Region Syddanmark må endnu en gang udsætte den konsolidering på et fælles patientsystem, som regionen oprindeligt havde håbet på at kunne have på plads ved udgangen af 2013. Nu hedder tidshorisonten udgangen af 2015. Det skriver Dagens Medicin.

Regionen arbejder på at samle alle sygehuse i regionen på to fælles it-systemer, ét til patientjournaler og ét til patientadministration.

Tre ud af fire sygehuse, inklusive psykiatrien, bruger allerede en fælles patientjournal, men Sygehus Lillebælt er endnu ikke klar. Det skyldes problemer med leverandøren, oplyser Region Syddanmark ifølge en pressemeddelelse.

I praksis betyder det, at Region Syddanmark ikke når den i forvejen forsinkede deadline ved udgangen af 2014 og i stedet må vente til udgangen af 2015. Indtil da må sygehusene benytte sig af det nationale system e-journal til udveksling af data mellem sygehusene.

»Det er enormt frustrerende, og det vidner om et ekstremt kompliceret forløb, hvor vi har skullet få rigtig mange lokale løsninger til at overgå til én fælles løsning. Den manøvre bliver oven i købet endnu sværere, når vores it-løsninger bliver forsinket,« udtaler formand for sundhedsudvalget i Region Syddanmark, Poul-Erik Svendsen, ifølge pressemeddelelsen.

Region Syddanmarks fælles patientjournalsystem kaldes Cosmic og bygger på software fra svenske Cambio Healthcare Systems og implementeres af CGI (tidligere Logica), mens TDC Hosting står for driften.

DDoS er kommet for at blive, se eksempelvis dagens artikel It-chef: Forsvar mod DDoS-angreb bliver hverdag i folkeskolen

Emnet DDoS er også noget vi allesammen bør være opmærksomme på, uanset om vi betragter os som powerbrugere af internet eller leverer ydelser indenfor eksempelvis ISP eller hosting. Alle der læser version2 er formentlig i målgruppen, og ramt af DDoS i nogen grad.

Vi skal være opmærksomme på at vores resourcer ikke bruges til DDoS-angreb, som en del af botnet eller fordi vi tillader DNS eller NTP servere at blive brugt til reflektion og forstærkning af angreb.

Hvis man er interesseret i disse emner er der mange steder man kan læse, men prøv evt. at se i arkivet fra den nyligt overståede RIPE68 konference, https://ripe68.ripe.net/presentations/presentation-archive/

Der findes man eksempelvis

• Amplification DDoS Attacks – Defenses for Vulnerable Protocols

• Using DNS to Trace the Source of a DDoS Attack

• Selective Blackholing: Cheap & Effective DDoS Damage Control

Specielt den sidste er interessant, fordi man med nytænkning ændrer forholdene for DDoS betragteligt.

DFZ – default free zone

Lad mig lige kort introducere DFZ begrebet, for det er relevant for diskussionen af disse nye tiltag, og mit eget forslag nedenfor. Normalt når man konfigurerer en enhed med IP protokollerne angiver man en adresse for enheden, et subnet/en netværksmaske og en default gateway (gateway of last resort).

Denne gateway bruges til at nå alle andre destinationer end dem som findes på det lokale subnet, angivet med netværksmasken. Så en enhed med IP-adresse 192.168.1.10/24 kan nå alle enheder fra 192.168.1.1-254 lokalt på LAN (typisk Ethernet eller wireless). Når den skal videre ud i verden vil det typisk være enten via 192.168.1.1 eller 192.168.1.254 som er defineret som default gateway.

For fuldstændighedens skyld er det samme sag med IPv6, du kan eksempelvis have en host med IPv6 adresse 2a03:a480:1:1::2/64 og en default gateway 2a03:a480:1:1::1. IPv6 bruger som standard 64-bit så det lokale netværk er 2a03:a480:1:1::/64. En internetudbyder har således i RIPE regionen mulighed for at uddele MANGE subnets til kunder.

Godt med en default gateway kan man nå andre destinationer ude i verden, aka internet. Det som mange dog ikke ved er at et stykke ude i din ISPs netværk er der en ISP router som er overgangen fra ISP til default free zone, altså den del af core-internet som IKKE har en default gateway?! Derude er det den globale routing tabel med ~500.000 IPv4 routes/prefixes og ~15.000 IPv6 routes/prefixes. Eksempelvis er der routes annonceret med 185.27.112.0/22 og 2a03:a480::/32 som jeg står for i Solido Networks.

