Artikel top billede

Ny tendens i sikkerheds-verdenen: Markedsførte sårbarheder

Klumme: Når en enkelt sårbarhed får uforholdsmæssigt stor opmærksomhed, ødelægger det prioriteringen af opdateringer.

I marts måned blev webstedet Badlock.org oprettet.

Sikkerhedsforskerne bag siden oplyste, at de havde fundet en meget alvorlig sårbarhed - som de ville fortælle nærmere om 12. april, hvor rettelser også ville blive udsendt.

Det medførte en masse snak på Twitter og blandt sikkerhedsfolk i øvrigt. Hvad var sårbarheden? Hvor alvorlig var den?

Vi vidste, at den fandtes i både Samba og Windows. Det tydede på, at den havde forbindelse til Windows fildeling.

Badlock var udstyret med både sit eget domænenavn og et ikon, der mindede om det, man brugte om sårbarheden Heartbleed.

I DKCERT udsendte vi en advarsel til de sikkerhedsansvarlige på universiteterne.

Vi foretog også en scanning efter IP-adresser på forskningsnettet, der havde åbent for Windows-fildeling.

Katastrofen udeblev

Tirsdag 12. april var vi mange, der ventede med spænding. Jeg fik en opringning fra en it-afdeling omkring klokken 16:00 - den kunne ikke forstå, hvor Badlock-rettelsen blev af.

Jeg kunne berolige dem med, at Microsoft normalt udsender rettelser omkring kl. 19:00 dansk tid.

Så kom den endelig. Microsofts sikkerhedsbulletin MS16-047. Risikovurdering: Important.

Ja, important. Ikke critical.

Ingen mulighed for at afvikle programkode over netværk.

Dommedag var aflyst.

Sårbarheden viste sig kun at kunne udnyttes via et man-in-the-middle-angreb. Angriberen skal altså befinde sig på offerets netværk i forvejen.

Er det tilfældet, kan Badlock til gengæld udnyttes til at få øgede privilegier, læse password-databasen og i det hele taget misbruge adgangen til Active Directory.

Badlock er alvorlig

Som det fremgår, er Badlock altså alvorlig nok.

Hvis en angriber udnytter den i kombination med en anden sårbarhed, der giver adgang til offerets netværk, kan den bringe fortroligheden og integriteten i fare.

Men for at kunne bruge den direkte ude fra internettet skal angriberen finde et offer, der har åbnet for Windows fildeling.

Sikkerhedseksperter har i mange år anbefalet at lukke af for den slags i firewallen.

Som forberedelse til Badlock gennemførte vi som nævnt en scanning af forskningsnettet efter IP-adresser med åben Windows-fildeling.

Vi fandt under en tiendedel promille.

Så min konklusion er: Ja, Badlock er en vigtig sårbarhed. Sørg for at opdatere Windows og Samba.

Men den var langt fra den alvorligste sårbarhed, der blev lukket den dag.

12. april udsendte Microsoft 12 andre sikkerhedsrettelser. Fem af dem fik vurderingen Critical - Microsofts højeste risikovurdering.

Risiko for forkert prioritering

Hvilken opdatering prioriterede mine utålmodige venner, der ringede for at høre om Badlock, højest?

Jeg håber, at de læste beskrivelserne af sårbarhederne og foretog en risikovurdering af dem i forhold til deres eget it-miljø.

Hvis de på den baggrund valgte at lukke Badlock-hullet først, er det fint.

Men jeg er bange for, at mange har prioriteret Badlock højest uden at undersøge sagen nærmere.

Dermed kan vigtigere opdateringer være blevet sat bagest i køen.

Sårbarheder med navn og logo

Badlock skriver sig ind i en ret ny tradition i sikkerheds-verdenen: Markedsførte sårbarheder.

I april 2014 blev en sårbarhed i OpenSSL kendt under navnet Heartbleed - komplet med eget domæne og logo.

Det var første gang, en sårbarhed blev markedsført på den måde. Tidligere har der været navne til trusler og virus, men ikke til sårbarheder.

Siden har vi hørt om POODLE, Shellshock, Ghost, FREAK og flere andre navngivne sårbarheder.

Der er flere fordele ved at give en sårbarhed et navn.

For det første er det nemmere at huske. Kun sikkerhedsfolk kan kende forskel på CVE-2014-0160 og CVE-2014-6271, mens det er let at huske Heartbleed og Shellshock.

For det andet sikrer det, at vi taler om den samme sårbarhed.

For det tredje er det lettere at gøre folk uden for sikkerhedsverdenen interesserede.

Ulempen er, at massivt markedsførte sårbarheder som Badlock kan få mere opmærksomhed, end de fortjener - og dermed fjerne opmærksomheden fra mere alvorlige sårbarheder.

Inflation i sårbarheder

Jeg håber, at sikkerhedsfolk fremover er mere forsigtige med at markedsføre sårbarheder med navn og logo. Ellers risikerer vi, at der går inflation i det, og der opstår en "Ulven kommer"-effekt.

I øvrigt medførte den almindelige skuffelse over Badlock, at nogen oprettede domænet Sadlock.org. Besøg det for et satirisk kig på sårbarhedsmarkedsføring.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet.

I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.

Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere