar som en temporär barriär mot rökämnen.