Jeg angiver altså til mine internetudbydere – transit providers – og til internet exchanges (DIX og Netnod Comix pt.) hvilke netværk jeg har bagved min router, pt. annoncerer vi således ~35 prefixes og dermed ~20.000 IPv4 adresser – som så fordi vi betaler for det kan nås fra “hele internet”. NB: en route peger på en router, next-hop men typisk tales om prefix som er det netværksprefix som det drejer sig om.

TL;DR default free zone har ikke en gateway of last resort så får en router en pakke til en destination som ikke findes i tabellen smides pakken væk!

Du kan læse mere om dette ved at søge på, CIDR report, BGP, default free zone

BGP blackhole for DDoS protection

Når vi som ISP befinder os på kanten af DFZ kan vi styre hvorledes vi annoncerer vores prefixes, og vore kunders prefixes og det kan i høj grad automatiseres med indstillingerne for BGP communities https://en.wikipedia.org/wiki/Border_Gateway_Protocol#Communities

Jeg kan eksempelvis vælge at min annoncering til Tier 1 ISP X skal være “længere” – path prepending eller at det pågældende prefix kun skal annonceres videre under bestemte forhold. Et mere eller mindre tilfældigt eksempel kan findes for Telia International Carrier AS1299 http://onesc.net/communities/as1299/

Så ved at sætte BGP community 1299:7009 på en annoncering burde Telia ikke annoncere dette prefix videre i asien. Aha! Vi kan altså som kunde begynde at influere på hvordan vi annoncerer, og hvordan vores netværk ses længere ude på internet – i DFZ.

En anden feature som de store ISP’er tilbyder er blackholing, en service hvor man kan annoncere enkelte IP-adresser – /32 prefix, eksempelvis 192.0.2.10/32, hvorefter den pågældende udbyder smider alle pakker med denne destination væk! Det betyder at de kan droppe pakkerne hurtigt i deres netværk, og du betaler ikke for den trafik – men får heller ikke clean/valid trafik

Et eksempel fra Cogent er deres formular http://cogentco.com/files/docs/customer_service/guide/bgpq.sample.txt:

Ulempen ved dette er at enten smider de trafikken væk, eller tillader den kommer igennem … dette kaldes derfor BGP blackholing. Fordelen er at resten af dit netværk stadig modtager trafik.

DDoS Damage Control

Enter DDoS Damage Control, altså begrænsning af skaderne, fremfor totalt blackhole, og her er
Job Snijders præsentation fra RIPE68 helt central. Anbefalingen her er at man med BGP communities i en mere udstrakt grad kan bestemme hvad der smides væk – og hvor! Det betyder at man selektivt smider pakkerne væk bestemte steder.

Så vi er nu, med få store skridt, kommet frem til at:

• Vi kan annoncere vores netværk – dermed kan de nås via diverse udbydere
• Vi kan tilpasse vores annonceringer så de annonceres på bestemte måder, annoncering i asien, eller ej
• Vi kan smide traffik væk med BGP blackholing, eksempelvis fortælle nogle af vores udbydere at de skal smide alt væk til IP 192.0.2.10
• Vi kan med forslaget fra Job annoncere at i bestemte regioner skal trafikken til bestemte destinationer smides væk

Værktøjskassen for at begrænse skaderne fra DDoS er altså blevet lidt større end den gammeldags, on/off BGP blackhole. Postulatet er således at vi kan opnå næsten fuld tilgængelighed indenfor et geografisk område, med NL som eksempel i Jobs præsentation. I praksis vil der formentlig stadig være noget DDoS-angrebstrafik som rammer målet, men hvis det er begrænset nok kan det håndteres med “normalt udstyr” firewalls, routere og serverkapacitet.

Konklusionen er ihvertfald klar, man skal ikke blot kaste håndklædet i ringen med det samme, men begynde at analysere sin brugssituation, lave en baseline over hvor ens “kunder” (i bred forstand) kommer fra og derefter tænke over hvilke værktøjer som kan bruges.

Det er selvfølgelig heller ikke alle der kan lave den slags trick, og for nogle vil det være bedre at købe en service, eller software til at håndtere dette.

Skole IT og eksamener

Når nu ovenstående er præsenteret, så har jeg et forslag. Der bliver talt meget om skoler og eksamener, undervisningsministeriet osv.

