Af : Carsten Jørgensen
Computerworld Online havde i sidste uge en kommentar af Ulf Munkedal med titlen "Sikkerhedsmonstret år 2002". Hovedbudskabet var, at også i 2002 er der blevet fundet en lang række alvorlige sårbarheder.
"Tiden fra, at disse sårbarheder blev kendte, og til at man på nettet kunne finde såkaldte exploits og hackerscripts - altså grydeklare værktøjer, der kan udnytte sårbarheden - var bemærkelsesværdig kort", skrev han.
Det er korrekt, at der indenfor de seneste år har været en tydelig bevægelse imod, at perioden fra information om en sårbarhed bliver offentliggjort, til sårbarheden bliver udnyttet i stor stil, er blevet betydeligt mindre.
Vi så sidste år orme, der udnyttede sårbarheder, der var offentliggjort kun få uger før, og der vil med sikkerhed komme nye orme, der udnytter endnu nyere sårbarheder.
Men eksemplerne i kommentaren kunne have været valgt bedre. Dels tog det ganske lang tid, før værktøjerne til Microsoft SQL sårbarheden blev lavet, og som det mange gange sker, var programmerne til at udnytte både OpenSSH sårbarheden og chunked encoding sårbarheden til Apache tilgængelige i lukkede grupper, længe inden de blev offentliggjort på Internettet.
Hvis man arbejder med sikkerhed, er det vigtigt at forstå, at der findes flere forskellige typer hackere.
Black Hats
Der findes en meget lille gruppe dygtige hackere, der selv finder nye sårbarheder. De offentliggør ikke "deres" sårbarheder, men deler dem i nogle tilfælde med venner og medlemmer af deres gruppe.
De rigtige Black Hat hackere hacker for penge, for ære og af personlige interesser, for eksempel hvis de vil have information om et særligt emne. Et kvalificeret gæt kunne være omkring 100 personer i denne gruppe.
For langt de fleste privatpersoner og virksomheder udgør Black Hats ingen fare, da de kun interesserer sig for særlige virksomheder og områder.
Men bliver man først upopulær, eller er et interessant mål, vil man før eller senere blive hacket.
De "rigtige" Black Hats har en række venner og gruppemedlemmer, som de nogle gange deler sårbarheder med.
De har normalt stor teknisk viden og deler holdninger og værdier, men er ikke helt så dygtige. Der er måske omkring 500 personer i denne hårde kerne.
Der kan gå lang tid, inden Black Hattenes private sårbarheder bliver offentliggjort, typisk starter de med at sive ned igennem systemet.
Den hårde kerne har venner, som er medlemmer af andre hackergrupper længere nede af rangstigen, og sårbarheder spreder sig i mange tilfælde langsomt ud igennem niveauerne, indtil de bliver offentliggjort, i mange tilfælde af andre end de personer, der oprindeligt fandt sårbarheden.
Et eksempel på, hvor lang tid der kan gå, inden en sårbarhed offentliggøres, var sårbarheden i IRIX Objectserver, der blev offentliggjort på BugTraq den 29. marts 2000.
Denne sårbarhed var kendt mindst siden 1997, og den mest kendte exploit (program til udnyttelse af sårbarheden) er dateret juli 1997, det vil sige tre år inden, sårbarheden blev offentligt tilgængelig.
I introduktionen til OpenSSH sårbarheden, som er nævnt i starten af kommentaren, siger "GOBBLES", personen der udgav exploit koden, at sårbarheden har været kendt længe nok i undergrunden til, at den nu kan offentliggøres.
OpenSSH sårbarheden blev i øvrigt offentliggjort af et amerikansk sikkerhedsfirma. Den ansatte, sikkerhedsfirmaet giver kredit for at have fundet sårbarheden, er en person fra Black Hat gruppen ADM, som her offentliggør en af sine gamle exploits.
Længst ude i systemet findes langt den største gruppe "hackere". Det er typisk drenge med en helt almindelig grundlæggende IT-viden, der er helt afhængige af sårbarheder fundet af andre. Deres hacking kan lettest sammenlignes med graffitimalere.
Udover den personlige udfordring ved at bryde ind i systemer er der intet andet formål med deres hacking end at få deres navn ud, og at gøre andre medlemmer af deres gruppe opmærksom på, at det er lykkedes dem at hacke en server (udfordringen).
Det er her almindelige virksomheder kommer i kontakt med hackerne.
Det betyder naturligvis ikke, at de ikke kan gøre skade, eller at det ikke er dyrt at rydde op efter en "graffiti-hacker". Men man kunne have beskyttet sig ved at have fulgt med på internettet og have installeret sikkerhedsopdateringer.
White Hats
White Hats er de gode hackere, det er os der arbejder med sikkerhed. Det er folk, der på mange måder arbejder med de samme teknikker som Black Hat hackerne, men altid med tilladelse fra de firmaer, der bliver angrebet.
Der er meget stor forskel på, hvordan forskellige White Hat sikkerhedsfirmaer arbejder med sikkerhed. Det er normalt en kombination mellem White Hat hackerens erfaring og viden og den måde sikkerhedsfirmaet arbejder på. Men det er en helt anden historie.
En af de store trends inden for det seneste år har været en begyndende kamp mellem de gode og de onde.
"De onde hackere" kæmper imod "de godes" brug af Black Hat-hackernes sårbarheder til sikkerhedstest og lignende.
Der foregår således i øjeblikket en kamp imod enhver form for offentliggørelse af sårbarheder eller kommercielt arbejde indenfor sikkerhed.
Som en del af denne kamp er der tegn på, at en lang række af de største sikkerhedsfirmaer og sikkerhedseksperter er blevet hacket.
Kampen kan lettest følges på "Full-Disclosure" mailinglisten, i "el8" ezines og i "GOBBLES" breve på BugTraq.
Så hvad skal man gøre?
Det er vigtigt at følge med på internettet, og det er meget vigtigt at installere sikkerhedsopdateringer. Det giver en god beskyttelse imod de kendte angreb, der udgør langt de fleste angreb på internettet, men de må ikke være den primære sikkerhedsforanstaltning.
Nye sårbarheder vil blive fundet og udnyttet, inden man kan nå at installere sikkerhedsopdateringer, så man bør se på sit netværk med friske øjne. Man kan for eksempel se på, hvad vil der ske, når systemerne bliver hacket, hvor langt kan angriberen nå ind, og hvilke data kan han nå.
Sikkerhedspolitikker og procedurer er vigtigere, end de fleste tror. Få overblik over sikkerhedsniveauet på servere og netværket, for eksempel igennem sikkerhedsscanninger eller penetrationstest.
Opdel interne netværk i sikkerhedszoner, så der ikke er adgang til alt, når hackeren får adgang til netværket.
Carsten Jørgensen CISSP kalder sig ikke sikkerhedsekspert. Han var en af de første ansatte i Neupart & Munkedal og arbejder som manager i KPMG's IT Risk Management afdeling.