Der er formentlig ikke nogen udenfor Danmark som skal tilgå bestemte hjemmesider og applikationer som benyttes til eksamen i Danmark – ellers er det relativt få steder og kan testes på forhånd. Det vil altså være muligt at lave en positivliste over ISP’er i Danmark, man kunne starte med listen fra RIPE https://www.ripe.net/membership/indices/DK.html.

Dernæst kunne man placere de pågældende services indenfor samme netværksrange, den skal af tekniske årsager være en /24 – men det kan findes. Derved åbner man for alle ovenstående muligheder for at annoncere og påvirke datastrømmen – herunder eventuelle DDoS-angrebs datapakker – og forslaget er:

• Eksamensnetværket annonceres kun i “Danmark”, dvs til danske ISP’er og eventuelt via tunnel ud til relevante steder i verden.
• Eksamensnetværket annonceres ikke til “internet” – dvs optræder slet ikke i DFZ, og pakkerne fra en angriber/computer med denne destionation vil således ikke komme ret langt hos ISP’erne før de smides væk – no route to destination

Altså en begrænset, men overlagt strategi, som gør at visse services kun kan nås fra Danmark, og eventuel angrebstraffik vil således også kun komme fra Danmark, hvilket letter sporing og oprydning betragteligt!

Til slut, ovenstående kræver viden, men det er ikke raketvidenskab. Der er mange netværksadministratorer i Danmark som ville kunne udføre og drive en sådan løsning med relativt lille budget. Det er samtidig ikke en ekstraydelse fra ISP’erne at bruge deres BGP communities og derved er omkostningerne generelt ret lave for denne type løsning.

TL;DR lær teknologierne at kende, hold din viden opdateret med RIPE konference, bekæmp DDoS mere intelligent

Finlands ambition om at være frihavn for data, er kommet et skridt tættere på, efter finansieringen af et undersøisk kabel fra Finland, gennem Østersøen til Tyskland er blevet godkendt af den finske regering. Det skriver ZDnet.

Hidtil har Finland været afhængigt af et kabel, som er gået fra Danmark, over Øresundsbroen og gennem det sydlige Sverige, men det er ikke sikkert nok, hvis man vil tiltrække store virksomheder.

Finlands regering håber nemlig, at de med det nye kabel kan tiltrække store datacentre, som det Facebook har bygget i Luleå i Sverige og som Google har bygget i Hamina i Finland.

Vedtaget kort efter Snowden-afsløringer

Det nye kabel blev vedtaget af den finske regering i slutningen af 2013 kort efter Edward Snowdens lækkede dokumenter viste, at Sveriges Försvarets radioanstalt – svarende til Forsvarets Efterretningstjeneste – havde hjulpet USA med at skaffe oplysninger om Rusland gennem elektronisk overvågning.

Med det nye kabel mener Finlands statsminister, Krista Kiuru, at ambitionen om en it-havn, hvor virksomheder kan placere deres data i sikkerhed er godt på vej.

»Vores geopolitiske placering er baseret på både geografi og på beslutninger som vi selv tager. Vi må først selv have modet til at udvikle Finland til en signifikant sikker havn for information, hvor virksomheder og lande i sikkerhed kan placere deres kritiske data«, siger hun ifølge ZDnet.

Afviste TeliaSonera

Kort efter Finland annoncerede kabelplanerne, er Skulle Finland ifølge ZDnet have afvist et forslag fra Sveriges TeliaSonera International Carrier, som ville opbygge et privatejet fibernetværk fra Skt. Petersborg til Tyskland, som skulle have passeret gennem Finland og Baltikum.

I stedet er planen, at kablet skal bygges af det statsejede Governia, som for har opkøbt Corenet Oy, som er en data-kabel-virksomhed, som ejer 7100 kilometer optisk fibernet kabel i Finland.

Der kom ingen Surface Mini, da Microsoft tirsdag aften dansk tid løftede sløret for det nyeste medlem af Surface-familien. Til gengæld kommer der allerede til august en afløser for Surface Pro 2, som meget oplagt har fået navnet Surface Pro 3.

Der er imidlertid ikke tale om en marginal opdatering af Surface Pro-serien. Mens 2′eren primært var en finpudsning af den først, så har Microsoft lavet mere drastiske ændringer i den næste model.

Mest åbenlyst er skærmstørrelsen nu sat op til 12 tommer, som stadig er fuld HD og understøtter både touch og en ny udgave af den digitizer-pen, der har fulgt med Surface Pro-modellerne. Microsoft lover også, at skærmene bliver farvekalibreret på fabrikken for blandt andet at få en mere klar hvid.

Med 12 tommer bevæger Surface Pro 3 sig lidt væk fra det typiske 9 til 10 tommer tablet-segment, som i øjeblikket domineres af Apples iPad og forskellige Android-baserede tablets.

Selvom skærmen er vokset, så har Microsoft formået at få vægten lidt ned. Mens Surface Pro 2 vejer cirka 900 gram, så vejer Surface Pro 3 cirka 800 gram. Tykkelsen uden tastatur-cover er også på mindre end én centimeter.

Ifølge Microsoft har det blandt andet kunnet lade sig gøre ved at designe en ny processorkøler, hvor en tyndere ventilator køler køleribberne direkte uden at skulle lede varm luft gennem kanaler.

Kunderne får også flere valgmuligheder i konfigurationen af Surface Pro 3. Microsoft holder fast i partnerskabet med Intel, og nu vil man kunne vælge mellem modeller med Intel Core i3, i5 og i7. Det betyder også, at de danske priser vil spænde fra 6.199 kroner for en model med Core i3 og 64 gigabyte SSD til 15.149 kroner for en Core i7 med 512 gigabyte SSD.

Derudover har Microsoft ændret designet af den støttefod, som gør det muligt at lade Surface-tabletten stå af sig selv. Den kan nu indstilles trinløst fra 0 til 150 grader. Dermed vil Surface Pro 3 minde mere om en bærbar pc.

Microsoft lægger da heller ikke skjul på, at selskabet især går efter de kunder, som i dag har både en tablet og en pc.

»De fleste brugere har i dag både en tablet og en pc, fordi de to produkter dækker forskellige behov. Med Surface Pro 3 har vi skabt et produkt, som dækker alle de behov, du har som tablet- og pc-bruger, takket være den større skærm, den lave vægt og de bedste chips fra Intel,« udtaler divisionschef for Windows og Surface, Martin Thorning Hansen fra Microsoft Danmark ifølge en pressemeddelelse.

Der er da heller ikke tale om særlige neddroslede versioner af Intels processorer, og man får også den fulde Windows 8.1 Pro med Surface Pro 3. Det betyder til gengæld også, at Microsoft med Surface Pro og nyeste generation af Intel-processorer blot har forbedret batteritiden med cirka 10 procent i forhold til Surface Pro 2.

Det vil ifølge Microsoft sige cirka ni timer, hvilket placerer Surface Pro 3 i den pæne ende af Ultrabook-segmentet, og en væsentlig forbedring i forhold til den første Surface Pro, der blot kunne levere op til seks timers batteritid. Det er dog et stykke fra, hvad de rene tablets kan præstere.

Surface Pro 3 får også følgeskab af en ny dockingstation, og Microsoft har også forbedret Type-tastatur-coveret, så det nu har en større trackpad og kan sættes i en position med en let hældning, der også skulle give bedre stabilitet, hvis man sidder med tablet og tastatur på skødet.

Alle computere – bærbare såvel som stationære og tablets – som bliver købt af centrale kinesiske statsorganer, skal have et andet operativsystem end Windows 8 installeret. Sådan skriver det officielle nyhedsbureau Xinhua, som følge af et dekret udstedt af Kinas centrale indkøbsorgan.

Dekretet rammer kun computere, som skal bruges af officielle kontorer, mens de regner med, at det private kinesiske computermarked ikke bliver ramt.

I øjblikket kører de fleste computere i Kinas offentlige system på Windows XP, som sammenlagt har en markedsandel på 70 procent i Kina. Men siden Microsoft stoppede deres support af det 13 år gamle styresystem 8. april, har det givet stigende sikkerhedsbekymringer, og dermed et ønske om et indenlandsk designet operativsystem.

Problemet vil gentage sig

Ifølge det Kinesiske nyhedsbureau vil den kinesiske stat risikere, at løbe ind i problemet med, at supporten stopper, hver gang de køber et udenlandsk operativsystem, hvilket er grunden til, at de også dropper Microsofts nyeste styresystem.

»Den kinesiske regering kan selvfølgeligt ikke ignorere de risici, der er i at køre et operativsystem uden teknisk support«, skriver Nyhedsbureauet Xinhua.

Microsoft overrasket

Ifølge BBC News kommer det bag på Microsoft, at kineserne pludseligt også dropper Windows 8.

»Vi er overraskede over at se referencen til Windows 8 i notitsen«, siger en talsmand fra Microsoft, som fortsætter:
»Microsoft har arbejdet proaktivt med det Centrale Offentlige Indkøbsorgan og andre statslige organer gennem vores evalueringsprocesser, for at sikre, at vores produkter og services møder alle deres krav.«

I Beijing blev restriktionen ført i gennem via et dekret om energispareprodukter, men ifølge det kinesiske nyhedsbureau handler det altså om IT-sikkerhed.

Af samme grund foreslår nyhedsbureauet, at det giver muligheder for lokale Linux-versioner, som Kylin og StartOS

Investeringer i løsninger, der kan detektere og afværge DDoS-angreb bliver en helt almindelig del af driften i fremtidens folkeskole. Det mener Ivan Harreskov, der er it-chef i Køge Kommune. Ifølge ham er DDoS-angreb et uundgåeligt biprodukt af den digitalisering af skolerne, som folketinget siden 2011 har investeret mere end 500 millioner kroner i.

»Man bliver nødt til at sikre sig mod det. For år tilbage havde vi heller ikke spamfiltre og firewalls, men det har man jo også indført nu. Det er så nemt at lave et DDoS-angreb, og det giver så store problemer. Vi kommer til at se det engang imellem – og det skal man kunne håndtere,« siger Ivan Harreskov til Version2.

Køge kommune har netop investeret i en løsning hos kommunens internetudbyder, der skal detektere usædvanlig kraftig trafik og kanalisere den væk. En løsning, der ifølge it-chefen, vil kunne bruges af alle kommuner, da den ikke kræver nogen speciel netværksopsætning.

Det sker som en reaktion på, at skolernes ip-adresse i Køre kommune sidste år var udsat for flere tilfælde af DDoS-angreb på op til 16 gange den kapacitet, som den kommunale internetkapacitet kunne bære.

Det viste sig at være en femtenårig lokal skoleelev, der stod bag angrebet, der satte internetforbindelsen ud af spillet og både ramte skolerne og den kommunale administration – de to deler nemlig netværk, hvilket er normalt i danske kommuner.

Køge Kommune valgte at droppe politisigtelser mod den unge mand.

Stigende problem er en overraskelse

DDoS-angreb på skolerne i Køge Kommune er ikke enestående. I sidste måned kunne Version2 berette om et lignende angreb på skolernes netværk i Hedensted Kommune, der ramte 7000 brugere. Ligesom i Køge var det lokale skoleelever, der stod bag, og formålet var tilsyneladende at forstyrre en national test. Det lykkedes.

Kort tid efter blev styrelsen UNI-C ramt af kraftige DDoS-angreb, der var rettet mod systemer til afvikling af digitale prøver. I modsætning til de lokale angreb i Køge og Hedensted forhindrede dette angreb alle skoler i Danmark at tilgå systemerne.

Formanden for de kommunale it-chefer, Henrik Brix, oplyste dengang, at sikkerhedsudfordringer i forbindelse med it i skolerne er et stigende problem. Han vil dog ikke opfordre til at investere i sikkerhed. I stedet efterlyser han digital dannelse skolerne.

Det synspunkt deler også KL, der ligeud siger, at det ikke kan betale sig at sikre skolerne.

I Køge Kommune mener it-chef Ivan Harreskov , at digital dannelse kan stå alene.

»Det er klart min opfattelse, at angreb på netværk er et stigende problem, og det er også den almindelige opfattelse, når det diskuteres i den kommunale it-verden. Det er vigtigt at arbejde med digital dannelse, men vi har valgt at beskytte os, fordi vi vurderer, at sandsynligheden for et angreb er høj og konsekvenserne er store,« siger Ivan Harreskov og tilføjer, at det efter hans vurdering er kommet som en overraskelse, at skolerne er udsatte.

»Vi havde ikke set det komme. Normalt er det jo finanssektoren og andre meget eksponerede steder, der bliver angrebet, så det er kommet lidt som en overraskelse, og det er min vurdering, at der er mange kommuner, der ikke har sikret sig. Derfor er vi nogen, der vælger at stå frem og gøre opmærksom på, at dette her er et problem.«

Ifølge KL er der ingen opgørelser over, hvor ofte de danske skoler bliver udsat for DDoS-angreb.